Citrix Gateway

Utilisation de la stratégie avancée pour créer des stratégies VPN

Classic Policy Engine (PE) et Advance Policy Infrastructure (PI) sont deux cadres de configuration et d’évaluation de stratégies différents que Citrix ADC prend actuellement en charge.

Advance Policy Infrastructure se compose d’un langage d’expression extrêmement puissant. Le langage d’expression peut être utilisé pour définir des règles dans la stratégie, définir diverses parties de l’action et d’autres entités prises en charge. Le langage d’expression peut analyser n’importe quelle partie de la requête ou de la réponse et vous permet également de regarder en profondeur à travers les en-têtes et la charge utile. Le même langage d’expression se développe et fonctionne à travers tous les modules logiques pris en charge par Citrix ADC.

Remarque :Nous vous encourageons à utiliser des stratégies avancées pour créer des stratégies.

Pourquoi migrer d’une stratégie classique à une stratégie avancée ?

La stratégie avancée dispose d’un ensemble d’expressions riche et offre beaucoup plus de flexibilité que la stratégie classique. Comme Citrix ADC évolue et s’adapte à une grande variété de clients, il est impératif de prendre en charge des expressions qui dépassent largement les stratégies avancées. Pour de plus amples informations, consultez la section Stratégies et expressions.

Voici les fonctionnalités ajoutées pour Advance Policy.

  • Possibilité d’accéder au corps des messages.
  • Prend en charge de nombreux protocoles supplémentaires.
  • Accède à de nombreuses fonctionnalités supplémentaires du système.
  • A plus de fonctions de base, d’opérateurs et de types de données.
  • Il s’adresse à l’analyse des fichiers HTML, JSON et XML.
  • Facilite la correspondance multichaîne parallèle rapide (patsets, etc.).

Maintenant, les stratégies VPN suivantes peuvent être configurées à l’aide de la stratégie avancée.

  • Stratégie de session
  • Stratégie d’autorisation
  • Politique de trafic
  • Stratégie de tunnel
  • Politique d’audit

En outre, l’analyse des points de terminaison (EPA) peut être configurée en tant que fonction nFactor pour l’authentification. L’EPA est utilisé en tant que gatekeeper pour les périphériques de point de terminaison qui tentent de se connecter à l’appliance Gateway. Avant que la page d’ouverture de session Gateway ne s’affiche sur un périphérique de point de terminaison, la configuration matérielle et logicielle minimale du périphérique est vérifiée, en fonction des critères d’éligibilité configurés par l’administrateur Gateway. L’accès à Gateway est accordé en fonction du résultat des vérifications effectuées. Auparavant, EPA était configuré dans le cadre de la stratégie de session. Maintenant, il peut être lié à nFactor offrant plus de flexibilité, quant au moment où il peut être exécuté. Pour plus d’informations sur l’EPA, consultez la rubrique Fonctionnement des stratégies de point de terminaison. Pour en savoir plus sur nFactor, consultez la rubrique Authentification nFactor.

Cas d’utilisation :

Pré-authentification EPA à l’aide d’Advanced EPA

L’analyse EPA de pré-authentification se produit avant que l’utilisateur fournisse les informations d’identification d’ouverture de session. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification nFactor avec l’analyse EPA pré-authentification comme l’un des facteurs d’authentification, reportez-vous à l’article CTX224268.

EPA post-Auth avec Advanced EPA

L’analyse EPA post-authentification se produit après vérification des informations d’identification de l’utilisateur. Dans l’infrastructure de stratégie classique, l’EPA de post-authentification a été configuré dans le cadre de la stratégie de session ou de l’action de session. Dans l’infrastructure de stratégie avancée, l’analyse EPA doit être configurée en tant que facteur EPA dans l’authentification n-facteur. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification à n facteurs avec l’analyse EPA post-authentification comme l’un des facteurs d’authentification, reportez-vous à laCTX224303rubrique.

Pré-authentification et post-authentification EPA à l’aide de stratégies avancées

L’EPA peut être effectuée avant l’authentification et après l’authentification. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification nFactor avec des analyses EPA pré-authentification et post-authentification, reportez-vous à la rubrique CTX231362.

Analyse EPA périodique en tant que facteur dans l’authentification nFactor

Dans l’infrastructure de stratégie classique, l’analyse EPA périodique a été configurée dans le cadre de l’action de stratégie de session. Dans le cadre de l’infrastructure de stratégie avancée, il peut être configuré dans le cadre du facteur EPA dans l’authentification n-facteur.

Pour plus d’informations sur la configuration de l’analyse périodique EPA en tant que facteur d’authentification nFactor, cliquez sur la rubrique CTX231361.

Dépannage :

Les points suivants doivent être gardés à l’esprit pour le dépannage.

  • Les stratégies classiques et avancées du même type (par exemple, la stratégie de session) ne peuvent pas être liées au même point d’entité/de liaison.
  • La priorité est obligatoire pour toutes les politiques de PI.
  • La politique d’avance pour VPN peut être liée à tous les points de liaison.
  • La stratégie avancée avec la même priorité peut être liée à un seul point de liaison.
  • Si aucune des stratégies d’autorisation configurées n’est atteinte, l’action d’autorisation globale configurée dans le paramètre VPN est appliquée.
  • Dans la stratégie d’autorisation, l’action d’autorisation n’est pas annulée si la règle d’autorisation échoue.

Expressions équivalentes de stratégie avancée couramment utilisées pour la stratégie classique :

Expressions de stratégie classiques Expressions de stratégie avancées
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS ”bar” .CONTAINS(“bar”) [Notez l’utilisation de “.”.]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT
Utilisation de la stratégie avancée pour créer des stratégies VPN