Citrix ADC

Stratégies classiques et avancées

Avertissement

Les expressions de stratégie classiques sont obsolètes à partir de Citrix ADC 12.0 build 56.20 et à titre d’alternative, Citrix vous recommande d’utiliser des stratégies avancées. Pour de plus amples informations, consultez Stratégies avancées

Les stratégies classiques évaluent les caractéristiques de base du trafic et d’autres données. Par exemple, les stratégies classiques peuvent identifier si une requête ou une réponse HTTP contient un type particulier d’en-tête ou d’URL.

Les stratégies avancées peuvent effectuer le même type d’évaluation que les stratégies classiques. En outre, les stratégies de syntaxe par défaut vous permettent d’analyser plus de données (par exemple, le corps d’une requête HTTP) et de configurer plus d’opérations dans la règle de stratégie (par exemple, la transformation des données dans le corps d’une requête en en-tête HTTP).

Outre l’attribution d’une action ou d’un profil à une stratégie, vous la liez à un point particulier du traitement associé aux fonctionnalités de Citrix ADC. Le point de liaison est un facteur qui détermine quand la stratégie sera évaluée.

Avantages de l’utilisation de stratégies avancées

Les stratégies de syntaxe par défaut utilisent un langage d’expression puissant construit sur un modèle d’objet de classe et offrent plusieurs options qui améliorent votre capacité à configurer le comportement de diverses fonctionnalités de Citrix ADC. Avec les stratégies de syntaxe par défaut, vous pouvez effectuer les opérations suivantes :

  • Effectuer des analyses minces du trafic réseau des couches 2 à 7.
  • Évaluez toute partie de l’en-tête ou du corps d’une requête ou réponse HTTP ou HTTPS.
  • Liez les stratégies aux plusieurs points de liaison pris en charge par l’infrastructure de stratégie de syntaxe par défaut aux niveaux par défaut, de remplacement et de serveur virtuel.
  • Utilisez les expressions goto pour transférer le contrôle vers d’autres stratégies et points de liaison, comme déterminé par le résultat de l’évaluation de l’expression.
  • Utilisez des outils spéciaux tels que des jeux de motifs, des étiquettes de stratégie, des identificateurs de limite de débit et des légendes HTTP, qui vous permettent de configurer efficacement les stratégies pour des cas d’utilisation complexes.

En outre, l’utilitaire de configuration étend la prise en charge robuste de l’interface utilisateur graphique pour les stratégies et expressions de syntaxe par défaut et permet aux utilisateurs qui ont une connaissance limitée des protocoles réseau de configurer rapidement et facilement les stratégies. L’utilitaire de configuration inclut également une fonction d’évaluation des stratégies pour les stratégies de syntaxe par défaut. Vous pouvez utiliser cette fonctionnalité pour évaluer une stratégie de syntaxe par défaut et tester son comportement avant de la valider, réduisant ainsi le risque d’erreurs de configuration.

Composants de base d’une stratégie avancée

Voici quelques caractéristiques d’une stratégie avancée :

  • Nom. Chaque stratégie a un nom unique.

  • Règle. La règle est une expression logique qui permet à la fonctionnalité Citrix ADC d’évaluer un morceau de trafic ou un autre objet. Par exemple, une règle peut permettre au Citrix ADC de déterminer si une requête HTTP provient d’une adresse IP particulière ou si un en-tête Cache-Control dans une requête HTTP a la valeur « No-cache ».

Les stratégies avancées peuvent utiliser toutes les expressions disponibles dans une stratégie classique, à l’exception des expressions classiques pour le client VPN SSL. En outre, les stratégies avancées vous permettent de configurer des expressions plus complexes.

  • Fixations. Pour vous assurer que Citrix ADC peut invoquer une stratégie lorsqu’elle est nécessaire, vous associez la stratégie, ou la liez, à un ou plusieurs points de liaison.

Vous pouvez lier une stratégie globalement ou à un serveur virtuel. Pour de plus amples informations, consultez A propos des liaisons de stratégie.

  • Une action associée. Une action est une entité distincte d’une stratégie. L’évaluation des stratégies conduit finalement à l’exécution d’une action par Citrix ADC.

Par exemple, une stratégie dans le cache intégré peut identifier les requêtes HTTP pour les fichiers .gif ou .jpeg. Une action que vous associez à cette stratégie détermine que les réponses à ces types de demandes sont traitées à partir du cache.

Pour certaines fonctionnalités, vous configurez des actions dans le cadre d’un ensemble plus complexe d’instructions appelé profil.

Utilisation des stratégies par les différentes fonctionnalités de Citrix ADC

Le Citrix ADC prend en charge diverses fonctionnalités qui s’appuient sur des stratégies pour le fonctionnement. Le tableau suivant résume la façon dont les fonctionnalités Citrix ADC utilisent les stratégies.

Nom de la fonctionnalité Type de stratégie Utilisation des stratégies dans la fonction
Système Classique Pour la fonction Authentification, les stratégies contiennent des schémas d’authentification pour différentes méthodes d’authentification. Par exemple, vous pouvez configurer des schémas d’authentification LDAP et basés sur les certificats. Vous configurez également des stratégies dans la fonction Audit.
DNS Avancé Pour déterminer comment effectuer la résolution DNS pour les demandes.
SSL Classique et Avancé Déterminer quand appliquer une fonction de chiffrement et ajouter des informations de certificat au texte effacé. Pour assurer la sécurité de bout en bout, après le décryptage d’un message, la fonctionnalité SSL crypte de nouveau le texte clair et utilise SSL pour communiquer avec les serveurs Web.
Compression Classique et Avancé Pour déterminer quel type de trafic est compressé.
Mise en cache intégrée Avancé Déterminer si les réponses HTTP peuvent être mises en cache.
Répondeur Avancé Pour configurer le comportement de la fonction Responder.
Caractéristiques de protection Classique Pour configurer le comportement des fonctions Filter, SureConnect et Priority Queuing.
Commutation de contenu Classique et Avancé Déterminer quel serveur ou groupe de serveurs est responsable de la réception des réponses, en fonction des caractéristiques d’une demande entrante. Les caractéristiques de la demande incluent le type de périphérique, la langue, les cookies, la méthode HTTP, le type de contenu et le serveur de cache associé.
AAA - Gestion du trafic Classique. Exceptions : les stratégies de trafic ne prennent en charge que les stratégies de syntaxe par défaut et les stratégies d’autorisation prennent en charge les stratégies de syntaxe classique et par défaut. Pour vérifier la sécurité côté client avant que les utilisateurs se connectent et établissent une session. Les stratégies de trafic, qui déterminent si l’authentification unique (SSO) est requise, utilisent uniquement la syntaxe par défaut. Les stratégies d’autorisation autorisent les utilisateurs et les groupes qui accèdent aux ressources intranet via l’appliance.
Redirection de cache Classique Déterminer si les réponses sont fournies à partir d’un cache ou d’un serveur d’origine.
Réécrire Avancé Pour identifier les données HTTP que vous souhaitez modifier avant de servir. Les stratégies fournissent des règles pour la modification des données. Par exemple, vous pouvez modifier des données HTTP pour rediriger une demande vers une nouvelle page d’accueil, un nouveau serveur ou un serveur sélectionné en fonction de l’adresse de la demande entrante, ou vous pouvez modifier les données pour masquer les informations du serveur dans une réponse à des fins de sécurité. La fonction Transformateur d’URL identifie les URL dans les transactions HTTP et les fichiers texte afin d’évaluer si une URL doit être transformée.
Pare-feu d’application Classique et Avancé Identifier les caractéristiques du trafic et des données qui devraient ou ne devraient pas être admises par le pare-feu.
Citrix Gateway, fonction d’accès sans client Avancé Pour définir des règles de réécriture pour l’accès Web général à l’aide de Citrix Gateway.
Citrix Gateway Classique Pour déterminer la manière dont Citrix Gateway effectue l’authentification, l’autorisation, l’audit et d’autres fonctions.

A propos des actions et des profils

Les stratégies ne prennent pas elles-mêmes des mesures sur les données. Les stratégies fournissent une logique en lecture seule pour évaluer le trafic. Pour permettre à une entité d’effectuer une opération basée sur une évaluation de stratégie, vous configurez des actions ou des profils et les associez à des stratégies.

Remarque : Les actions et les profils sont spécifiques à des caractéristiques particulières. Pour plus d’informations sur l’affectation d’actions et de profils aux fonctions, consultez la documentation relative aux fonctions individuelles.

À propos des actions

Les actions sont des étapes que prend Citrix ADC, en fonction de l’évaluation de l’expression dans la stratégie. Par exemple, si une expression dans une stratégie correspond à une adresse IP source particulière dans une requête, l’action associée à cette stratégie détermine si la connexion est autorisée.

Les types d’actions que Citrix ADC peut effectuer sont spécifiques aux fonctionnalités. Par exemple, dans Réécriture, les actions peuvent remplacer le texte d’une requête, modifier l’URL de destination d’une requête, etc. Dans la mise en cache intégrée, les actions déterminent si les réponses HTTP sont fournies à partir du cache ou d’un serveur d’origine.

Dans certaines fonctionnalités Citrix ADC, les actions sont prédéfinies et dans d’autres, elles sont configurables. Dans certains cas, (par exemple, Réécrire), vous configurez les actions à l’aide des mêmes types d’expressions que vous utilisez pour configurer la règle de stratégie associée.

À propos des profils

Certaines fonctionnalités Citrix ADC vous permettent d’associer des profils, ou à la fois des actions et des profils, à une stratégie. Un profil est un ensemble de paramètres qui permettent à la fonction d’exécuter une fonction complexe. Par exemple, dans le pare-feu de l’application, un profil pour les données XML peut effectuer plusieurs opérations de filtrage, telles que l’examen des données pour la syntaxe XML illégale ou la preuve d’une injection SQL.

Utilisation d’actions et de profils en particulier

Le tableau suivant résume l’utilisation des actions et des profils dans différentes fonctionnalités de Citrix ADC. Le tableau n’est pas exhaustif. Pour plus d’informations sur les utilisations spécifiques des actions et des profils d’une entité, consultez la documentation de cette entité.

Fonctionnalité Utilisation d’une action Utilisation d’un profil
Pare-feu d’application Synonyme d’un profil Toutes les fonctionnalités de pare-feu d’application utilisent des profils pour définir des comportements complexes, y compris l’apprentissage basé sur des modèles. Vous ajoutez ces profils aux stratégies.
Citrix Gateway Les fonctionnalités suivantes de Citrix Gateway utilisent des actions : Pré-authentification. Utilise les actions Autoriser et Refuser. Vous ajoutez ces actions à un profil., Autorisation. Utilise les actions Autoriser et Refuser. Vous ajoutez ces actions à une stratégie. Compression TCP. Utilise diverses actions. Vous ajoutez ces actions à une stratégie. Les fonctionnalités suivantes utilisent un profil : Pré-authentification, Session, Trafic et Accès sans client. Après avoir configuré les profils, vous les ajoutez aux stratégies.
Réécrire Vous configurez les actions de réécriture d’URL et les ajoutez à une stratégie. Non utilisé.
Mise en cache intégrée Vous configurez les actions de mise en cache et d’invalidation dans une stratégie Non utilisé.
AAA - Gestion du trafic Vous sélectionnez un type d’authentification, définissez une action d’autorisation ALLOW ou DENY, ou définissez l’audit sur SYSLOG ou NSLOG. Vous pouvez configurer des profils de session avec une action de temporisation et d’autorisation par défaut.
Caractéristiques de protection Vous configurez des actions dans les stratégies pour les fonctions suivantes : Filtre, Compression, Répondeur et SureConnect. Non utilisé.
SSL Vous configurez des actions dans les stratégies SSL Non utilisé.
Système L’action est implicite. Pour la fonction Authentification, il s’agit soit Autoriser, soit Refuser. Pour Audit, c’est Audit On ou Audit Off. Non utilisé.
DNS L’action est implicite. Il s’agit soit de Drop Packets, soit de l’emplacement d’un serveur DNS. Non utilisé.
Déchargement SSL L’action est implicite. Il est basé sur une stratégie que vous associez à un serveur virtuel SSL ou à un service. Non utilisé.
Compression Déterminer le type de compression à appliquer aux données Non utilisé.
Commutation de contenu L’action est implicite. Si une demande correspond à la stratégie, la demande est dirigée vers le serveur virtuel associé à la stratégie. Non utilisé.
Redirection de cache L’action est implicite. Si une demande correspond à la stratégie, la demande est dirigée vers le serveur d’origine. Non utilisé.

A propos des liaisons de stratégie

Une stratégie est associée ou liée à une entité qui permet d’invoquer la stratégie. Par exemple, vous pouvez lier une stratégie à l’évaluation au moment de la demande qui s’applique à tous les serveurs virtuels. Un ensemble de stratégies liées à un point de liaison particulier constitue une banque de polices.

Voici une vue d’ensemble des différents types de points de liaison pour une stratégie :

  • Heure de demande globale. Une stratégie peut être disponible pour tous les composants d’une fonction au moment de la demande.
  • Temps de réponse global. Une stratégie peut être disponible pour tous les composants d’une entité au moment de la réponse.
  • Heure de la demande, spécifique au serveur virtuel.

Une stratégie peut être liée au traitement au moment de la demande pour un serveur virtuel particulier. Par exemple, vous pouvez lier une stratégie de temps de requête à un serveur virtuel de redirection de cache pour vous assurer que des demandes particulières sont transférées à un serveur virtuel d’équilibrage de charge pour le cache et que d’autres demandes sont envoyées à un serveur virtuel d’équilibrage de charge pour l’origine.

  • Temps de réponse, spécifique au serveur virtuel. Une stratégie peut également être liée au traitement du temps de réponse pour un serveur virtuel particulier.
  • Étiquette de stratégie définie par l’utilisateur. Pour les stratégies de syntaxe par défaut, vous pouvez configurer des regroupements personnalisés de stratégies (banques de stratégies) en définissant une étiquette de stratégie et en collectant un ensemble de stratégies associées sous l’étiquette de stratégie.
  • Autres points de liaison. La disponibilité de points de liaison supplémentaires dépend du type de stratégie (syntaxe classique ou par défaut) et des spécificités de la fonctionnalité Citrix ADC pertinente. Par exemple, les stratégies classiques que vous configurez pour Citrix Gateway ont des points de liaison utilisateur et groupe.

Pour plus d’informations sur les liaisons de stratégies avancées, reportez-vous aux sectionsLier les stratégies qui utilisent les stratégies avancéesetConfigurer une banque de stratégies pour un serveur virtuel. Pour plus d’informations sur les liaisons de stratégie classiques, reportez-vous à la section Configurer une stratégie classique.

À propos de l’ordre d’évaluation des stratégies

Pour les stratégies classiques, les groupes de stratégies et les stratégies d’un groupe sont évalués dans un ordre particulier, selon les éléments suivants :

  • Point de liaison de la stratégie, par exemple, si la stratégie est liée au traitement au moment de la demande pour un serveur virtuel ou au traitement du temps de réponse global. Par exemple, au moment de la demande, Citrix ADC évalue toutes les stratégies classiques au moment de la demande avant d’évaluer les stratégies spécifiques au serveur virtuel.
  • Niveau de priorité de la stratégie. Pour chaque point du processus d’évaluation, un niveau de priorité attribué à une stratégie détermine l’ordre d’évaluation par rapport aux autres stratégies qui partagent le même point de liaison. Par exemple, lorsque Citrix ADC évalue une banque de stratégies spécifiques au serveur virtuel au moment de la demande, il commence par la stratégie qui est affectée à la valeur de priorité la plus faible. Dans les stratégies classiques, les niveaux de priorité doivent être uniques sur tous les points de liaison.

Pour les stratégies avancées, comme pour les stratégies classiques, Citrix ADC sélectionne un regroupement ou une banque de stratégies à un point particulier du traitement global. Voici l’ordre d’évaluation des groupements de base, ou banques, des stratégies avancées :

  1. Remplacer global au moment de la requête
  2. Heure de la demande, spécifique au serveur virtuel (un point de liaison par serveur virtuel)
  3. Valeur par défaut globale de l’heure de la requête
  4. Remplacer global en temps de réponse
  5. Spécifique au serveur virtuel en temps de réponse
  6. Valeur globale par défaut du temps de réponse

Toutefois, dans l’une des banques de stratégies précédentes, l’ordre d’évaluation est plus souple que dans les stratégies classiques. Dans une banque de stratégies, vous pouvez pointer vers la stratégie suivante à évaluer quel que soit le niveau de priorité, et vous pouvez appeler des banques de stratégies appartenant à d’autres points de liaison et des banques de stratégies définies par l’utilisateur.

Ordre d’évaluation basé sur le flux de trafic

Au fur et à mesure que le trafic circule via Citrix ADC et est traité par diverses fonctionnalités, chaque fonctionnalité effectue une évaluation de stratégie. Chaque fois qu’une stratégie correspond au trafic, Citrix ADC stocke l’action et continue le traitement jusqu’à ce que les données soient sur le point de quitter l’ADC Citrix. À ce stade, Citrix ADC applique généralement toutes les actions correspondantes. La mise en cache intégrée, qui applique uniquement une action Cache finale ou NoCache, est une exception.

Certaines stratégies influent sur les résultats d’autres stratégies. Voici des exemples :

  • Si une réponse est fournie à partir du cache intégré, d’autres fonctionnalités Citrix ADC ne traitent pas la réponse ou la demande qui l’a initiée.
  • Si la fonction Filtrage du contenu empêche la diffusion d’une réponse, aucune entité ultérieure n’évalue la réponse.

Si le pare-feu d’application rejette une demande entrante, aucune autre fonctionnalité ne peut la traiter.