Citrix ADC SDX

Konsolidierung über Sicherheitszonen hinweg

Eine SDX-Appliance wird häufig für die Konsolidierung über Sicherheitszonen hinweg verwendet. Die DMZ bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk einer Organisation, da ein Angreifer nur Zugriff auf die DMZ und nicht auf das interne Netzwerk der Organisation hat. In Umgebungen mit hoher Compliance ist eine einzelne Citrix ADC-Instanz mit VIP-Adressen sowohl in der DMZ als auch in einem internen Netzwerk im Allgemeinen nicht akzeptabel. Mit SDX können Sie Instanzen bereitstellen, die VIP-Adressen in der DMZ hosten, und andere Instanzen, die VIP-Adressen in einem internen Netzwerk hosten.

In einigen Fällen benötigen Sie möglicherweise separate Verwaltungsnetzwerke für jede Sicherheitszone. In solchen Fällen müssen Sie die NSIP-Adressen der Instanzen in der DMZ in einem Netzwerk ablegen und die NSIP-Adressen der Instanzen mit VIPs im internen Netzwerk in einem anderen Verwaltungsnetzwerk ablegen. In vielen Fällen muss die Kommunikation zwischen dem Management Service und den Instanzen möglicherweise über ein externes Gerät wie einen Router geleitet werden. Sie können Firewall-Richtlinien konfigurieren, um den an die Firewall gesendeten Datenverkehr zu steuern und den Datenverkehr zu protokollieren.

Die SDX-Appliance verfügt über zwei Verwaltungsschnittstellen (0/1 und 0/2) und je nach Modell über bis zu acht 1G-Datenports und acht 10G-Datenports. Sie können die Datenports auch als Management-Ports verwenden (z. B. wenn Sie getaggte VLANs konfigurieren müssen, da das Tagging auf den Verwaltungsschnittstellen nicht zulässig ist). In diesem Fall muss der Datenverkehr vom Management Service die Appliance verlassen und dann zur Appliance zurückkehren. Sie können diesen Datenverkehr weiterleiten oder optional ein NSVLAN auf einer der Instanz zugewiesenen Schnittstelle angeben. Wenn die Instanzen auf einer Verwaltungsschnittstelle konfiguriert sind, die mit dem Management Service gemeinsam ist, muss der Datenverkehr zwischen dem Management Service und den Citrix ADC-Instanzen nicht weitergeleitet werden, es sei denn, Ihr Setup erfordert dies ausdrücklich.

Hinweis: Tagging wird in Citrix Hypervisor Version 6.0 unterstützt.

Konsolidierung über Sicherheitszonen hinweg

In diesem Artikel