Citrix ADC SDX 13.0

Zugriffssteuerungslisten

Eine Zugriffssteuerungsliste (Access Control List, ACL) ist eine Reihe von Bedingungen, die Sie auf eine Netzwerk-Appliance anwenden können, um IP-Datenverkehr zu filtern und Ihre Appliance vor unbefugtem Zugriff zu schützen.

Sie können eine ACL auf der Benutzeroberfläche des Citrix ADC SDX Management Service konfigurieren, um den Zugriff auf die Appliance zu beschränken und zu steuern.

Hinweis

ACLs auf SDX-Appliances werden ab Version 12.0 57.19 unterstützt.

Dieses Thema enthält die folgenden Abschnitte:

  • Nutzungsrichtlinien
  • Konfigurieren von ACLs
  • Zusätzliche Aktionen für ACL-Regeln
  • Fehlerbehebung

Nutzungsrichtlinien

Beachten Sie beim Erstellen von ACLs auf Ihrer Appliance folgende Punkte:

  • Wenn Sie die SDX-Appliance auf Version 12.0 57.19 aktualisieren, ist die ACL-Funktion standardmäßig deaktiviert.
  • SDX-Administratoren können nur eingehende Pakete über ACL auf der SDX-Appliance steuern.
  • Wenn Sie Citrix Application Delivery Management zum Verwalten Ihrer SDX-Appliance verwenden, müssen Sie geeignete ACL-Regeln erstellen, um die Kommunikation zwischen MAS und SDX Management Service zu ermöglichen.
  • Für alle anderen Konfigurationen auf der SDX-Appliance wie Bereitstellen oder Löschen von VPXs, Hinzufügen/Löschen externer Server, SNMP-Verwaltung usw. sind keine Änderungen an der vorhandenen ACL-Konfiguration erforderlich. Die Kommunikation mit diesen Unternehmen erfolgt durch den Verwaltungsdienst.

Konfigurieren einer ACL

Die Konfiguration einer ACL umfasst die folgenden Schritte:

  • Aktivieren der ACL-Funktion
  • Erstellen einer ACL-Regel
  • Aktivieren der ACL-Regel

Hinweis

Sie können ACL-Regeln erstellen, ohne das ACL-Feature zu aktivieren. Wenn das Feature jedoch nicht aktiviert ist, können Sie eine ACL-Regel nach dem Erstellen nicht aktivieren.

So aktivieren Sie die ACL-Funktion

1. Um die ACL-Funktion zu aktivieren, melden Sie sich bei der Benutzeroberfläche des SDX Management Service an und navigieren Sie zu Konfiguration > System > ACL .

2. Aktivieren Sie die ACL-Funktion, indem Sie die Umschalttaste verwenden.

![lokalisiertes Bild] ACL-Regel

So erstellen Sie eine ACL-Regel

1. Klicken Sie auf der Seite ACL auf Regel erstellen.

2. Das Fenster Regel erstellen wird geöffnet. Fügen Sie die in der folgenden Tabelle aufgeführten Details hinzu.

Eigenschaft Beschreibung
Name Fügen Sie einen Namen hinzu.
Protokoll Wählen Sie im Menü ein Protokoll aus. Standardmäßig ist TCP ausgewählt. Sie können ALLE auswählen, um alle Protokolle zuzulassen.
Quell-IP-Adresse/Subnetz Geben Sie die Quell-IP-Adresse oder das Quellsubnetz an, für das die Regel gilt. Wählen Sie “Beliebig”, wenn die Regel auf den gesamten eingehenden Datenverkehr angewendet werden muss.
Ziel-IP Die IP-Adresse des SDX Management Service wird automatisch als Ziel-IP verwendet. Dieses Feld kann nicht bearbeitet werden.
Zielport Geben Sie den Zielport an, auf den die Regel angewendet wird. Wählen Sie “Beliebig”, wenn die Regel für alle Zielports gilt.
Aktion Wählen Sie die Aktion für die Regel aus, d.h. Zulassen oder Verweigern.
Priorität Weisen Sie Priorität zu, um die Reihenfolge anzugeben, in der die Regel ausgewertet werden soll. Prioritätsnummern bestimmen die Reihenfolge, in der ACL-Regeln mit einem eingehenden Paket abgeglichen werden. Eine niedrigere Priorität hat eine höhere Priorität. Beispielsweise hat Priorität Nummer 1 eine höhere Priorität als Priorität 2. Wenn keine der Regeln mit dem eingehenden Paket übereinstimmt, wird das Paket blockiert.

3. Klicken Sie auf OK , um die Regel zu erstellen.

Abbildung: Beispiel für eine ACL-Regel

lokalisiertes Bild

Nachdem die Regel erstellt wurde, befindet sie sich im deaktivierten Zustand. Um die Regel wirksam zu machen, müssen Sie die Regel aktivieren.

Hinweis

Um eine Regel zu aktivieren, sollte die ACL-Funktion aktiviert sein. Wenn die Funktion deaktiviert ist und Sie versuchen, eine ACL-Regel zu aktivieren, wird die Meldung “ACL wird nicht ausgeführt” angezeigt.

So aktivieren Sie eine ACL-Regel

1. Bewegen Sie den Mauszeiger über die Regel, die Sie aktivieren möchten, und klicken Sie auf den Kreis mit drei Punkten.

2. Wählen Sie im Menü Aktivierenaus.

3. Alternativ können Sie das Optionsfeld für diese Regel auswählen und auf die Registerkarte Aktivieren klicken.

4. Klicken Sie an der Eingabeaufforderung auf Ja , um zu bestätigen.

Zusätzliche Aktionen für ACL-Regeln

Sie können die folgenden Aktionen auf ACL-Regeln anwenden:

1. Eine ACL-Regel deaktivieren

2. Bearbeiten einer ACL-Regel

3. Löschen einer ACL-Regel

4. Priorität von ACL-Regeln neu nummerieren

So deaktivieren Sie eine ACL-Regel

1. Bewegen Sie die Maus über die Regel, die Sie deaktivieren möchten, und wählen Sie den Kreis mit drei Punkten aus.

2. Klicken Sie in der Liste auf Deaktivieren .

3. Alternativ können Sie das Optionsfeld für diese Regel auswählen und auf die Registerkarte Deaktivieren klicken.

4. Klicken Sie auf Ja, um zu bestätigen.

Hinweis

Wenn Sie eine Regel deaktivieren, gilt die Regel nicht mehr für eingehenden Datenverkehr; die Regelkonfiguration bleibt jedoch unter ACL-Einstellungen.

So bearbeiten Sie eine ACL-Regel

1. Bewegen Sie den Mauszeiger über die Regel, die Sie bearbeiten möchten, und wählen Sie den Kreis mit drei Punkten aus.

2. Klicken Sie in der Liste auf Regel bearbeiten . Das Fenster Regel ändern wird geöffnet.

3. Alternativ können Sie das Optionsfeld für diese Regel auswählen und auf die Registerkarte Regel bearbeiten klicken. Das Fenster Regel ändern wird geöffnet.

4. Nehmen Sie die Änderungen vor und klicken Sie auf OK.

Hinweis

Sie können eine Regel sowohl im aktivierten als auch im deaktivierten Zustand bearbeiten. Wenn Sie eine Regel bearbeiten, die bereits aktiviert ist, werden die Änderungen sofort übernommen. Bei einer Regel mit deaktiviertem Status werden die Änderungen übernommen, wenn Sie die Regel aktivieren.

So löschen Sie eine ACL-Regel

1. Stellen Sie sicher, dass sich die Regel im deaktivierten Zustand befindet.

2. Bewegen Sie den Mauszeiger über die Regel, die Sie löschen möchten, und wählen Sie den Kreis mit drei Punkten aus. Klicken Sie in der Liste auf Regel löschen .

3. Alternativ können Sie das Optionsfeld für diese Regel aktivieren und auf die Registerkarte Regel löschen klicken.

4. Klicken Sie auf Ja, um zu bestätigen.

Hinweis

Sie können eine Regel mit aktiviertem Status nicht löschen.

So nummerieren Sie Prioritäten von ACL-Regeln neu

1. Bewegen Sie den Mauszeiger über die Regel, für die Sie die Prioritäten neu nummerieren möchten, und wählen Sie den Kreis mit drei Punkten aus. Klicken Sie in der Liste auf Priorität neu nummerieren.

2. Alternativ können Sie das Optionsfeld für diese Regel auswählen und auf die Registerkarte Aktion auswählen klicken.

3. Wählen Sie Priorität (en) neu nummerieren aus.

4. Der SDX Management Service weist allen bestehenden Regeln automatisch neue Prioritätsnummern zu, die ein Vielfaches von 10 sind.

5. Bearbeiten Sie die Regeln, um Prioritätsnummern entsprechend Ihrer Anforderung zuzuweisen. Weitere Informationen zum Bearbeiten einer Regel finden Sie im Abschnitt “So bearbeiten Sie eine ACL-Regel”.

Abbildung. Ein Beispiel für bestehende Prioritätsnummern Vorhandene Prioritätsnummer

Abbildung. Ein Beispiel für Prioritätszahlen in Vielfachen von 10, nachdem Prioritäten neu nummeriert wurden Priorität neu nummeriert

Fehlerbehebung

Wenn ACL-Regeln falsch eingerichtet sind, kann allen Benutzerkonten der Zugriff verweigert werden. Wenn Sie versehentlich den gesamten Netzwerkzugriff auf den SDX-Verwaltungsdienst aufgrund unsachgemäßer ACL-Setup verlieren, gehen Sie folgendermaßen vor, um Zugriff zu erhalten.

1. Melden Sie sich mit SSH und Ihrem Root-Konto bei der XenServer-Management-IP-Adresse an.

2. Melden Sie sich mit nsroot-Berechtigungen an der Konsole der Verwaltungsdienst-VM an.

3. Führen Sie den Befehl “pfctl — d” aus.

4. Melden Sie sich über die GUI beim Verwaltungsdienst an, und konfigurieren Sie die ACL entsprechend neu.

Zugriffssteuerungslisten