Prise en charge de Web App Firewall pour les configurations de cluster

Remarque :

Le Web App Firewall pour les configurations par bandes et partiellement par bandes a été introduit dans Citrix ADC version 11.0.

Un cluster est un groupe d’appliances Citrix ADC configurées et gérées en tant que système unique. Chaque appliance du cluster est appelée nœud. Selon le nombre de nœuds sur lesquels les configurations sont actives, les configurations de cluster sont appelées configurations striped, striped partielles et spotted. Le Web App Firewall est entièrement pris en charge dans toutes les configurations.

Les deux principaux avantages de la prise en charge des serveurs virtuels striped et striped partiels dans les configurations de cluster sont les suivants :

  1. Prise en charge du basculement de session : les configurations de serveurs virtuels répartis et partiellement répartis prennent en charge le basculement de session. Les fonctionnalités avancées de sécurité du Web App Firewall, telles que Démarrer la fermeture de l’URL et la cohérence des champs de formulaire vérifient, conservent et utilisent des sessions pendant le traitement des transactions. Dans une configuration haute disponibilité ou dans une configuration de cluster repéré, lorsque le nœud qui traite le trafic du Web App Firewall échoue, toutes les informations de session sont perdues et l’utilisateur doit rétablir la session. Dans les configurations de serveur virtuel par bandes, les sessions utilisateur sont répliquées sur plusieurs nœuds. Si un nœud tombe en panne, un nœud exécutant le réplica devient le propriétaire. Les informations de session sont conservées sans impact visible sur l’utilisateur.
  2. Évolutivité : n’importe quel nœud du cluster peut traiter le trafic. Plusieurs nœuds du cluster peuvent traiter les demandes entrantes servies par le serveur virtuel par répartition. Cela améliore la capacité du pare-feu Web App à traiter plusieurs demandes simultanées, améliorant ainsi les performances globales.

Les contrôles de sécurité et les protections de signature peuvent être déployés sans nécessiter de configuration supplémentaire de Web App Firewall spécifique au cluster. Vous pouvez effectuer la configuration habituelle du Web App Firewall sur le nœud CCO (Configuration Coordinator) pour la propagation vers tous les nœuds.

Remarque :

Les informations de session sont répliquées sur plusieurs nœuds, mais pas sur tous les nœuds de la configuration par répartition. Par conséquent, la prise en charge du basculement prend en charge un nombre limité de défaillances simultanées. Si plusieurs nœuds échouent simultanément, le Web App Firewall peut perdre les informations de session en cas d’échec avant que la session ne soit répliquée sur un autre nœud.

Résumé

  • Le Web App Firewall offre une évolutivité, un débit élevé et une prise en charge du basculement de session dans les déploiements de cluster.
  • Toutes les vérifications de sécurité du Web App Firewall et toutes les protections de signature sont prises en charge dans toutes les configurations de cluster.
  • Les cartes de caractères ne sont pas encore prises en charge pour un cluster. Le moteur d’apprentissage recommande les Types de champ dans les règles apprises pour la vérification de sécurité Format de champ.
  • Les statistiques et les règles apprises sont agrégées à partir de tous les nœuds d’un cluster.
  • La table de hachage distribuée (DHT) fournit la mise en cache de la session et offre la possibilité de répliquer les informations de session sur plusieurs nœuds. Lorsqu’une demande est adressée au serveur virtuel, l’appliance Citrix ADC crée des sessions de Web App Firewall dans le DHT et peut également récupérer les informations de session à partir du DHT.
  • La mise en cluster est sous licence avec les licences avancées et premium. Cette fonctionnalité n’est pas disponible avec la licence Standard.

Prise en charge de Web App Firewall pour les configurations de cluster