Citrix ADC

Infrastructure de stratégie

Avertissement

Les expressions de stratégie classiques sont obsolètes à partir de Citrix ADC 12.0 build 56.20 et à titre d’alternative, Citrix vous recommande d’utiliser des stratégies avancées. Pour plus d’informations, consultez la section Stratégies avancées

L’infrastructure de stratégie avancée (PI) vous permet d’analyser davantage de données (par exemple, le corps d’une requête HTTP) et de configurer davantage d’opérations dans la règle de stratégie (par exemple, la transformation des données du corps d’une demande en en-tête HTTP).

Outre l’attribution d’une action ou d’un profil à une stratégie, vous la liez à un point particulier du traitement associé aux fonctionnalités de Citrix ADC. Le point de liaison est l’un des facteurs qui déterminent le moment où la stratégie sera évaluée.

Avantages de l’utilisation de stratégies avancées

Les stratégies de stratégie avancées utilisent un langage d’expression puissant basé sur un modèle d’objet de classe, et elles offrent plusieurs options qui améliorent votre capacité à configurer le comportement de diverses fonctionnalités de Citrix ADC. Avec l’infrastructure de stratégies avancées (PI), vous pouvez effectuer les opérations suivantes :

  • Effectuer des analyses minces du trafic réseau des couches 2 à 7.
  • Évaluez toute partie de l’en-tête ou du corps d’une requête ou réponse HTTP ou HTTPS.
  • Liez les stratégies aux différents points de liaison pris en charge par l’infrastructure de stratégies avancées (PI) aux niveaux par défaut, de remplacement et de serveur virtuel.
  • Utilisez les expressions goto pour transférer le contrôle vers d’autres stratégies et points de liaison, comme déterminé par le résultat de l’évaluation de l’expression.
  • Utilisez des outils spéciaux tels que des jeux de motifs, des étiquettes de stratégie, des identificateurs de limite de débit et des légendes HTTP, qui vous permettent de configurer efficacement les stratégies pour des cas d’utilisation complexes.

En outre, l’utilitaire de configuration étend la prise en charge robuste de l’interface utilisateur graphique pour l’infrastructure de stratégie avancée (PI) et les expressions et permet aux utilisateurs qui ont une connaissance limitée des protocoles réseau de configurer rapidement et facilement des stratégies. L’utilitaire de configuration inclut également une fonctionnalité d’évaluation de stratégie pour les stratégies avancées. Vous pouvez utiliser cette fonctionnalité pour évaluer une stratégie avancée et tester son comportement avant de la valider, réduisant ainsi le risque d’erreurs de configuration.

Composants de base d’une stratégie avancée

Voici quelques caractéristiques d’une stratégie avancée :

  • Name. Chaque stratégie possède un nom unique.

  • Rule. La règle est une expression logique qui permet à la fonctionnalité Citrix ADC d’évaluer un élément de trafic ou un autre objet. Par exemple, une règle peut permettre à Citrix ADC de déterminer si une requête HTTP provient d’une adresse IP particulière ou si un en-tête Cache-Control d’une requête HTTP a la valeur « No-Cache ».

Les stratégies avancées peuvent utiliser toutes les expressions disponibles dans une stratégie classique, à l’exception des expressions classiques pour le client VPN SSL. En outre, les stratégies avancées vous permettent de configurer des expressions plus complexes.

  • Fixations. Pour vous assurer que Citrix ADC peut invoquer une stratégie lorsque cela est nécessaire, vous associez la stratégie, ou la liez, à un ou plusieurs points de liaison.

Vous pouvez lier une stratégie globalement ou à un serveur virtuel. Pour plus d’informations, voir À propos des liaisons de stratégies.

  • Une action associée. Une action est une entité distincte d’une stratégie. L’évaluation des stratégies aboutit finalement à l’exécution d’une action par Citrix ADC.

Par exemple, une stratégie du cache intégré peut identifier les requêtes HTTP pour les fichiers .gif ou .jpeg. Une action que vous associez à cette stratégie détermine que les réponses à ces types de demandes sont diffusées à partir du cache.

Pour certaines fonctionnalités, vous configurez des actions dans le cadre d’un ensemble d’instructions plus complexe appelé profil.

Utilisation des stratégies par différentes fonctionnalités de Citrix ADC

Citrix ADC prend en charge diverses fonctionnalités qui reposent sur des stratégies de fonctionnement. Le tableau suivant récapitule la façon dont les fonctionnalités Citrix ADC utilisent les stratégies.

Nom de la fonctionnalité Type de stratégie Utilisation des stratégies dans la fonctionnalité
Système Classique Pour la fonction Authentification, les stratégies contiennent des schémas d’authentification pour différentes méthodes d’authentification. Par exemple, vous pouvez configurer des schémas d’authentification LDAP et basés sur des certificats. Vous pouvez également configurer des stratégies dans la fonction Audit.
DNS Advanced Pour déterminer comment effectuer une résolution DNS pour les requêtes.
SSL Classic et Advanced Pour déterminer quand appliquer une fonction de chiffrement et ajouter des informations de certificat en texte clair. Pour assurer une sécurité de bout en bout, après le déchiffrement d’un message, la fonctionnalité SSL recrypte le texte en clair et utilise SSL pour communiquer avec les serveurs Web.
Compression SSL Classic et Advanced Pour déterminer le type de trafic qui est compressé.
Mise en cache intégrée Advanced Pour déterminer si les réponses HTTP peuvent être mises en cache.
Répondeur Advanced Pour configurer le comportement de la fonction Responder.
Caractéristiques de protection Classique Pour configurer le comportement des fonctions Filter, SureConnect et Priority Queuing.
Commutation de contenu Classic et Advanced Pour déterminer quel serveur ou groupe de serveurs est responsable du traitement des réponses, en fonction des caractéristiques d’une demande entrante. Les caractéristiques de la demande incluent le type de périphérique, la langue, les cookies, la méthode HTTP, le type de contenu et le serveur de cache associé.
AAA - Gestion du trafic Classique. Exceptions : Les stratégies de trafic prennent uniquement en charge les infrastructures de stratégies avancées (PI) et les stratégies d’autorisation prennent en charge l’infrastructure de stratégie avancée (PI). Pour vérifier la sécurité côté client avant que les utilisateurs se connectent et établissent une session. Les stratégies de trafic, qui déterminent si l’authentification unique (SSO) est requise, utilisent uniquement la stratégie Avancée. Les stratégies d’autorisation autorisent les utilisateurs et les groupes qui accèdent aux ressources intranet via l’appliance.
Redirection de cache Classique Pour déterminer si les réponses sont diffusées à partir d’un cache ou d’un serveur d’origine.
Réécrire Advanced Pour identifier les données HTTP que vous souhaitez modifier avant de les transmettre. Les stratégies fournissent des règles pour la modification des données. Par exemple, vous pouvez modifier les données HTTP pour rediriger une demande vers une nouvelle page d’accueil, un nouveau serveur ou un serveur sélectionné en fonction de l’adresse de la demande entrante, ou vous pouvez modifier les données pour masquer les informations du serveur dans une réponse à des fins de sécurité. La fonction URL Transformer identifie les URL dans les transactions HTTP et les fichiers texte afin de déterminer si une URL doit être transformée.
Pare-feu d’application Classic et Advanced Identifier les caractéristiques du trafic et des données qui doivent ou non être admis via le pare-feu.
Citrix Gateway, fonction d’accès sans client Advanced Pour définir des règles de réécriture pour l’accès Web général à l’aide de Citrix Gateway.
Citrix Gateway Classique Pour déterminer comment Citrix Gateway effectue l’authentification, l’autorisation, l’audit et d’autres fonctions.

À propos des actions et des profils

Les stratégies n’agissent pas elles-mêmes sur les données. Les stratégies fournissent une logique en lecture seule pour évaluer le trafic. Pour permettre à une fonctionnalité d’effectuer une opération basée sur une évaluation de stratégie, vous configurez des actions ou des profils et vous les associez à des stratégies.

Remarque : Les actions et les profils sont spécifiques à des fonctionnalités particulières. Pour plus d’informations sur l’affectation d’actions et de profils aux fonctionnalités, consultez la documentation relative aux fonctionnalités individuelles.

À propos des actions

Les actions sont des étapes prises par Citrix ADC, en fonction de l’évaluation de l’expression dans la stratégie. Par exemple, si une expression d’une stratégie correspond à une adresse IP source particulière dans une demande, l’action associée à cette stratégie détermine si la connexion est autorisée.

Les types d’actions que Citrix ADC peut effectuer sont spécifiques aux fonctionnalités. Par exemple, dans Réécrire, les actions peuvent remplacer le texte d’une demande, modifier l’URL de destination d’une demande, etc. Dans Integrated Caching, les actions déterminent si les réponses HTTP sont diffusées à partir du cache ou d’un serveur d’origine.

Dans certaines fonctionnalités de Citrix ADC, les actions sont prédéfinies et dans d’autres, elles sont configurables. Dans certains cas (par exemple, Réécrire), vous configurez les actions à l’aide des mêmes types d’expressions que ceux utilisés pour configurer la règle de stratégie associée.

À propos des profils

Certaines fonctionnalités de Citrix ADC vous permettent d’associer des profils, ou des actions et des profils, à une stratégie. Un profil est un ensemble de paramètres qui permettent à la fonctionnalité d’exécuter une fonction complexe. Par exemple, dans le pare-feu d’application, un profil de données XML peut effectuer plusieurs opérations de filtrage, telles que l’examen des données à la recherche d’une syntaxe XML illégale ou d’une preuve d’injection SQL.

Utilisation d’actions et de profils dans des fonctionnalités particulières

Le tableau suivant récapitule l’utilisation des actions et des profils dans différentes fonctionnalités de Citrix ADC. Le tableau n’est pas exhaustif. Pour plus d’informations sur les utilisations spécifiques des actions et des profils pour une fonctionnalité, consultez la documentation de cette fonctionnalité.

Fonctionnalité Utilisation d’une action Utilisation d’un profil
Pare-feu d’application Synonyme de profil Toutes les fonctionnalités du pare-feu d’application utilisent des profils pour définir des comportements complexes, y compris l’apprentissage basé sur des modèles. Vous ajoutez ces profils aux stratégies.
Citrix Gateway Les fonctionnalités suivantes de Citrix Gateway utilisent des actions : Pré-authentification. Utilise les actions Autoriser et Refuser. Vous ajoutez ces actions à un profil., Autorisation. Utilise les actions Autoriser et Refuser. Vous ajoutez ces actions à une stratégie. Compression TCP. Utilise diverses actions. Vous ajoutez ces actions à une stratégie. Les fonctionnalités suivantes utilisent un profil : pré-authentification, session, trafic et accès sans client. Après avoir configuré les profils, vous les ajoutez aux stratégies.
Réécrire Vous configurez les actions de réécriture d’URL et vous les ajoutez à une stratégie. Non utilisé.
Mise en cache intégrée Vous configurez les actions de mise en cache et d’invalidation au sein d’une stratégie Non utilisé.
AAA - Gestion du trafic Vous sélectionnez un type d’authentification, définissez une action d’autorisation sur ALLOW ou DENY, ou définissez l’audit sur SYSLOG ou NSLOG. Vous pouvez configurer des profils de session avec un délai d’expiration et une action d’autorisation par défaut.
Caractéristiques de protection Vous configurez des actions au sein des stratégies pour les fonctions suivantes : Filtre, Compression, Répondeur et SureConnect. Non utilisé.
SSL Vous configurez des actions dans les stratégies SSL Non utilisé.
Système L’action est implicite. Pour la fonction Authentification, elle est soit Autoriser, soit Refuser. Pour l’audit, l’audit est activé ou Audit désactivé. Non utilisé.
DNS L’action est implicite. Il s’agit soit de Drop Packets, soit de l’emplacement d’un serveur DNS. Non utilisé.
Déchargement SSL L’action est implicite. Il est basé sur une stratégie que vous associez à un serveur virtuel SSL ou à un service. Non utilisé.
Compression SSL Déterminez le type de compression à appliquer aux données Non utilisé.
Commutation de contenu L’action est implicite. Si une demande correspond à la stratégie, elle est dirigée vers le serveur virtuel associé à la stratégie. Non utilisé.
Redirection de cache L’action est implicite. Si une demande correspond à la stratégie, elle est dirigée vers le serveur d’origine. Non utilisé.

À propos des liaisons de stratégie

Une stratégie est associée ou liée à une entité qui permet d’appeler la stratégie. Par exemple, vous pouvez lier une stratégie à une évaluation au moment de la demande qui s’applique à tous les serveurs virtuels. Un ensemble de stratégies liées à un point de liaison particulier constitue une banque de stratégies.

Vous trouverez ci-dessous un aperçu des différents types de points de liaison pour une stratégie :

  • Temps de demande global. Une stratégie peut être disponible pour tous les composants d’une fonctionnalité au moment de la demande.
  • Temps de réponse global. Une stratégie peut être disponible pour tous les composants d’une fonctionnalité au moment de la réponse.
  • Heure de la demande, spécifique au serveur virtuel.

Une stratégie peut être liée au traitement au moment de la demande pour un serveur virtuel particulier. Par exemple, vous pouvez lier une stratégie de temps de demande à un serveur virtuel de redirection de cache pour vous assurer que des demandes particulières sont transférées vers un serveur virtuel d’équilibrage de charge pour le cache, et que les autres demandes sont envoyées à un serveur virtuel d’équilibrage de charge pour l’origine.

  • Temps de réponse, spécifique au serveur virtuel. Une stratégie peut également être liée au traitement du temps de réponse pour un serveur virtuel particulier.
  • Étiquette de stratégie définie par l’utilisateur. Pour l’infrastructure de stratégies avancées (PI), vous pouvez configurer des groupes de stratégies personnalisés (banques de stratégies) en définissant une étiquette de stratégie et en collectant un ensemble de stratégies associées sous l’étiquette de stratégie.
  • Autres points de liaison. La disponibilité de points de liaison supplémentaires dépend du type de stratégie avancée et des spécificités de la fonctionnalité Citrix ADC concernée.

Pour plus d’informations sur les liaisons de stratégie avancées, consultez la rubrique Liaison de stratégies qui utilisent la rubrique Stratégies avancées .

À propos de l’ordre d’évaluation des stratégies

Les groupes de stratégies et les stratégies d’un groupe sont évalués dans un ordre particulier, en fonction des éléments suivants :

  • Point de liaison de la stratégie, par exemple, si la stratégie est liée au traitement du temps de demande pour un serveur virtuel ou au traitement du temps de réponse global. Par exemple, au moment de la demande, Citrix ADC évalue toutes les stratégies de temps de demande avant d’évaluer les stratégies spécifiques au serveur virtuel.
  • Le niveau de priorité de la stratégie. Pour chaque point du processus d’évaluation, un niveau de priorité attribué à une stratégie détermine l’ordre d’évaluation par rapport aux autres stratégies qui partagent le même point de liaison. Par exemple, lorsque Citrix ADC évalue une banque de stratégies spécifiques au serveur virtuel au moment de la demande, il commence par la stratégie affectée à la valeur de priorité la plus faible. Dans les stratégies, les niveaux de priorité doivent être uniques sur tous les points de liaison.

Pour les stratégies avancées, Citrix ADC sélectionne un regroupement ou une banque de stratégies à un moment particulier du traitement global. Voici l’ordre d’évaluation des groupements de base, ou banques, des stratégies avancées :

  1. Request-time global override
  2. Heure de la demande, spécifique au serveur virtuel (un point de liaison par serveur virtuel)
  3. Défaut global au moment de la demande
  4. Response-time global override
  5. Temps de réponse spécifique au serveur virtuel
  6. Response-time global default

Toutefois, dans toutes les banques de politiques précédentes, l’ordre d’évaluation est plus souple que dans les politiques. Dans une banque de stratégies, vous pouvez pointer vers la prochaine stratégie à évaluer quel que soit le niveau de priorité, et vous pouvez appeler des banques de stratégies qui appartiennent à d’autres points de liaison et banques de stratégies définies par l’utilisateur.

Order of evaluation based on traffic flow

Au fur et à mesure que le trafic passe par Citrix ADC et est traité par diverses fonctionnalités, chaque fonctionnalité effectue une évaluation des stratégies. Chaque fois qu’une stratégie correspond au trafic, Citrix ADC stocke l’action et continue le traitement jusqu’à ce que les données soient sur le point de quitter Citrix ADC. À ce stade, Citrix ADC applique généralement toutes les actions correspondantes. La mise en cache intégrée, qui n’applique qu’une action finale Cache ou NoCache, est une exception.

Certaines politiques influent sur le résultat d’autres politiques. Voici des exemples :

  • Si une réponse est fournie à partir du cache intégré, d’autres fonctionnalités de Citrix ADC ne traitent pas la réponse ou la demande qui l’a initiée.
  • Si la fonctionnalité de filtrage du contenu empêche la diffusion d’une réponse, aucune fonctionnalité ultérieure n’évalue la réponse.

Si le pare-feu d’application rejette une demande entrante, aucune autre fonctionnalité ne peut la traiter.