Utilisation de la stratégie avancée pour créer des stratégies VPN

Classic Policy Engine (PE) et Advance Policy Infrastructure (PI) sont deux cadres de configuration et d’évaluation de stratégies différents que Citrix ADC prend actuellement en charge.

Advance Policy Infrastructure est un langage d’expression extrêmement puissant. Le langage d’expression peut être utilisé pour définir des règles dans la stratégie, définir diverses parties de l’action et d’autres entités prises en charge. Le langage d’expression peut analyser n’importe quelle partie de la requête ou de la réponse et vous permet également de regarder en profondeur à travers les en-têtes et la charge utile. Le même langage d’expression s’étend et fonctionne à travers tous les modules logiques pris en charge par Citrix ADC.

Remarque :Nous vous encourageons à utiliser des stratégies avancées pour créer des stratégies.

Pourquoi migrer de la stratégie classique vers la stratégie avancée ?

La stratégie avancée dispose d’un ensemble d’expressions riche et offre beaucoup plus de flexibilité que la stratégie classique. Comme Citrix ADC évolue et s’adapte à une grande variété de clients, il est impératif de prendre en charge des expressions qui dépassent largement les stratégies avancées. Pour plus d’informations, veuillez consulter Stratégies et expressions.

Voici les fonctionnalités ajoutées pour la stratégie anticipée.

  • Possibilité d’accéder au corps des messages.
  • Prend en charge de nombreux protocoles supplémentaires.
  • Accède à de nombreuses fonctionnalités supplémentaires du système.
  • A plus de fonctions de base, d’opérateurs et de types de données.
  • S’adresse à l’analyse des fichiers HTML, JSON et XML.
  • Facilite la mise en correspondance rapide de plusieurs chaînes parallèles (patsets, etc.).

Désormais, les stratégies VPN suivantes peuvent être configurées à l’aide de la stratégie avancée.

  • Stratégie de session
  • Politique d’autorisation
  • Politique de trafic
  • Politique du tunnel
  • Politique d’audit

En outre, End Point Analysis (EPA) peut être configuré en tant que fonction nFactor pour l’authentification. EPA est utilisé comme contrôleur d’accès pour les périphériques de point de terminaison qui tentent de se connecter à l’appliance Gateway. Avant que la page d’ouverture de session de la passerelle ne s’affiche sur un périphérique de point de terminaison, la configuration matérielle et logicielle du périphérique est vérifiée sur le périphérique, en fonction des critères d’éligibilité configurés par l’administrateur de passerelle. L’accès à Gateway est accordé en fonction du résultat des vérifications effectuées. Auparavant, EPA était configuré dans le cadre de la stratégie de session. Maintenant, il peut être lié à nFactor fournissant plus de flexibilité, quant au moment où il peut être exécuté. Pour plus d’informations sur l’EPA, consultez la rubrique Fonctionnement des stratégies de point de terminaison. Pour en savoir plus sur nFactor, consultez la rubrique Authentification nFactor.

Cas d’utilisation :

EPA de pré-authentification à l’aide de l’EPA avancé

L’analyse EPA pré-authentification se produit avant que l’utilisateur ne fournisse les informations d’identification d’ouverture de session. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification nFactor avec l’analyse EPA pré-authentification comme l’un des facteurs d’authentification, reportez-vous à l’article CTX224268.

EPA post-authentification à l’aide de l’EPA avancé

L’analyse EPA post-authentification se produit après vérification des informations d’identification de l’utilisateur. Dans le cadre de l’infrastructure de stratégie classique, l’EPA de post-authentification a été configuré dans le cadre de la stratégie de session ou de l’action de session. Sous Infrastructure de stratégie avancée, l’analyse EPA doit être configurée en tant que facteur EPA dans l’authentification par facteur n. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification n-facteur avec l’analyse EPA post-authentification comme l’un des facteurs d’authentification, reportez-vous à laCTX224303rubrique.

EPA pré-authentification et post-authentification à l’aide de stratégies avancées

L’EPA peut être effectuée avant l’authentification et la post-authentification. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification nFactor avec des analyses EPA pré-authentification et post-authentification, reportez-vous à la rubrique CTX231362.

Analyse EPA périodique en tant que facteur d’authentification nFactor

Sous Infrastructure de stratégie classique, l’analyse périodique EPA a été configurée dans le cadre de l’action de stratégie de session. Dans le cadre de l’infrastructure de stratégie avancée, il peut être configuré dans le cadre du facteur EPA dans l’authentification n facteur.

Pour plus d’informations sur la configuration de l’analyse périodique EPA en tant que facteur d’authentification nFactor, cliquez sur la rubrique CTX231361.

Dépannage :

Les points suivants doivent être gardés à l’esprit pour le dépannage.

  • Les stratégies classiques et avancées du même type (par exemple, stratégie de session) ne peuvent pas être liées à la même entité ou point de liaison.
  • La priorité est obligatoire pour toutes les politiques de PI.
  • Advance Policy for VPN peut être liée à tous les points de liaison.
  • Une stratégie avancée avec la même priorité peut être liée à un seul point de liaison.
  • Si aucune des stratégies d’autorisation configurées n’est touchée, l’action d’autorisation globale configurée dans le paramètre VPN est appliquée.
  • Dans la stratégie d’autorisation, l’action d’autorisation n’est pas annulée si la règle d’autorisation échoue.

Expressions couramment utilisées pour la stratégie classique :

Expressions de stratégie classiques Expressions de stratégie avancée
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS ”bar” .CONTAINS(“bar”) [Notez l’utilisation de “.”.]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT