Citrix ADC SDX

Listes de contrôle d’accès

Une liste de contrôle d’accès (ACL) est un ensemble de conditions que vous pouvez appliquer à une appliance réseau pour filtrer le trafic IP et protéger votre appliance contre les accès non autorisés.

Vous pouvez configurer une liste de contrôle d’accès sur l’interface graphique de votre service de gestion Citrix ADC SDX pour limiter et contrôler l’accès à l’appliance.

Remarque :

Les listes de contrôle d’accès sur les appliances SDX sont prises en charge à partir de la version 12.0 57.19.

Cette rubrique comprend les sections suivantes :

  • Directives d’utilisation
  • Comment configurer les ACL
  • Actions supplémentaires pour les règles ACL
  • Résolution des problèmes

Directives d’utilisation

Gardez à l’esprit les points suivants lorsque vous créez des listes de contrôle d’accès sur votre appliance :

  • Lorsque vous mettez à niveau l’appliance SDX vers la version 12.0 57.19, la fonctionnalité ACL est désactivée par défaut.
  • Les administrateurs SDX peuvent contrôler uniquement les paquets entrants via l’ACL sur l’appliance SDX.
  • Si vous utilisez Citrix Application Delivery Management pour gérer votre appliance SDX, vous devez créer des règles ACL appropriées pour autoriser la communication entre MAS et SDX Management Service.
  • Pour toute autre configuration sur l’appliance SDX, telle que le provisionnement ou la suppression de VPX, l’ajout/la suppression de serveurs externes, la gestion SNMP, etc., aucune modification de la configuration ACL existante n’est requise. La communication avec ces entités est prise en charge par le service de gestion.

Comment configurer une liste de contrôle d’accès

La configuration d’une ACL implique les étapes suivantes :

  • Activer la fonctionnalité ACL
  • Création d’une règle ACL
  • Activer la règle ACL

Remarque :

Vous pouvez créer des règles ACL sans activer la fonctionnalité ACL. Toutefois, si la fonctionnalité n’est pas activée, vous ne pouvez pas activer une règle ACL après l’avoir créée.

Pour activer la fonctionnalité ACL

1. Pour activer la fonctionnalité ACL, connectez-vous à l’interface graphique du service de gestion SDX et accédez à Configuration > Système > ACL.

2. En utilisant le bouton bascule, activez la fonction ACL.

Règle ACL

Pour créer une règle ACL

1. Sur la page ACL, cliquez sur Créer une règle.

2. La fenêtre Créer une règle s’ouvre. Ajoutez les détails répertoriés dans le tableau suivant.

Propriété Description
Nom Ajoutez un nom.
Protocole Sélectionnez un protocole dans le menu. Par défaut, TCP est sélectionné. Vous pouvez sélectionner N’IMPORTE QUEL pour autoriser tous les protocoles.
Adresse IP source/sous-réseau Spécifiez l’adresse IP ou le sous-réseau source auquel la règle s’applique. Sélectionnez N’IMPORTE QUEL si la règle doit être appliquée à tout le trafic entrant.
IP destination L’adresse IP du service de gestion SDX est renseignée automatiquement en tant qu’adresse IP de destination. Ce champ ne peut pas être édité.
Port de destination Spécifiez le port de destination auquel la règle s’applique. Sélectionnez N’IMPORTE QUEL si la règle s’applique à tous les ports de destination.
Action Sélectionnez l’action pour la règle, qui est Autoriser ou Refuser.
Priority Attribuez une priorité pour spécifier l’ordre dans lequel la règle doit être évaluée. Les numéros de priorité déterminent l’ordre dans lequel les règles ACL sont mises en correspondance avec un paquet entrant. Un numéro de priorité inférieure a une priorité plus élevée. Par exemple, la priorité numéro 1 a une priorité supérieure à la priorité numéro 2. Si aucune des règles ne correspond au paquet entrant, le paquet est bloqué.

3. Cliquez sur OK pour créer la règle.

Figure : Exemple de règle ACL

Image localisée

Une fois la règle créée, elle est dans l’état désactivé. Pour que la règle soit effective, vous devez l’activer.

Remarque :

Pour activer une règle, la fonctionnalité ACL doit être activée. Si la fonctionnalité est désactivée et que vous tentez d’activer une règle ACL, un message « L’ACL n’est pas en cours d’exécution » s’affiche.

Pour activer une règle ACL

1. Passez votre souris sur la règle que vous souhaitez activer, puis cliquez sur le cercle à trois points.

2. Dans le menu, sélectionnez Activer.

3. Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Activer .

4. À l’invite, cliquez sur Oui pour confirmer.

Actions supplémentaires pour les règles ACL

Vous pouvez appliquer les actions suivantes aux règles ACL :

1. Désactiver une règle ACL

2. Modification d’une règle ACL

3. Supprimer une règle ACL

4. Renuméroter la priorité des règles ACL

Pour désactiver une règle ACL

1. Passez la souris sur la règle que vous souhaitez désactiver et sélectionnez le cercle à trois points.

2. Cliquez sur Désactiver dans la liste.

3. Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Désactiver .

4. Cliquez sur Oui pour confirmer.

Remarque :

Lorsque vous désactivez une règle, celle-ci ne s’applique plus au trafic entrant ; toutefois, la configuration de la règle reste sous les paramètres ACL.

Pour modifier une règle ACL

1. Passez le curseur de la souris sur la règle que vous souhaitez modifier et sélectionnez le cercle à trois points.

2. Cliquez sur Modifier la règle dans la liste. La fenêtre Modifier la règle s’ouvre.

3. Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Modifier la règle . La fenêtre Modifier la règle s’ouvre.

4. Apportez les modifications et cliquez sur OK.

Remarque :

Vous pouvez modifier une règle à la fois dans l’état activé et désactivé. Si vous modifiez une règle déjà activée, les modifications sont appliquées immédiatement. Pour une règle dont l’état est désactivé, les mises à jour sont appliquées lorsque vous activez la règle.

Pour supprimer une règle ACL

1. Assurez-vous que la règle est dans l’état désactivé.

2. Passez le curseur de la souris sur la règle à supprimer et sélectionnez le cercle à trois points. Cliquez sur Supprimer la règle dans la liste.

3. Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Supprimer la règle .

4. Cliquez sur Oui pour confirmer.

Remarque :

Vous ne pouvez pas supprimer une règle dont l’état est activé.

Pour renuméroter les priorités des règles ACL

1. Passez le curseur de la souris sur la règle dont vous souhaitez renuméroter les priorités et sélectionnez le cercle à trois points. Cliquez sur Renuméroter les priorités dans la liste.

2. Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Sélectionner une action .

3. Sélectionnez Renuméroter les priorités.

4. Le service de gestion SDX attribue automatiquement de nouveaux numéros de priorité, qui sont des multiples de 10, à toutes les règles existantes.

5. Modifiez les règles pour attribuer des numéros de priorité en fonction de vos besoins. Consultez la section « Pour modifier une règle ACL » pour plus d’informations sur la façon de modifier une règle.

Figurine. Un exemple de numéros de priorité existants Numéro de priorité existant

Figurine. Exemple de numéros de priorité par multiples de 10, après la renumérotation des priorités, renumérote la priorité

Résolution des problèmes

Si les règles ACL ne sont pas correctement configurées, l’accès peut être refusé à tous les comptes d’utilisateurs. Si vous perdez par inadvertance tout accès réseau au service de gestion SDX en raison d’une configuration incorrecte de la liste de contrôle d’accès, procédez comme suit pour y accéder.

1. Connectez-vous à l’adresse IP de gestion Citrix Hypervisor à l’aide de SSH et de votre compte « racine ».

2. Ouvrez une session sur la console de la machine virtuelle du service de gestion à l’aide des privilèges nsroot.

3. Exécutez la commande « pfctl —d ».

4. Ouvrez une session sur le service de gestion via l’interface graphique et reconfigurez l’ACL en conséquence.

Listes de contrôle d’accès