-
-
-
Configuración de Citrix ADC para Citrix Virtual Apps and Desktops
-
Preferencia de zona alimentada de Equilibrio de carga de servidor global (GSLB)
-
Implemente una plataforma de publicidad digital en AWS con Citrix ADC
-
Mejorar el análisis de Clickstream en AWS mediante Citrix ADC
-
Citrix ADC en una nube privada administrada por Microsoft Windows Azure Pack y Cisco ACI
-
-
Implementar una instancia de Citrix ADC VPX
-
Instalar una instancia de Citrix ADC VPX en un servidor desnudo
-
Instalar una instancia de Citrix ADC VPX en Citrix Hypervisor
-
Instalar una instancia de Citrix ADC VPX en la nube de VMware en AWS
-
Instalar una instancia de Citrix ADC VPX en servidores Microsoft Hyper-V
-
Instalar una instancia de Citrix ADC VPX en la plataforma Linux-KVM
-
Requisitos previos para instalar dispositivos virtuales Citrix ADC VPX en la plataforma Linux-KVM
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante OpenStack
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante Virtual Machine Manager
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red SR-IOV
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red PCI Passthrough
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante el programa virsh
-
Aprovisionamiento de Citrix ADC Virtual Appliance con SR-IOV, en OpenStack
-
-
Implementar una instancia de Citrix ADC VPX en AWS
-
Implementar una instancia independiente de Citrix ADC VPX en AWS
-
Servidores de equilibrio de carga en diferentes zonas de disponibilidad
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en diferentes zonas de AWS
-
Agregar el servicio de escalado automático de AWS de back-end
-
Configurar una instancia de Citrix ADC VPX para utilizar la interfaz de red SR-IOV
-
Configurar una instancia de Citrix ADC VPX para utilizar redes mejoradas con AWS ENA
-
Implementar una instancia de Citrix ADC VPX en Microsoft Azure
-
Arquitectura de red para instancias de Citrix ADC VPX en Microsoft Azure
-
Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX
-
Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC
-
Configurar una instancia de Citrix ADC VPX para usar redes aceleradas de Azure
-
Configurar nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix con ILB de Azure
-
Configurar GSLB en una configuración de alta disponibilidad en espera activa
-
Configurar grupos de direcciones (IIP) para un dispositivo Citrix Gateway
-
Scripts de PowerShell adicionales para la implementación de Azure
-
Implementar una instancia de Citrix ADC VPX en Google Cloud Platform
-
Automatizar la implementación y las configuraciones de Citrix ADC
-
Soluciones para proveedores de servicios de telecomunicaciones
-
Tráfico de plano de control de equilibrio de carga basado en los protocolos de diameter, SIP y SMPP
-
Utilización del ancho de banda mediante la funcionalidad de redirección de caché
-
Optimización TCP de Citrix ADC
-
Autenticación, autorización y auditoría del tráfico de aplicaciones
-
Cómo funciona la autenticación, la autorización y la auditoría
-
Componentes básicos de configuración de autenticación, autorización y auditoría
-
Autorizar el acceso de usuario a los recursos de la aplicación
-
Citrix ADC como proxy del servicio de federación de Active Directory
-
Citrix Gateway local como proveedor de identidades para Citrix Cloud
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Configuración de autenticación, autorización y auditoría para protocolos de uso común
-
Solucionar problemas relacionados con la autenticación y la autorización
-
-
-
-
Configuración de la expresión de directiva avanzada: Introducción
-
Expresiones de directiva avanzadas: Trabajar con fechas, horas y números
-
Expresiones de directiva avanzadas: Análisis de datos HTTP, TCP y UDP
-
Expresiones de directiva avanzadas: Análisis de certificados SSL
-
Expresiones de directivas avanzadas: Direcciones IP y MAC, rendimiento, ID de VLAN
-
Expresiones de directiva avanzadas: Funciones de análisis de flujo
-
Ejemplos de resumen de expresiones y directivas de sintaxis predeterminadas
-
Ejemplos de tutoriales de directivas de sintaxis predeterminadas para reescribir
-
Migración de las reglas mod_rewrite de Apache a la sintaxis predeterminada
-
-
-
-
Traducir la dirección IP de destino de una solicitud a la dirección IP de origen
-
-
Compatibilidad con la configuración de Citrix ADC en un clúster
-
-
Administración del clúster de Citrix ADC
-
Grupos de nodos para configuraciones manchadas y parcialmente rayadas
-
Desactivación de la dirección en el plano anterior del clúster
-
Quitar un nodo de un clúster implementado mediante la agregación de vínculos de clúster
-
Supervisión de la configuración del clúster mediante SNMP MIB con enlace SNMP
-
Supervisión de errores de propagación de comandos en una implementación de clúster
-
Compatibilidad con logotipos listos para IPv6 para clústeres
-
Enlace de interfaz VRRP en un clúster activo de un solo nodo
-
Casos de configuración y uso del clúster
-
Migración de una configuración de alta disponibilidad a una configuración de clúster
-
Interfaces comunes para cliente y servidor e interfaces dedicadas para plano anterior
-
Conmutador común para cliente y servidor y conmutador dedicado para plano anterior
-
Servicios de supervisión en un clúster mediante supervisión de rutas
-
Copia de seguridad y restauración de la configuración del clúster
-
-
-
Caso de uso 1: Configurar DataStream para una arquitectura de base de datos primaria/secundaria
-
Caso de uso 2: Configurar el método de token de equilibrio de carga para DataStream
-
Caso de uso 3: Registrar transacciones MSSQL en modo transparente
-
Caso de uso 4: Equilibrio de carga específico de base de datos
-
-
Configurar Citrix ADC como un solucionador de stub-aware no validador de seguridad
-
Soporte de tramas jumbo para DNS para manejar respuestas de tamaños grandes
-
Configurar el almacenamiento en caché negativo de registros DNS
-
Equilibrio de carga global del servidor
-
Configurar entidades GSLB individualmente
-
Caso de uso: Implementación de un grupo de servicios de escalado automático basado en direcciones IP
-
-
Estado de servicio y servidor virtual de equilibrio de carga
-
Insertar atributos de cookie a las cookies generadas por ADC
-
Proteger una configuración de equilibrio de carga contra fallos
-
Administrar el tráfico del cliente
-
Configurar servidores virtuales de equilibrio de carga sin sesión
-
Reescritura de puertos y protocolos para la redirección HTTP
-
Insertar la dirección IP y el puerto de un servidor virtual en el encabezado de solicitud
-
Usar una IP de origen especificada para la comunicación de back-end
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Administrar el tráfico del cliente sobre la base de la tasa de tráfico
-
Usar un puerto de origen de un intervalo de puertos especificado para la comunicación de back-end
-
Configurar la persistencia de IP de origen para la comunicación de back-end
-
-
Configuración avanzada de equilibrio de carga
-
Incremente gradualmente la carga en un nuevo servicio con inicio lento a nivel de servidor virtual
-
Proteja las aplicaciones en servidores protegidos contra sobretensiones de tráfico
-
Habilitar la limpieza de las conexiones de servidor virtual y servicio
-
Habilitar o inhabilitar la sesión de persistencia en los servicios TROFS
-
Habilitar la comprobación externa del estado de TCP para servidores virtuales UDP
-
Mantener la conexión de cliente para varias solicitudes de cliente
-
Inserte la dirección IP del cliente en el encabezado de solicitud
-
Usar la dirección IP de origen del cliente al conectarse al servidor
-
Configurar el puerto de origen para las conexiones del lado del servidor
-
Establecer un límite en el número de solicitudes por conexión al servidor
-
Establecer un valor de umbral para los monitores enlazados a un servicio
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Establecer un valor de tiempo de espera para las conexiones de servidor inactivas
-
Establecer un límite en el uso del ancho de banda por parte de los clientes
-
Conservar el identificador de VLAN para la transparencia de VLAN
-
-
Configurar monitores en una configuración de equilibrio de carga
-
Configurar el equilibrio de carga para los protocolos de uso común
-
Caso de uso 3: Configurar el equilibrio de carga en el modo de retorno directo del servidor
-
Caso de uso 6: Configurar el equilibrio de carga en modo DSR para redes IPv6 mediante el campo TOS
-
Caso de uso 7: Configurar el equilibrio de carga en modo DSR mediante IP sobre IP
-
Caso de uso 8: Configurar el equilibrio de carga en modo de un brazo
-
Caso de uso 9: Configurar el equilibrio de carga en el modo en línea
-
Caso de uso 10: Equilibrio de carga de servidores del sistema de detección de intrusiones
-
Caso de uso 11: Aislamiento del tráfico de red mediante directivas de escucha
-
Caso de uso 12: Configurar XenDesktop para el equilibrio de carga
-
Caso de uso 13: Configurar XenApp para el equilibrio de carga
-
Caso de uso 14: Asistente para ShareFile para equilibrio de carga Citrix ShareFile
-
-
-
Compatibilidad con el protocolo TLSv1.3 tal como se define en RFC 8446
-
Tabla compatibilidad con certificados de servidor en el dispositivo ADC
-
Compatibilidad con plataformas basadas en chips Intel Coleto SSL
-
Soporte para el módulo de seguridad de hardware de red Gemalto SafeNet
-
-
Integración con IPS o NGFW como dispositivos en línea
-
Estadísticas de inspección de contenido para ICAP, IPS e IDS
-
-
-
-
-
Configuración de un túnel de conector de CloudBridge entre dos centros de datos
-
Configuración de CloudBridge Connector entre Datacenter y AWS Cloud
-
Configuración de un túnel de conector de CloudBridge entre un centro de datos y Azure Cloud
-
Configuración de CloudBridge Connector Tunnel entre Datacenter y SoftLayer Enterprise Cloud
-
Diagnóstico y solución de problemas del túnel del conector de CloudBridge
-
-
Puntos a tener en cuenta para una configuración de alta disponibilidad
-
Sincronizar archivos de configuración en una configuración de alta disponibilidad
-
Restricción del tráfico de sincronización de alta disponibilidad a una VLAN
-
Configuración de nodos de alta disponibilidad en diferentes subredes
-
Limitación de fallas causadas por monitores de ruta en modo no INC
-
Configuración del conjunto de interfaces de conmutación por error
-
Descripción del cálculo de comprobación de estado de alta disponibilidad
-
Administración de mensajes de latido de alta disponibilidad en un dispositivo Citrix ADC
-
Quitar y reemplazar un dispositivo Citrix ADC en una instalación de alta disponibilidad
-
Gracias por sus comentarios.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Integración con IPS o NGFW como dispositivos en línea mediante el proxy de reenvío SSL
Los dispositivos de seguridad como el sistema de prevención de intrusiones (IPS) y el firewall de próxima generación (NGFW) protegen los servidores contra ataques de red. Estos dispositivos pueden inspeccionar el tráfico en vivo y, por lo general, se implementan en el modo en línea de capa 2. El dispositivo proxy de reenvío SSL proporciona seguridad a los usuarios y a la red empresarial al acceder a los recursos de Internet.
Un dispositivo proxy reenvío SSL se puede integrar con uno o más dispositivos en línea para evitar amenazas y proporcionar protección de seguridad avanzada. Los dispositivos en línea pueden ser cualquier dispositivo de seguridad, como IPS y NGFW.
Algunos casos de uso en los que puede beneficiarse mediante el dispositivo proxy de reenvío SSL y la integración de dispositivos en línea son:
-
Inspección del tráfico cifrado: la mayoría de los dispositivos IPS y NGFW evitan el tráfico cifrado, lo que puede dejar a los servidores vulnerables a los ataques. Un dispositivo proxy de reenvío SSL puede descifrar el tráfico y enviarlo a los dispositivos en línea para su inspección. Esta integración mejora la seguridad de la red del cliente.
-
Descarga de dispositivos en línea del procesamiento TLS/SSL: El procesamiento TLS/SSL es costoso, lo que puede resultar en una alta utilización de CPU en dispositivos IPS o NGFW si también descifran el tráfico. Un dispositivo proxy reenvío SSL ayuda a descargar el procesamiento TLS/SSL desde dispositivos en línea. Como resultado, los dispositivos en línea pueden inspeccionar un mayor volumen de tráfico.
-
Carga de dispositivos en línea de equilibrio: si ha configurado varios dispositivos en línea para administrar el tráfico pesado, un dispositivo proxy de reenvío SSL puede equilibrar la carga y distribuir el tráfico de manera uniforme a estos dispositivos.
-
Selección inteligente del tráfico: en lugar de enviar todo el tráfico al dispositivo en línea para su inspección, el dispositivo realiza una selección inteligente del tráfico. Por ejemplo, omite el envío de archivos de texto para su inspección a los dispositivos en línea.
Integración de proxy directo SSL con dispositivos en línea
El siguiente diagrama muestra cómo se integra un proxy de reenvío SSL con dispositivos de seguridad en línea.
Cuando integra dispositivos en línea con el dispositivo proxy de reenvío SSL, los componentes interactúan de la siguiente manera:
-
Un cliente envía una solicitud a un dispositivo proxy de reenvío SSL.
-
El dispositivo envía los datos al dispositivo en línea para la inspección de contenido en función de la evaluación de directivas. Para el tráfico HTTPS, el dispositivo descifra los datos y los envía en texto sin formato al dispositivo en línea para la inspección del contenido.
Nota
Si hay dos o más dispositivos en línea, la carga del dispositivo equilibra los dispositivos y envía el tráfico.
- Agregue un cambio de contenido o un servidor virtual de equilibrio de carga HTTP/HTTPS.
- El dispositivo en línea inspecciona los datos en busca de amenazas y decide si quiere eliminar, restablecer o enviar los datos al dispositivo.
- Si hay amenazas de seguridad, el dispositivo modifica los datos y los envía al dispositivo.
- Para el tráfico HTTPS, el dispositivo vuelve a cifrar los datos y reenvía la solicitud al servidor back-end.
- El servidor back-end envía la respuesta al dispositivo.
- El dispositivo vuelve a descifrar los datos y los envía al dispositivo en línea para su inspección.
- El dispositivo en línea inspecciona los datos. Si hay amenazas de seguridad, el dispositivo modifica los datos y los envía al dispositivo.
- El dispositivo vuelve a cifrar los datos y envía la respuesta al cliente.
Configuración de la integración de dispositivos en línea
Puede configurar un dispositivo proxy de reenvío SSL con un dispositivo en línea de tres maneras diferentes, como se indica a continuación:
Caso 1: Uso de un único dispositivo en línea
Para integrar un dispositivo de seguridad (IPS o NGFW) en modo inline, debe habilitar la inspección de contenido y el reenvío basado en MAC (MBF) en modo global en el dispositivo proxy de reenvío SSL. A continuación, agregue un perfil de inspección de contenido, un servicio TCP, una acción de inspección de contenido para que los dispositivos en línea restablezcan, bloqueen o descarten el tráfico basándose en la inspección. Agregue también una directiva de inspección de contenido que el dispositivo utiliza para decidir el subconjunto de tráfico que se va a enviar a los dispositivos en línea. Por último, configure el servidor virtual proxy con la conexión de capa 2 habilitada en el servidor y vincule la directiva de inspección de contenido a este servidor virtual proxy.
Siga estos pasos:
- Habilite el modo de reenvío basado en Mac (MPF).
- Habilite la función de inspección de contenido.
- Agregue un perfil de inspección de contenido para el servicio. El perfil de inspección de contenido contiene la configuración del dispositivo en línea que integra el dispositivo proxy de reenvío SSL con un dispositivo en línea.
-
(Opcional) Agregue un monitor TCP.
Nota:
Los dispositivos transparentes no tienen una dirección IP. Por lo tanto, para realizar comprobaciones de estado, debe vincular explícitamente un monitor.
- Agregar un servicio. Un servicio representa un dispositivo en línea.
- (Opcional) Enlazar el servicio al monitor TCP.
- Agregue una acción de inspección de contenido para el servicio.
- Agregue una directiva de inspección de contenido y especifique la acción.
- Agregue un servidor virtual de proxy HTTP o HTTPS (cambio de contenido).
- Enlazar la directiva de inspección de contenido al servidor virtual.
Configurar mediante la CLI
Escriba los siguientes comandos en el símbolo del sistema. Los ejemplos se dan después de la mayoría de los comandos.
- Habilitar MBF.
enable ns mode mbf
- Habilite la función.
enable ns feature contentInspection
- Agregar un perfil de inspección de contenido.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Ejemplo:
add contentInspection profile ipsprof -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
- Agregar un servicio. Especifique una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establezca
use source IP address(USIP) en YES. Ajusteuseproxyporten NO. De forma predeterminada, la supervisión del estado está activada, enlaza el servicio a un monitor de estado y también establece la opción TRANSPARENTE en el monitor ON.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor YES -usip YES –useproxyport NO
Ejemplo:
add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof
-
Agregue un monitor de estado. De forma predeterminada, el monitor de estado está activado y también tiene la opción de desactivarlo, si es necesario. En el símbolo del sistema, escriba:
add lb monitor <name> TCP -destIP <ip address> -destPort 80 -transparent <YES, NO>
Ejemplo:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
- Vincular el servicio al monitor de estado
Después de configurar el monitor de estado, debe vincular el servicio al monitor de estado. En el símbolo del sistema, escriba:
bind service <name> -monitorName <name>
Ejemplo:
bind service ips_svc -monitorName ips_tcp
- Agregar una acción de inspección de contenido.
add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
Ejemplo:
add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
- Agregar una directiva de inspección de contenido.
add contentInspection policy <name> -rule <expression> -action <string>
Ejemplo:
add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action
- Agregue un servidor virtual proxy.
add cs vserver <name> PROXY <IPAddress> <port> -cltTimeout <secs> -Listenpolicy <expression> -authn401 ( ON | OFF ) -authnVsName <string> -l2Conn ON
```
Nota:
También se admiten servidores virtuales de equilibrio de carga de tipo HTTP/SSL.
Ejemplo:
add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn ON
- Enlazar la directiva al servidor virtual.
bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
```
Ejemplo:
bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
Configurar mediante la GUI
-
Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar modos.
-
Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar funciones avanzadas.
-
Vaya a Secure Web Gateway > Inspección de contenido > Perfiles de inspección de contenido. Haga clic en Agregar.
-
Desplácese hasta Equilibrio de carga > Servicios > Agregar y agregar un servicio. En Configuración avanzada, haga clic en Perfiles. En la lista Nombre de perfil de CI, seleccione el perfil de inspección de contenido creado anteriormente. En Configuración del servicio, establezca Usar dirección IP de origenen YES y Usar puerto proxyen No. En Configuración básica, establezca Supervisión del estadoen NO. Active la supervisión de estado solo si vincula este servicio a un monitor TCP. Si vincula un monitor a un servicio, establezca la opción TRANSPARENTE del monitor en ON.
-
Vaya a Secure Web Gateway > Servidores virtuales Proxy > Agregar. Especifique un nombre, una dirección IP y un puerto. En Configuración avanzada, seleccione Directivas. Haga clic en el signo “+”.
-
En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.
-
Haga clic en Agregar. Especifique un nombre. En Acción, haga clic en Agregar.
-
Especifique un nombre. En Tipo, seleccione INLINEINSPECTION. En Nombre del servidor, seleccione el servicio TCP creado anteriormente.
-
Haga clic en Crear. Especifique la regla y haga clic en Crear.
-
Haga clic en Bind.
-
Haga clic en Done.
Caso 2: Equilibrio de carga de varios dispositivos en línea con interfaces dedicadas
Si utiliza dos o más dispositivos en línea, puede equilibrar la carga de los dispositivos mediante diferentes servicios de inspección de contenido con interfaces dedicadas. En este caso, la carga del dispositivo proxy de reenvío SSL equilibra el subconjunto de tráfico enviado a cada dispositivo a través de una interfaz dedicada. El subconjunto se decide en función de las directivas configuradas. Por ejemplo, es posible que los archivos TXT o de imagen no se envíen para su inspección a los dispositivos en línea.
La configuración básica sigue siendo la misma que en el caso 1. Sin embargo, debe crear un perfil de inspección de contenido para cada dispositivo en línea y especificar la interfaz de entrada y salida en cada perfil. Agregue un servicio para cada dispositivo en línea. Agregue un servidor virtual de equilibrio de carga y especifíquelo en la acción de inspección de contenido. Realice los siguientes pasos adicionales:
- Agregue perfiles de inspección de contenido para cada servicio.
- Agregue un servicio para cada dispositivo.
- Agregue un servidor virtual de equilibrio de carga.
- Especifique el servidor virtual de equilibrio de carga en la acción de inspección de contenido.
Configurar mediante la CLI
Escriba los siguientes comandos en el símbolo del sistema. Se dan ejemplos después de cada comando.
- Habilitar MBF.
enable ns mode mbf
- Habilite la función.
enable ns feature contentInspection
- Agregar perfil 1 para el servicio 1.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Ejemplo:
add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
- Agregar perfil 2 para el servicio 2.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Ejemplo:
add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
- Agregar servicio 1. Especifique una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establezca
use source IP address(USIP) en YES. Ajusteuseproxyporten NO. Active la supervisión del estado con el monitor TCP con la opción TRANSPARENTE activada.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO
Ejemplo:
add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
```
- Agregar servicio 2. Especifique una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establezca
use source IP address(USIP) en YES. Ajusteuseproxyporten NO. Active la supervisión del estado con la opción TRANSPARENTE activada.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO
Ejemplo:
add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- Agregue un servidor virtual de equilibrio de carga.
add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
Ejemplo:
add lb vserver lb_inline_vserver TCP 192.0.2.100 *
- Enlazar los servicios al servidor virtual de equilibrio de carga.
bind lb vserver <LB_VSERVER_NAME> <service_name>
bind lb vserver <LB_VSERVER_NAME> <service_name>
Ejemplo:
bind lb vserver lb_inline_vserver ips_service1
bind lb vserver lb_inline_vserver ips_service2
- Especifique el servidor virtual de equilibrio de carga en la acción de inspección de contenido.
add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
Ejemplo:
add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
- Agregar una directiva de inspección de contenido. Especifique la acción de inspección de contenido en la directiva.
add contentInspection policy <name> -rule <expression> -action <string>
Ejemplo:
add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action
- Agregue un servidor virtual proxy.
add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
Ejemplo:
add cs vserver transparentcs PROXY * * -l2Conn ON
- Enlazar la directiva de inspección de contenido al servidor virtual.
bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
Ejemplo:
bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
Configuración mediante la GUI
-
Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar modos.
-
Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar funciones avanzadas.
-
Vaya a Secure Web Gateway > Inspección de contenido > Perfiles de inspección de contenido. Haga clic en Agregar.
Especifique las interfaces de entrada y salida.
Cree dos perfiles. Especifique una interfaz de entrada y salida diferente en el segundo perfil.
-
Desplácese hasta Equilibrio de carga > Servicios > Agregar y agregar un servicio. En Configuración avanzada, haga clic en Perfiles. En la lista Nombre de perfil de CI, seleccione el perfil de inspección de contenido creado anteriormente. En Configuración del servicio, establezca Usar dirección IP de origenen YES y Usar puerto proxyen No. En Configuración básica, establezca Supervisión del estadoen NO. Active la supervisión de estado solo si vincula este servicio a un monitor TCP. Si vincula un monitor a un servicio, establezca la opción TRANSPARENTE del monitor en ON.
Cree dos servicios. Especifique direcciones IP ficticias que no pertenecen a ninguno de los dispositivos, incluidos los dispositivos en línea.
-
Desplácese hasta Equilibrio de carga > Servidores virtuales > Agregar. Cree un servidor virtual de equilibrio de carga TCP.
Haga clic en Aceptar.
-
Haga clic dentro de la sección Enlace del servicio de servidor virtual de equilibrio de carga. En Enlace de servicio, haga clic en la flecha de Seleccionar servicio. Seleccione los dos servicios creados anteriormente y haga clic en Seleccionar. Haga clic en Bind.
-
Vaya a Secure Web Gateway > Servidores virtuales Proxy > Agregar. Especifique un nombre, una dirección IP y un puerto. En Configuración avanzada, seleccione Directivas. Haga clic en el signo “+”.
-
En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.
-
Haga clic en Agregar. Especifique un nombre. En Acción, haga clic en Agregar.
-
Especifique un nombre. En Tipo, seleccione INLINEINSPECTION. En Nombre del servidor, seleccione el servidor virtual de equilibrio de carga creado anteriormente.
-
Haga clic en Crear. Especifique la regla y haga clic en Crear.
-
Haga clic en Bind.
-
Haga clic en Done.
Caso 3: Equilibrio de carga de varios dispositivos en línea con interfaces compartidas
Si utiliza dos o más dispositivos en línea, puede equilibrar la carga de los dispositivos mediante diferentes servicios de inspección de contenido con interfaces compartidas. En este caso, la carga del dispositivo proxy de reenvío SSL equilibra el subconjunto de tráfico enviado a cada dispositivo a través de una interfaz compartida. El subconjunto se decide en función de las directivas configuradas. Por ejemplo, es posible que los archivos TXT o de imagen no se envíen para su inspección a los dispositivos en línea.
La configuración básica sigue siendo la misma que en el caso 2. Para este caso, vincule las interfaces a diferentes VLAN para segregar el tráfico de cada dispositivo en línea. Especifique las VLAN en los perfiles de inspección de contenido. Realice los siguientes pasos adicionales:
-
Enlazar las interfaces compartidas a diferentes VLAN.
-
Especifique las VLAN de entrada y salida en los perfiles de inspección de contenido.
Configuración mediante la CLI
Escriba los siguientes comandos en el símbolo del sistema. Se dan ejemplos después de cada comando.
- Habilitar MBF.
enable ns mode mbf
- Habilite la función.
enable ns feature contentInspection
-
Enlazar las interfaces compartidas a diferentes VLAN.
bind vlan <id> -ifnum <interface> -tagged
Ejemplo:
bind vlan 100 –ifnum 1/2 tagged
bind vlan 200 –ifnum 1/3 tagged
bind vlan 300 –ifnum 1/2 tagged
bind vlan 400 –ifnum 1/3 tagged
- Agregar perfil 1 para el servicio 1. Especifique las VLAN de entrada y salida en el perfil.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Ejemplo:
add contentInspection profile ipsprof1 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 100 -ingressVlan 300
- Agregar perfil 2 para el servicio 2. Especifique las VLAN de entrada y salida en el perfil.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Ejemplo:
add contentInspection profile ipsprof2 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 200 -ingressVlan 400
- Agregar servicio 1.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO
Ejemplo:
add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
- Agregar servicio 2.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO
Ejemplo:
add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- Agregue un servidor virtual de equilibrio de carga.
add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
Ejemplo:
add lb vserver lb_inline_vserver TCP 192.0.2.100 *
- Enlazar los servicios al servidor virtual de equilibrio de carga.
bind lb vserver <LB_VSERVER_NAME> <service_name>
bind lb vserver <LB_VSERVER_NAME> <service_name>
Ejemplo:
bind lb vserver lb_inline_vserver ips_service1
bind lb vserver lb_inline_vserver ips_service2
- Especifique el servidor virtual de equilibrio de carga en la acción de inspección de contenido.
add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
Ejemplo:
add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
- Agregar una directiva de inspección de contenido. Especifique la acción de inspección de contenido en la directiva.
add contentInspection policy <name> -rule <expression> -action <string>
Ejemplo:
add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action
- Agregue un servidor virtual proxy.
add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
Ejemplo:
add cs vserver transparentcs PROXY * * -l2Conn ON
- Enlazar la directiva de inspección de contenido al servidor virtual.
bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
Ejemplo:
bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
Configuración mediante la GUI
-
Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar modos.
-
Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar funciones avanzadas.
-
Vaya a Sistema > Red > VLAN > Agregar. Agregue cuatro VLAN y etiquetarlas a las interfaces.
-
Vaya a Secure Web Gateway > Inspección de contenido > Perfiles de inspección de contenido. Haga clic en Agregar.
Especifique las VLAN de entrada y salida.
Cree otros perfiles. Especifique una VLAN de entrada y salida diferente en el segundo perfil.
-
Desplácese hasta Equilibrio de carga > Servicios > Agregar y agregar un servicio. En Configuración avanzada, haga clic en Perfiles. En la lista Nombre de perfil de CI, seleccione el perfil de inspección de contenido creado anteriormente. En Configuración del servicio, establezca Usar dirección IP de origenen YES y Usar puerto proxyen No. En Configuración básica, establezca Supervisión del estadoen NO.
Cree dos servicios. Especifique direcciones IP ficticias que no pertenecen a ninguno de los dispositivos, incluidos los dispositivos en línea. Especifique el perfil 1 en el servicio 1 y el perfil 2 en el servicio 2.
-
Desplácese hasta Equilibrio de carga > Servidores virtuales > Agregar. Cree un servidor virtual de equilibrio de carga TCP.
- Haga clic en Aceptar.
-
Haga clic dentro de la sección Enlace del servicio de servidor virtual de equilibrio de carga. En Enlace de servicio, haga clic en la flecha de Seleccionar servicio. Seleccione los dos servicios creados anteriormente y haga clic en Seleccionar. Haga clic en Bind.
-
Vaya a Secure Web Gateway > Servidores virtuales Proxy > Agregar. Especifique un nombre, una dirección IP y un puerto. En Configuración avanzada, seleccione Directivas. Haga clic en el signo “+”.
-
En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.
-
Haga clic en Agregar. Especifique un nombre. En Acción, haga clic en Agregar.
-
Especifique un nombre. En Tipo, seleccione INLINEINSPECTION. En Nombre del servidor, seleccione el servidor virtual de equilibrio de carga creado anteriormente.
-
Haga clic en Crear. Especifique la regla y haga clic en Crear.
- Haga clic en Bind.
- Haga clic en Done.
Gracias por sus comentarios.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.