Citrix ADC

Directivas clásicas y avanzadas

Advertencia

Las expresiones de directiva clásicas están obsoletas desde Citrix ADC 12.0 compilación 56.20 en adelante y, como alternativa, Citrix recomienda utilizar directivas avanzadas. Para obtener más información, consulte Directivas avanzadas

Las directivas clásicas evalúan las funciones básicas del tráfico y otros datos. Por ejemplo, las directivas clásicas pueden identificar si una solicitud o respuesta HTTP contiene un tipo concreto de encabezado o URL.

Las directivas avanzadas pueden realizar el mismo tipo de evaluaciones que las directivas clásicas. Además, las directivas de sintaxis predeterminadas permiten analizar más datos (por ejemplo, el cuerpo de una solicitud HTTP) y configurar más operaciones en la regla de directiva (por ejemplo, transformar los datos del cuerpo de una solicitud en un encabezado HTTP).

Además de asignar una directiva una acción o un perfil, la vincula a un punto concreto del procesamiento asociado con las funciones de Citrix ADC. El punto de enlace es un factor que determina cuándo se evaluará la directiva.

Ventajas del uso de directivas avanzadas

Las directivas de sintaxis predeterminadas utilizan un potente lenguaje de expresión basado en un modelo de objetos de clase y ofrecen varias opciones que mejoran la capacidad de configurar el comportamiento de varias funciones de Citrix ADC. Con las directivas de sintaxis predeterminadas, puede hacer lo siguiente:

  • Realice análisis detallados del tráfico de red de las capas 2 a 7.
  • Evalúe cualquier parte del encabezado o cuerpo de una solicitud o respuesta HTTP o HTTPS.
  • Enlazar directivas a los múltiples puntos de enlace que admite la infraestructura de directiva de sintaxis predeterminada en los niveles de servidor virtual, de reemplazo y predeterminado.
  • Utilice expresiones goto para transferir el control a otras directivas y puntos de enlace, según lo determinado por el resultado de la evaluación de expresiones.
  • Utilice herramientas especiales como conjuntos de patrones, etiquetas de directivas, identificadores de límite de velocidad y llamadas HTTP, que le permiten configurar directivas de manera eficaz para casos de uso complejos.

Además, la utilidad de configuración amplía el soporte sólido de interfaz gráfica de usuario para las directivas y expresiones de sintaxis predeterminadas y permite a los usuarios que tienen un conocimiento limitado de los protocolos de red configurar directivas de forma rápida y sencilla. La utilidad de configuración también incluye una función de evaluación de directivas para las directivas de sintaxis predeterminadas. Puede utilizar esta función para evaluar una directiva de sintaxis predeterminada y probar su comportamiento antes de confirmarla, reduciendo así el riesgo de errores de configuración.

Componentes básicos de una directiva avanzada

A continuación se presentan algunas funciones de una directiva avanzada:

  • Nombre. Cada directiva tiene un nombre único.

  • Regla. La regla es una expresión lógica que permite a la función Citrix ADC evaluar un fragmento de tráfico u otro objeto. Por ejemplo, una regla puede habilitar el dispositivo Citrix ADC para determinar si una solicitud HTTP se originó a partir de una dirección IP determinada o si un encabezado Cache-Control en una solicitud HTTP tiene el valor “No-Cache”.

Las directivas avanzadas pueden utilizar todas las expresiones que están disponibles en una directiva clásica, con la excepción de las expresiones clásicas para el cliente SSL VPN. Además, las directivas avanzadas permiten configurar expresiones más complejas.

  • Fijaciones. Para asegurarse de que Citrix ADC pueda invocar una directiva cuando sea necesaria, asocie la directiva o la vincule a uno o más puntos de enlace.

Puede enlazar una directiva globalmente o a un servidor virtual. Para obtener más información, consulte Acerca de los enlaces de directivas.

  • Una acción asociada. Una acción es una entidad independiente de una directiva. En última instancia, la evaluación de directivas da como resultado que el dispositivo Citrix ADC realice una acción.

Por ejemplo, una directiva en la caché integrada puede identificar solicitudes HTTP para archivos.gif o.jpeg. Una acción que asocia con esta directiva determina que las respuestas a estos tipos de solicitudes se sirven desde la caché.

Para algunas funciones, puede configurar acciones como parte de un conjunto de instrucciones más complejo conocido como perfil.

Cómo usan las directivas diferentes funciones de Citrix ADC

Citrix ADC admite varias funciones que dependen de directivas para su funcionamiento. En la siguiente tabla se resume cómo utilizan las funciones de Citrix ADC las directivas.

Nombre de la funcionalidad Tipo de directiva Cómo se utilizan las directivas en la función
Sistema Clásico Para la función Autenticación, las directivas contienen esquemas de autenticación para diferentes métodos de autenticación. Por ejemplo, puede configurar LDAP y esquemas de autenticación basados en certificados. También puede configurar directivas en la función Auditoría.
DNS Avanzado Para determinar cómo realizar la resolución DNS de las solicitudes.
SSL Clásico y Avanzado Determinar cuándo aplicar una función de cifrado y agregar información de certificado para borrar texto. Para proporcionar seguridad de extremo a extremo, después de descifrar un mensaje, la función SSL vuelve a cifrar el texto sin cifrar y utiliza SSL para comunicarse con servidores web.
Compresión Clásico y Avanzado Para determinar qué tipo de tráfico se comprime.
Almacenamiento en caché integrado Avanzado Para determinar si las respuestas HTTP se pueden almacenar en caché.
Respondedor Avanzado Para configurar el comportamiento de la función Responder.
Funciones de protección Clásico Para configurar el comportamiento de las funciones Filtro, SureConnect y Cola de prioridad.
Cambio de contenido Clásico y Avanzado Determinar qué servidor o grupo de servidores es responsable de servir respuestas, en función de las funciones de una solicitud entrante. Las funciones de solicitud incluyen el tipo de dispositivo, el idioma, las cookies, el método HTTP, el tipo de contenido y el servidor de caché asociado.
AAA: Administración del tráfico Clásico. Excepciones: Las directivas de tráfico solo admiten las directivas de sintaxis predeterminadas y las directivas de autorización admiten tanto las directivas de sintaxis clásicas como las predeterminadas. Para comprobar la seguridad del lado del cliente antes de que los usuarios inicien sesión y establezcan una sesión. Las directivas de tráfico, que determinan si se requiere inicio de sesión único (SSO), utilizan solo la sintaxis predeterminada. Las directivas de autorización autorizan a los usuarios y grupos que tienen acceso a los recursos de la intranet a través del dispositivo.
Redirección de caché Clásico Determinar si las respuestas se sirven desde una caché o desde un servidor de origen.
Reescribir Avanzado Para identificar los datos HTTP que quiere modificar antes de servir. Las directivas proporcionan reglas para modificar los datos. Por ejemplo, puede modificar los datos HTTP para redirigir una solicitud a una nueva página principal, a un nuevo servidor o a un servidor seleccionado en función de la dirección de la solicitud entrante, o bien puede modificar los datos para enmascarar la información del servidor en una respuesta con fines de seguridad. La función Transformador de URL identifica las URL en transacciones HTTP y archivos de texto con el fin de evaluar si se debe transformar una URL.
Firewall de aplicaciones Clásico y Avanzado Identificar las funciones del tráfico y los datos que deben o no admitirse a través del firewall.
Citrix Gateway, función de acceso sin cliente Avanzado Para definir reglas de reescritura para el acceso web general mediante Citrix Gateway.
Citrix Gateway Clásico Determinar cómo Citrix Gateway realiza la autenticación, la autorización, la auditoría y otras funciones.

Acerca de las acciones y los perfiles

Las directivas no toman por sí mismas medidas en relación con los datos. Las directivas proporcionan una lógica de solo lectura para evaluar el tráfico. Para habilitar una función para realizar una operación basada en una evaluación de directivas, configure acciones o perfiles y asociarlos a directivas.

Nota: Las acciones y los perfiles son específicos de determinadas funciones. Para obtener información sobre la asignación de acciones y perfiles a entidades, consulte la documentación de las entidades individuales.

Acerca de las acciones

Las acciones son pasos que realiza Citrix ADC, en función de la evaluación de la expresión en la directiva. Por ejemplo, si una expresión de una directiva coincide con una dirección IP de origen determinada en una solicitud, la acción asociada a esta directiva determina si la conexión está permitida.

Los tipos de acciones que Citrix ADC puede realizar son específicos de cada función. Por ejemplo, en Reescribir, las acciones pueden reemplazar el texto de una solicitud, cambiar la dirección URL de destino de una solicitud, etc. En Almacenamiento en caché integrado, las acciones determinan si las respuestas HTTP se sirven desde la caché o desde un servidor de origen.

En algunas funciones de Citrix ADC, las acciones están predefinidas y en otras son configurables. En algunos casos, (por ejemplo, Reescribir), se configuran las acciones mediante los mismos tipos de expresiones que se utilizan para configurar la regla de directiva asociada.

Acerca de los perfiles

Algunas funciones de Citrix ADC le permiten asociar perfiles, o ambas acciones y perfiles, a una directiva. Un perfil es una colección de configuraciones que permiten a la entidad realizar una función compleja. Por ejemplo, en el firewall de la aplicación, un perfil para datos XML puede realizar varias operaciones de selección, como examinar los datos en busca de sintaxis XML ilegal o pruebas de inyección SQL.

Uso de acciones y perfiles en funciones particulares

En la siguiente tabla se resume el uso de acciones y perfiles en diferentes funciones de Citrix ADC. El cuadro no es exhaustivo. Para obtener más información acerca de los usos específicos de las acciones y los perfiles de una función, consulte la documentación de la función.

Función Uso de una acción Uso de un perfil
Firewall de aplicaciones Sinónimo de un perfil Todas las funciones de firewall de aplicaciones utilizan perfiles para definir comportamientos complejos, incluido el aprendizaje basado en patrones. Agregue estos perfiles a las directivas.
Citrix Gateway Las siguientes funciones de Citrix Gateway utilizan acciones: Autenticación previa. Utiliza las acciones Permitir y Denegar. Agregue estas acciones a un perfil., Autorización. Utiliza las acciones Permitir y Denegar. Agregue estas acciones a una directiva. Compresión TCP. Utiliza varias acciones. Agregue estas acciones a una directiva. Las siguientes funciones utilizan un perfil: Autenticación previa, Sesión, Tráfico y Acceso sin cliente. Después de configurar los perfiles, los agrega a las directivas.
Reescribir Las acciones de reescritura de URL se configuran y se agregan a una directiva. No se usa.
Almacenamiento en caché integrado Configurar acciones de invalidación y almacenamiento en caché dentro de una directiva No se usa.
AAA: Administración del tráfico Seleccione un tipo de autenticación, establezca una acción de autorización de Permitir o DENAR, o establezca la auditoría en SYSLOG o NSLOG. Puede configurar perfiles de sesión con un tiempo de espera predeterminado y una acción de autorización.
Funciones de protección Las acciones se configuran dentro de las directivas para las siguientes funciones: Filtro, Compresión, Responder y SureConnect. No se usa.
SSL Configurar acciones dentro de directivas SSL No se usa.
Sistema La acción está implícita. Para la función Autenticación, es Permitir o Denegar. Para Auditoría, es Auditar activado o Auditar desactivado. No se usa.
DNS La acción está implícita. Es Drop Packets o la ubicación de un servidor DNS. No se usa.
Descarga de SSL La acción está implícita. Se basa en una directiva que se asocia con un servidor virtual SSL o un servicio. No se usa.
Compresión Determinar el tipo de compresión que se aplicará a los datos No se usa.
Cambio de contenido La acción está implícita. Si una solicitud coincide con la directiva, la solicitud se dirige al servidor virtual asociado a la directiva. No se usa.
Redirección de caché La acción está implícita. Si una solicitud coincide con la directiva, la solicitud se dirige al servidor de origen. No se usa.

Acerca de los enlaces de directivas

Una directiva está asociada o vinculada a una entidad que permite invocar la directiva. Por ejemplo, puede vincular una directiva a la evaluación de tiempo de solicitud que se aplica a todos los servidores virtuales. Un conjunto de directivas vinculadas a un punto de enlace determinado constituye un banco de directivas.

A continuación se presenta una descripción general de los diferentes tipos de puntos de enlace para una directiva:

  • Tiempo de solicitud global. Una directiva puede estar disponible para todos los componentes de una función en el momento de la solicitud.
  • Tiempo de respuesta global. Una directiva puede estar disponible para todos los componentes de una entidad en el tiempo de respuesta.
  • Tiempo de solicitud, específico del servidor virtual.

Una directiva puede vincularse al procesamiento de tiempo de solicitud para un servidor virtual determinado. Por ejemplo, puede enlazar una directiva de tiempo de solicitud a un servidor virtual de redirección de caché para asegurarse de que determinadas solicitudes se reenvían a un servidor virtual de equilibrio de carga para la caché y otras solicitudes se envían a un servidor virtual de equilibrio de carga para el origen.

  • Tiempo de respuesta, específico del servidor virtual. Una directiva también puede vincularse al procesamiento de tiempo de respuesta para un servidor virtual determinado.
  • Etiqueta de directiva definida por el usuario. Para las directivas de sintaxis predeterminadas, puede configurar agrupaciones personalizadas de directivas (bancos de directivas) definiendo una etiqueta de directiva y recopilando un conjunto de directivas relacionadas bajo la etiqueta de directiva.
  • Otros puntos de enlace. La disponibilidad de puntos de enlace adicionales depende del tipo de directiva (sintaxis clásica o predeterminada) y de los detalles de la función Citrix ADC relevante. Por ejemplo, las directivas clásicas que configura para Citrix Gateway tienen puntos de enlace de usuarios y grupos.

Para obtener información adicional acerca de los enlaces de directivas avanzados, consulte Vincular directivas que utilizan las directivas avanzadas y Configurar un banco de directivas para un servidor virtual. Para obtener información adicional acerca de los enlaces de directivas clásicos, consulte Configurar una directiva clásica.

Acerca del orden de evaluación de las directivas

Para las directivas clásicas, los grupos de directivas y las directivas de un grupo se evalúan en un orden determinado, según lo siguiente:

  • El punto de enlace de la directiva, por ejemplo, si la directiva está enlazada al procesamiento de tiempo de solicitud para un servidor virtual o al procesamiento global de tiempo de respuesta. Por ejemplo, en el momento de la solicitud, Citrix ADC evalúa todas las directivas clásicas de tiempo de solicitud antes de evaluar las directivas específicas del servidor virtual.
  • El nivel de prioridad de la directiva. Para cada punto del proceso de evaluación, un nivel de prioridad asignado a una directiva determina el orden de evaluación en relación con otras directivas que comparten el mismo punto de enlace. Por ejemplo, cuando Citrix ADC evalúa un banco de directivas específicas de servidor virtual de tiempo de solicitud, comienza con la directiva asignada al valor de prioridad más bajo. En las directivas clásicas, los niveles de prioridad deben ser únicos en todos los puntos de enlace.

En el caso de las directivas avanzadas, al igual que en el caso de las directivas clásicas, Citrix ADC selecciona una agrupación o banco de directivas en un punto concreto del procesamiento general. A continuación se presenta el orden de evaluación de las agrupaciones básicas, o bancos, de las directivas avanzadas:

  1. Anulación global del tiempo de solicitud
  2. Tiempo de solicitud, específico del servidor virtual (un punto de enlace por servidor virtual)
  3. Valor predeterminado global de tiempo de solicitud
  4. Anulación global del tiempo de respuesta
  5. Específico del servidor virtual en tiempo de respuesta
  6. Valor predeterminado global de tiempo de respuesta

Sin embargo, dentro de cualquiera de los bancos de directivas anteriores, el orden de evaluación es más flexible que en las directivas clásicas. Dentro de un banco de directivas, puede apuntar a la siguiente directiva que se va a evaluar independientemente del nivel de prioridad, y puede invocar bancos de directivas que pertenecen a otros puntos de enlace y bancos de directivas definidos por el usuario.

Orden de evaluación basado en el flujo de tráfico

A medida que el tráfico fluye a través del dispositivo Citrix ADC y se procesa mediante diversas funciones, cada función realiza una evaluación de directivas. Siempre que una directiva coincide con el tráfico, Citrix ADC almacena la acción y continúa procesando hasta que los datos estén a punto de salir del dispositivo Citrix ADC. En ese momento, el dispositivo Citrix ADC suele aplicar todas las acciones coincidentes. El almacenamiento en caché integrado, que solo aplica una acción final de caché o noCache, es una excepción.

Algunas directivas afectan el resultado de otras directivas. A continuación se presentan ejemplos:

  • Si se envía una respuesta desde la caché integrada, algunas otras funciones de Citrix ADC no procesan la respuesta ni la solicitud que la inició.
  • Si la función Filtrado de contenido impide que se presente una respuesta, ninguna de las funciones posteriores evaluará la respuesta.

Si el firewall de la aplicación rechaza una solicitud entrante, ninguna otra función puede procesarla.