Citrix ADC SDX

Konsolidierung über Sicherheitsbereiche hinweg

Eine SDX-Appliance wird häufig für die Konsolidierung über Sicherheitszonen hinweg verwendet. Die DMZ bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk einer Organisation, da ein Angreifer nur Zugriff auf die DMZ hat. Es hat keinen Zugriff auf das interne Netzwerk der Organisation. In Umgebungen mit hoher Konformität ist eine einzelne Citrix ADC-Instanz mit VIP-Adressen sowohl in der DMZ als auch in einem internen Netzwerk nicht akzeptabel. Mit SDX können Sie Instanzen bereitstellen, die VIP-Adressen in der DMZ hosten, und andere Instanzen, die VIP-Adressen in einem internen Netzwerk hosten.

Manchmal benötigen Sie möglicherweise separate Verwaltungsnetzwerke für jede Sicherheitszone. Die NSIP-Adressen der Instanzen in der DMZ können sich in einem Netzwerk befinden. Die NSIP-Adressen der Instanzen mit VIPs im internen Netzwerk können sich in einem anderen Verwaltungsnetzwerk befinden. Oft muss die Kommunikation zwischen dem Management Service und den Instanzen möglicherweise über ein externes Gerät wie einen Router geleitet werden. Sie können Firewall-Richtlinien konfigurieren, um den an die Firewall gesendeten Datenverkehr zu steuern und den Datenverkehr zu protokollieren.

Die SDX-Appliance verfügt über zwei Verwaltungsschnittstellen (0/1 und 0/2) und je nach Modell über bis zu acht 1G-Datenports und acht 10G-Datenports. Sie können die Datenports auch als Management-Ports verwenden (z. B. wenn Sie getaggte VLANs konfigurieren müssen, da das Tagging auf den Verwaltungsschnittstellen nicht zulässig ist). In diesem Fall muss der Datenverkehr vom Management Service die Appliance verlassen und dann zur Appliance zurückkehren. Sie können diesen Datenverkehr weiterleiten oder optional ein NSVLAN auf einer der Instanz zugewiesenen Schnittstelle angeben. Wenn eine Verwaltungsschnittstelle zwischen einer Instanz und dem Management Service üblich ist, muss der Datenverkehr zwischen den beiden nicht geroutet werden. Wenn Ihr Setup dies jedoch ausdrücklich erfordert, kann der Verkehr weitergeleitet werden.

Hinweis: Tagging wird in Citrix Hypervisor Version 6.0 unterstützt.

Konsolidierung über Sicherheitsbereiche hinweg

In diesem Artikel