Citrix ADC

Directiva avanzada Infraestructura

Advertencia

Las expresiones de directiva clásicas están obsoletas desde Citrix ADC 12.0 compilación 56.20 en adelante y, como alternativa, Citrix recomienda utilizar directivas avanzadas. Para obtener más información, consulte Directivas avanzadas

La infraestructura avanzada de directivas (PI) permite analizar más datos (por ejemplo, el cuerpo de una solicitud HTTP) y configurar más operaciones en la regla de directivas (por ejemplo, transformar los datos del cuerpo de una solicitud en un encabezado HTTP).

Además de asignar una directiva una acción o un perfil, la vincula a un punto concreto del procesamiento asociado con las funciones de Citrix ADC. El punto de enlace es un factor que determina cuándo se evaluará la directiva.

Beneficios del uso de directivas avanzadas

Las directivas de directivas avanzadas utilizan un potente lenguaje de expresión basado en un modelo de objetos de clase y ofrecen varias opciones que mejoran la capacidad de configurar el comportamiento de varias funciones de Citrix ADC. Con la infraestructura de directivas avanzadas (PI), puede hacer lo siguiente:

  • Realice análisis detallados del tráfico de red de las capas 2 a 7.
  • Evalúe cualquier parte del encabezado o cuerpo de una solicitud o respuesta HTTP o HTTPS.
  • Vincular directivas a los múltiples puntos de enlace que admite la infraestructura de directivas avanzadas (PI) en los niveles de servidor virtual, de anulación y de anulación por defecto.
  • Utilice expresiones goto para transferir el control a otras directivas y puntos de enlace, según lo determinado por el resultado de la evaluación de expresiones.
  • Utilice herramientas especiales como conjuntos de patrones, etiquetas de directivas, identificadores de límite de velocidad y llamadas HTTP, que le permiten configurar directivas de manera eficaz para casos de uso complejos.

Además, la utilidad de configuración amplía un sólido soporte de interfaz gráfica de usuario para la infraestructura de directivas avanzadas (PI) y expresiones y permite a los usuarios que tienen un conocimiento limitado de los protocolos de red configurar directivas de forma rápida y sencilla. La utilidad de configuración también incluye una función de evaluación de directivas para directivas avanzadas. Puede utilizar esta función para evaluar una directiva avanzada y probar su comportamiento antes de comprobarla, lo que reduce el riesgo de errores de configuración.

Componentes básicos de una directiva avanzada

A continuación se presentan algunas funciones de una directiva avanzada:

  • Name. Cada directiva tiene un nombre exclusivo.

  • Regla. La regla es una expresión lógica que permite a la función Citrix ADC evaluar un fragmento de tráfico u otro objeto. Por ejemplo, una regla puede permitir que Citrix ADC determine si una solicitud HTTP se originó desde una dirección IP concreta o si un encabezado Cache-Control de una solicitud HTTP tiene el valor “No-Cache”.

Las directivas avanzadas pueden utilizar todas las expresiones disponibles en una directiva clásica, a excepción de las expresiones clásicas para el cliente VPN SSL. Además, las directivas avanzadas permiten configurar expresiones más complejas.

  • Fijaciones. Para asegurarse de que Citrix ADC pueda invocar una directiva cuando sea necesaria, debe asociarla o vincularla a uno o más puntos de enlace.

Puede enlazar una directiva globalmente o a un servidor virtual. Para obtener más información, consulte Acerca de los enlaces de directivas.

  • Una acción asociada. Una acción es una entidad independiente de una directiva. En última instancia, la evaluación de directivas da lugar a que Citrix ADC realice una acción.

Por ejemplo, una directiva de la caché integrada puede identificar solicitudes HTTP de archivos.gif o.jpeg. Una acción asociada a esta directiva determina que las respuestas a este tipo de solicitudes se sirven desde la caché.

Para algunas funciones, las acciones se configuran como parte de un conjunto de instrucciones más complejo conocido como perfil.

Cómo utilizan las directivas las distintas funciones de Citrix ADC

Citrix ADC admite varias funciones que dependen de las directivas para su funcionamiento. En la tabla siguiente se resume el modo en que las funciones de Citrix ADC utilizan las directivas.

Nombre de función Tipo de directiva Cómo utilizar las directivas en la función
Sistema Clásico Para la función Autenticación, las directivas contienen esquemas de autenticación para distintos métodos de autenticación. Por ejemplo, puede configurar esquemas de autenticación basados en certificados y LDAP. También se configuran las directivas en la función Auditoría.
DNS Avanzado Determinar cómo llevar a cabo la resolución DNS de las solicitudes.
SSL Clásico y avanzado Para determinar cuándo aplicar una función de cifrado y agregar información de certificado al texto sin cifrar. Para proporcionar seguridad de extremo a extremo, después de descifrar un mensaje, la función SSL vuelve a cifrar el texto sin cifrar y utiliza SSL para comunicarse con los servidores web.
Compresión Clásico y avanzado Determinar qué tipo de tráfico se comprime.
Almacenamiento en caché integrado Avanzado Para determinar si las respuestas HTTP se pueden almacenar en caché.
Responder Avanzado Configurar el comportamiento de la función Responder.
Funciones de protección Clásico Configurar el comportamiento de las funciones Filter, SureConnect y Priority Queue Server.
Conmutación de contenido Clásico y avanzado Determinar qué servidor o grupo de servidores es responsable de atender las respuestas, en función de las funciones de una solicitud entrante. Las funciones de solicitud incluyen el tipo de dispositivo, el idioma, las cookies, el método HTTP, el tipo de contenido y el servidor de caché asociado.
AAA - Gestión del tráfico Clásico. Excepciones: Las directivas de tráfico solo admiten infraestructuras de directivas (PI) avanzadas y las directivas de autorización admiten la infraestructura de directivas (PI) avanzada. Para comprobar la seguridad del lado del cliente antes de que los usuarios inicien sesión y establezcan una sesión. Las directivas de tráfico, que determinan si se requiere el inicio de sesión único (SSO), utilizan únicamente la directiva Avanzada. Las directivas de autorización autorizan a los usuarios y grupos que tienen acceso a los recursos de la intranet a través del dispositivo.
Redirección de caché Clásico Para determinar si las respuestas se entregan desde una caché o desde un servidor de origen.
Reescribe Avanzado Identificar los datos HTTP que quiere modificar antes de servir. Las directivas proporcionan reglas para modificar los datos. Por ejemplo, puede modificar los datos HTTP para redirigir una solicitud a una nueva página principal, a un nuevo servidor o a un servidor seleccionado en función de la dirección de la solicitud entrante, o puede modificar los datos para enmascarar la información del servidor en una respuesta por motivos de seguridad. La función URL Transformer identifica las URL de las transacciones HTTP y los archivos de texto con el fin de evaluar si se debe transformar una URL.
Firewall de aplicaciones Clásico y avanzado Identificar las funciones del tráfico y los datos que deben o no admitirse a través del firewall.
Citrix Gateway, función Acceso sin cliente Avanzado Para definir reglas de reescritura para el acceso web general mediante Citrix Gateway.
Citrix Gateway Clásico Determinar cómo Citrix Gateway realiza la autenticación, autorización, auditoría y otras funciones.

Acerca de las acciones y los perfiles

Las directivas no toman medidas por sí mismas sobre los datos. Las directivas proporcionan una lógica de solo lectura para evaluar el tráfico. Para permitir que una función realice una operación basada en una evaluación de directivas, debe configurar acciones o perfiles y asociarlos a directivas.

Nota: Las acciones y los perfiles son específicos de determinadas funciones. Para obtener información sobre la asignación de acciones y perfiles a entidades, consulte la documentación de las funciones individuales.

Acerca de las acciones

Las acciones son pasos que realiza Citrix ADC, según la evaluación de la expresión de la directiva. Por ejemplo, si una expresión de una directiva coincide con una dirección IP de origen concreta de una solicitud, la acción asociada a esta directiva determina si se permite la conexión.

Los tipos de acciones que Citrix ADC puede llevar a cabo son específicos de cada función. Por ejemplo, en Reescritura, las acciones pueden reemplazar el texto de una solicitud, cambiar la URL de destino de una solicitud, etc. En el almacenamiento en caché integrado, las acciones determinan si las respuestas HTTP se entregan desde la caché o desde un servidor de origen.

En algunas funciones de Citrix ADC, las acciones están predefinidas y en otras son configurables. En algunos casos, (por ejemplo, Reescritura), se configuran las acciones con los mismos tipos de expresiones que se utilizan para configurar la regla de directiva asociada.

Acerca de los perfiles

Algunas funciones de Citrix ADC permiten asociar perfiles, o tanto acciones como perfiles, a una directiva. Un perfil es un conjunto de ajustes que permiten a la función realizar una función compleja. Por ejemplo, en el firewall de la aplicación, un perfil de datos XML puede realizar varias operaciones de filtrado, como examinar los datos en busca de sintaxis XML ilegal o pruebas de inyección de SQL.

Uso de acciones y perfiles en determinadas funciones

En la tabla siguiente se resume el uso de acciones y perfiles en distintas funciones de Citrix ADC. La tabla no es exhaustiva. Para obtener más información sobre los usos específicos de las acciones y los perfiles de una función, consulte la documentación de la función.

Función Uso de una acción Uso de un perfil
Firewall de aplicaciones Sinónimo de perfil Todas las funciones de firewall de aplicaciones utilizan perfiles para definir comportamientos complejos, incluido el aprendizaje basado en patrones. Estos perfiles se agregan a las directivas.
Citrix Gateway Las siguientes funciones de las acciones de uso de Citrix Gateway: Autenticación previa. Utiliza las acciones Permitir y Denegar. Estas acciones se agregan a un perfil., Autorización. Utiliza las acciones Permitir y Denegar. Estas acciones se agregan a una directiva. Compresión TCP. Utiliza varias acciones. Estas acciones se agregan a una directiva. Las siguientes funciones utilizan un perfil: Autenticación previa, Sesión, Tráfico y Acceso sin cliente. Después de configurar los perfiles, los agregará a las directivas.
Reescribe Las acciones de reescritura de URL se configuran y se agregan a una directiva. No se usa.
Almacenamiento en caché integrado Configurar acciones de almacenamiento en caché e invalidación dentro de una directiva No se usa.
AAA - Gestión del tráfico Se selecciona un tipo de autenticación, se establece una acción de autorización de ALLOW o DENY, o se establece la auditoría en SYSLOG o NSLOG. Puede configurar los perfiles de sesión con una acción de autorización y tiempo de espera predeterminados.
Funciones de protección Las acciones se configuran dentro de las directivas para las siguientes funciones: Filtro, Compresión, Responder y SureConnect. No se usa.
SSL Las acciones se configuran dentro de las directivas SSL No se usa.
Sistema La acción está implícita. Para la función Autenticación, es Permitir o Denegar. En el caso de la auditoría, está activada o desactivada la auditoría. No se usa.
DNS La acción está implícita. Se trata de Drop Packets o la ubicación de un servidor DNS. No se usa.
Descarga de SSL La acción está implícita. Se basa en una directiva que se asocia a un servidor virtual SSL o a un servicio. No se usa.
Compresión Determinar el tipo de compresión que se aplicará a los datos No se usa.
Conmutación de contenido La acción está implícita. Si una solicitud coincide con la directiva, la solicitud se dirige al servidor virtual asociado a la directiva. No se usa.
Redirección de caché La acción está implícita. Si una solicitud coincide con la directiva, la solicitud se dirige al servidor de origen. No se usa.

Acerca de las vinculaciones de directivas

Una directiva está asociada o vinculada a una entidad que permite invocar la directiva. Por ejemplo, puede vincular una directiva a la evaluación de tiempo de solicitud que se aplica a todos los servidores virtuales. Un conjunto de directivas vinculadas a un punto de enlace determinado constituye un banco de directivas.

A continuación se presenta un resumen de los diferentes tipos de puntos de enlace de una directiva:

  • Tiempo de solicitud global. Una directiva puede estar disponible para todos los componentes de una función en el momento de la solicitud.
  • Tiempo de respuesta global. Una directiva puede estar disponible para todos los componentes de una función en el momento de respuesta.
  • Tiempo de solicitud, específico del servidor virtual.

Una directiva se puede enlazar al procesamiento en tiempo de solicitud de un servidor virtual concreto. Por ejemplo, puede enlazar una directiva de tiempo de solicitud a un servidor virtual de redirección de caché para garantizar que determinadas solicitudes se reenvíen a un servidor virtual de equilibrio de carga para la caché y que otras solicitudes se envíen a un servidor virtual de equilibrio de carga para el origen.

  • Tiempo de respuesta específico del servidor virtual. Una directiva también se puede enlazar al procesamiento del tiempo de respuesta de un servidor virtual concreto.
  • Etiqueta de directiva definida por el usuario. Para la infraestructura de directivas avanzada (PI), puede configurar agrupaciones personalizadas de directivas (bancos de directivas) definiendo una etiqueta de directiva y recopilando un conjunto de directivas relacionadas bajo el rótulo de directiva.
  • Otros puntos de enlace. La disponibilidad de puntos de enlace adicionales depende del tipo de directiva avanzada y de las funciones específicas de la función Citrix ADC pertinente.

Para obtener información adicional sobre los enlaces de directivas avanzadas, consulte Vincular directivas que utilizan el tema Directivas avanzadas .

Acerca del orden de evaluación de las directivas

Los grupos de directivas y las directivas de un grupo se evalúan en un orden determinado, en función de lo siguiente:

  • El punto de enlace de la directiva, por ejemplo, si la directiva está vinculada al procesamiento en tiempo de solicitud de un servidor virtual o al procesamiento de tiempo de respuesta global. Por ejemplo, en el momento de la solicitud, Citrix ADC evalúa todas las directivas de tiempo de solicitud antes de evaluar cualquier directiva específica del servidor virtual.
  • El nivel de prioridad de la directiva. Para cada punto del proceso de evaluación, un nivel de prioridad asignado a una directiva determina el orden de evaluación en relación con otras directivas que comparten el mismo punto de enlace. Por ejemplo, cuando Citrix ADC evalúa un banco de directivas específicas del servidor virtual en el momento de la solicitud, comienza con la directiva asignada al valor de prioridad más bajo. En las directivas, los niveles de prioridad deben ser únicos en todos los puntos de enlace.

En el caso de las directivas avanzadas, Citrix ADC selecciona una agrupación o un banco de directivas en un punto concreto del procesamiento general. El siguiente es el orden de evaluación de las agrupaciones básicas, o bancos, de las directivas avanzadas:

  1. Anulación global en el momento de la solicitud
  2. En el momento de la solicitud, específico del servidor virtual (un punto de enlace por servidor virtual)
  3. Valor predeterminado global en el tiempo de solicitud
  4. Anulación global del tiempo de respuesta
  5. Tiempo de respuesta específico del servidor virtual
  6. Valor predeterminado global de tiempo de respuesta

Sin embargo, dentro de cualquiera de los bancos de directivas anteriores, el orden de evaluación es más flexible que en las directivas. Dentro de un banco de directivas, puede apuntar a la siguiente directiva que se evaluará independientemente del nivel de prioridad, y puede invocar bancos de directivas que pertenezcan a otros puntos de enlace y bancos de directivas definidos por el usuario.

Orden de evaluación basado en el flujo de tráfico

A medida que el tráfico fluye a través de Citrix ADC y se procesa mediante diversas funciones, cada función realiza una evaluación de directivas. Cuando una directiva coincide con el tráfico, Citrix ADC almacena la acción y continúa procesando hasta que los datos están a punto de salir de Citrix ADC. En ese momento, Citrix ADC suele aplicar todas las acciones coincidentes. El almacenamiento en caché integrado, que solo aplica una acción final de caché o nocache, es una excepción.

Algunas directivas afectan el resultado de otras directivas. A continuación se presentan algunos ejemplos:

  • Si se proporciona una respuesta desde la memoria caché integrada, otras funciones de Citrix ADC no procesan la respuesta ni la solicitud que la inició.
  • Si la función de filtrado de contenido impide que se publique una respuesta, ninguna función posterior evalúa la respuesta.

Si el firewall de la aplicación rechaza una solicitud entrante, ninguna otra función puede procesarla.