Citrix ADC

クラシックおよび高度なポリシー

警告

従来のポリシー式は、Citrix ADC 12.0ビルド56.20以降では廃止され、代わりに高度なポリシーを使用することをお勧めします。詳しくは、「高度なポリシー」を参照してください。

従来のポリシーでは、トラフィックおよびその他のデータの基本特性を評価します。たとえば、従来のポリシーでは、HTTP 要求または応答に特定のタイプのヘッダーまたは URL が含まれているかどうかを識別できます。

高度なポリシーでは、従来のポリシーと同じタイプの評価を実行できます。さらに、デフォルトの構文ポリシーを使用すると、より多くのデータ(HTTP リクエストの本文など)を分析したり、ポリシー規則でより多くの操作を構成したりできます(たとえば、リクエストの本文のデータを HTTP ヘッダーに変換するなど)。

ポリシーにアクションまたはプロファイルを割り当てるだけでなく、Citrix ADC機能に関連する処理の特定のポイントにポリシーをバインドします。バインドポイントは、ポリシーをいつ評価するかを決定する要素の 1 つです。

高度なポリシーを使用する利点

デフォルトの構文ポリシーでは、クラスオブジェクトモデルに基づいて構築された強力な式言語が使用され、さまざまなCitrix ADC機能の動作を構成する機能を強化するオプションがいくつか用意されています。デフォルトの構文ポリシーでは、次の操作を実行できます。

  • レイヤ 2 ~ 7 のネットワークトラフィックのきめ細かな分析を実行します。
  • HTTP または HTTPS リクエストまたはレスポンスのヘッダーまたは本体の任意の部分を評価します。
  • デフォルトの構文ポリシーインフラストラクチャがサポートする複数のバインドポイントにポリシーをバインドします。デフォルト構文ポリシーインフラストラクチャは、デフォルト、オーバーライド、および仮想サーバーレベルでサポートします。
  • goto 式を使用して、式の評価の結果によって決定される他のポリシーおよびバインドポイントに制御を転送します。
  • パターンセット、ポリシーラベル、レート制限識別子、HTTP コールアウトなどの特殊なツールを使用すると、複雑なユースケースに対して効果的にポリシーを設定できます。

また、構成ユーティリティーは、デフォルトの構文ポリシーと式に対する堅牢なグラフィカルユーザーインターフェイスのサポートを拡張し、ネットワークプロトコルの知識が限られているユーザーは、ポリシーをすばやく簡単に構成できます。設定ユーティリティには、デフォルトの構文ポリシーのポリシー評価機能も含まれています。この機能を使用すると、デフォルトの構文ポリシーを評価し、コミットする前にその動作をテストできるため、設定エラーのリスクを軽減できます。

詳細ポリシーの基本コンポーネント

詳細ポリシーの特徴を次に示します。

  • Name:各ポリシーには一意の名前があります。

  • Rule. このルールは、Citrix ADC機能でトラフィックまたは他のオブジェクトを評価できるようにする論理式です。たとえば、Citrix ADCは、特定のIPアドレスから送信されたHTTPリクエストかどうか、またはHTTPリクエストのキャッシュ制御ヘッダーに「No-Cache」値があるかどうかを決定するルールを有効にできます。

高度なポリシーでは、SSL VPN クライアントの従来の式を除き、クラシックポリシーで使用できるすべての式を使用できます。さらに、高度なポリシーを使用すると、より複雑な式を構成できます。

  • バインディング。Citrix ADCが必要なときにポリシーを呼び出せるようにするには、ポリシーを1つまたは複数のバインドポイントに関連付けます(バインドします)。

ポリシーは、グローバルにバインドすることも、仮想サーバにバインドすることもできます。詳しくは、「ポリシーバインディングについて」を参照してください。

  • 関連付けられたアクション。アクションは、ポリシーとは別のエンティティです。ポリシー評価では、最終的にCitrix ADCがアクションを実行します。

たとえば、統合キャッシュのポリシーは、.gif ファイルまたは.jpeg ファイルに対する HTTP 要求を識別できます。このポリシーに関連付けるアクションによって、これらのタイプのリクエストに対する応答がキャッシュから提供されることが決まります。

一部の機能では、プロファイルと呼ばれるより複雑な命令セットの一部としてアクションを構成します。

Citrix ADCの機能によってポリシーが使用される方法

Citrix ADCは、動作のポリシーに依存するさまざまな機能をサポートしています。次の表は、Citrix ADCの機能でポリシーを使用する方法をまとめたものです。

[フィーチャ名] ポリシーの種類 機能でのポリシーの使用方法
システム クラシック 認証機能の場合、ポリシーにはさまざまな認証方法の認証スキームが含まれます。たとえば、LDAP および証明書ベースの認証スキームを設定できます。監査機能でもポリシーを設定します。
DNS 詳細設定 要求に対して DNS 解決を実行する方法を決定する。
SSL クラシックとアドバンス 暗号化機能を適用するタイミングを決定し、証明書情報をクリアテキストに追加する。エンドツーエンドのセキュリティを提供するために、メッセージが復号化された後、SSL 機能はクリアテキストを再暗号化し、SSL を使用して Web サーバと通信します。
圧縮 クラシックとアドバンス 圧縮されるトラフィックのタイプを決定する。
統合キャッシュ 詳細設定 HTTP 応答がキャッシュ可能かどうかを判断します。
レスポンダー 詳細設定 レスポンダー関数の動作を構成する。
保護機能 クラシック フィルタ、SureConnect、およびプライオリティキューイング機能の動作を構成する。
コンテンツ スイッチ クラシックとアドバンス 着信要求の特性に基づいて、応答を処理するサーバまたはサーバグループを判断する。要求特性には、デバイスタイプ、言語、Cookie、HTTP メソッド、コンテンツタイプ、および関連するキャッシュサーバが含まれます。
AAA-トラフィック管理 クラシック。例外:トラフィックポリシーはデフォルトの構文ポリシーのみをサポートします。認可ポリシーは、従来の構文ポリシーとデフォルトの構文ポリシーの両方をサポートします。 ユーザーがログインしてセッションを確立する前に、クライアント側のセキュリティをチェックする。シングルサインオン(SSO)が必要かどうかを決定するトラフィックポリシーでは、デフォルトの構文のみを使用します。承認ポリシーは、アプライアンスを介してイントラネットリソースにアクセスするユーザーとグループを承認します。
キャッシュのリダイレクト クラシック 応答がキャッシュから提供されるか、オリジンサーバーから提供されるかを判断する。
書き換え 詳細設定 提供する前に変更する HTTP データを識別します。ポリシーは、データを変更するためのルールを提供します。たとえば、HTTP データを変更して、新しいホームページ、新しいサーバー、または受信要求のアドレスに基づいて選択したサーバーに要求をリダイレクトできます。また、セキュリティ上の理由から、応答のサーバー情報をマスクするようにデータを変更できます。URL トランスフォーマー関数は、URL を変換する必要があるかどうかを評価するために、HTTP トランザクションおよびテキストファイル内の URL を識別します。
アプリケーションファイアウォール クラシックとアドバンス ファイアウォールを通過するトラフィックおよび許可するべきでないデータの特性を識別する。
Citrix Gateway、クライアントレスアクセス機能 詳細設定 Citrix Gateway を使用して一般的なWebアクセスの書き換えルールを定義する。
Citrix Gateway クラシック Citrix Gateway が認証、承認、監査、およびその他の機能をどのように実行するかを決定します。

アクションとプロファイルについて

ポリシー自体はデータに対してアクションを実行しません。ポリシーは、トラフィックを評価するための読み取り専用ロジックを提供します。ポリシー評価に基づいて操作を実行する機能を有効にするには、アクションまたはプロファイルを設定し、それらをポリシーに関連付けます。

注記: アクションとプロファイルは、特定の機能に固有です。フィーチャへのアクションとプロファイルの割り当てについては、個々の機能のマニュアルを参照してください。

アクションについて

アクションは、ポリシー内の式の評価に応じて、Citrix ADCが実行する手順です。たとえば、ポリシーの式がリクエスト内の特定の送信元 IP アドレスと一致する場合、このポリシーに関連付けられているアクションによって、接続が許可されるかどうかが決まります。

Citrix ADCが実行できる操作の種類は、機能によって異なります。たとえば、Rewrite では、アクションはリクエスト内のテキストを置き換えたり、リクエストの宛先 URL を変更したりできます。統合キャッシュでは、アクションによって HTTP 応答がキャッシュから提供されるか、オリジンサーバーから提供されるかが決まります。

Citrix ADCの一部の機能では、アクションは事前に定義されており、その他の機能では設定可能です。場合によっては(Rewrite など)、関連付けられたポリシールールの設定に使用するのと同じタイプの式を使用してアクションを設定します。

プロファイルについて

Citrix ADCの一部の機能では、プロファイル、またはアクションとプロファイルの両方をポリシーに関連付けることができます。プロファイルは、機能が複雑な機能を実行できるようにする設定の集まりです。たとえば、アプリケーションファイアウォールでは、XML データのプロファイルは、データの不正な XML 構文や SQL インジェクションの証拠など、複数のスクリーニング操作を実行できます。

特定の機能でのアクションとプロファイルの使用

次の表は、Citrix ADCの各機能におけるアクションとプロファイルの使用方法についてまとめたものです。表は網羅的ではありません。機能に対するアクションとプロファイルの具体的な使用方法の詳細については、機能のマニュアルを参照してください。

機能 アクションの使用 プロファイルの使用
アプリケーションファイアウォール プロファイルと同義語 すべてのアプリケーションファイアウォール機能は、プロファイルを使用して、パターンベースの学習を含む複雑な動作を定義します。これらのプロファイルをポリシーに追加します。
Citrix Gateway Citrix Gateway の機能では、「事前認証」というアクションが使用されます。許可アクションと拒否アクションを使用します。これらのアクションをプロファイルに追加します。「承認」。許可アクションと拒否アクションを使用します。これらのアクションをポリシーに追加します。TCP 圧縮。さまざまなアクションを使用します。これらのアクションをポリシーに追加します。 プロファイルを使用する機能は、事前認証、セッション、トラフィック、およびクライアントレスアクセスです。プロファイルを設定したら、ポリシーに追加します。
書き換え URL 書き換えアクションを設定し、ポリシーに追加します。 使用しません。
統合キャッシュ ポリシー内でキャッシュおよび無効化アクションを構成する 使用しません。
AAA-トラフィック管理 認証タイプを選択するか、許可アクションを [許可] または [拒否] に設定するか、監査を SYSLOG または NSLOG に設定します。 デフォルトのタイムアウトおよび認可アクションを使用してセッションプロファイルを設定できます。
保護機能 フィルター、圧縮、レスポンダー、および SureConnect の機能について、ポリシー内でアクションを構成します。 使用しません。
SSL SSL ポリシー内でアクションを設定します。 使用しません。
システム アクションは暗黙的に行われます。認証機能では、[許可] または [拒否] のいずれかになります。[監査] の場合、[監査オン] または [監査オフ] になります。 使用しません。
DNS アクションは暗黙的に行われます。これは、ドロップパケットまたは DNS サーバーの場所のいずれかです。 使用しません。
SSLオフロード アクションは暗黙的に行われます。これは、SSL 仮想サーバーまたはサービスに関連付けるポリシーに基づいています。 使用しません。
圧縮 データに適用する圧縮のタイプを決定する 使用しません。
コンテンツ スイッチ アクションは暗黙的に行われます。要求がポリシーと一致する場合、要求はポリシーに関連付けられた仮想サーバに送信されます。 使用しません。
キャッシュのリダイレクト アクションは暗黙的に行われます。リクエストがポリシーと一致する場合、リクエストはオリジンサーバーに送信されます。 使用しません。

ポリシーバインディングについて

ポリシーは、ポリシーを呼び出せるエンティティに関連付けられるか、またはエンティティにバインドされます。たとえば、すべての仮想サーバーに適用される要求時間の評価にポリシーをバインドできます。特定のバインドポイントにバインドされたポリシーのコレクションは、ポリシーバンクを構成します。

次に、ポリシーのさまざまなタイプのバインドポイントの概要を示します。

  • グローバル要求時間。ポリシーは、要求時に機能のすべてのコンポーネントで使用できます。
  • グローバル応答時間。ポリシーは、応答時に機能のすべてのコンポーネントで使用できます。
  • 要求時間、仮想サーバ固有。

ポリシーは、特定の仮想サーバーの要求時間処理にバインドできます。たとえば、要求時間ポリシーをキャッシュリダイレクト仮想サーバーにバインドして、特定の要求がキャッシュの負荷分散仮想サーバーに転送され、他の要求がオリジンの負荷分散仮想サーバーに送信されるようにできます。

  • 応答時間、仮想サーバ固有。ポリシーは、特定の仮想サーバの応答時間処理にバインドすることもできます。
  • ユーザー定義のポリシーラベル。デフォルトの構文ポリシーの場合、ポリシー・ラベルを定義し、ポリシー・ラベルの下に一連の関連ポリシーを収集することで、ポリシーのカスタム・グループ(ポリシー・バンク)を構成できます。
  • その他のバインドポイント。追加のバインドポイントを使用できるかどうかは、ポリシーの種類(クラシックまたはデフォルトの構文)、および関連するCitrix ADC機能の詳細によって異なります。たとえば、Citrix Gateway用に構成する従来のポリシーには、ユーザーとグループのバインドポイントがあります。

高度なポリシーバインディングの詳細については、「高度なポリシーを使用するバインドポリシー」および「仮想サーバーのポリシーバンクを構成する」を参照してください。クラシックポリシーバインディングの詳細については、「クラシックポリシーを構成する」を参照してください。

ポリシーの評価順序について

クラシックポリシーの場合、ポリシーグループおよびグループ内のポリシーは、次の項目に応じて特定の順序で評価されます。

  • ポリシーのバインドポイント。たとえば、ポリシーが仮想サーバーの要求時間処理にバインドされているか、グローバル応答時間処理にバインドされているかなどです。たとえば、Citrix ADCは、要求時にすべての要求時クラシックポリシーを評価してから、仮想サーバー固有のポリシーを評価します。
  • ポリシーのプライオリティレベル。評価プロセスの各ポイントについて、ポリシーに割り当てられた優先度レベルによって、同じバインドポイントを共有する他のポリシーと比較して評価の順序が決まります。たとえば、Citrix ADCが要求時間、仮想サーバー固有のポリシーのバンクを評価する場合、優先度の最も低い値に割り当てられたポリシーから開始します。従来のポリシーでは、すべてのバインドポイントでプライオリティレベルが一意である必要があります。

高度なポリシーでは、従来のポリシーと同様に、Citrix ADCは、処理全体の特定のポイントでポリシーのグループ化(バンク)を選択します。次に、高度なポリシーの基本的なグループ化(バンク)の評価の順序を示します。

  1. 要求時間のグローバル上書き
  2. 要求時間、仮想サーバ固有(仮想サーバごとに1つのバインドポイント)
  3. 要求時間のグローバルデフォルト
  4. 応答時間のグローバル上書き
  5. 応答時間の仮想サーバ固有
  6. レスポンスタイムグローバルデフォルト

ただし、前述のどのポリシーのバンクでも、評価の順序は従来の政策よりも柔軟です。ポリシーバンク内では、優先度レベルに関係なく評価される次のポリシーをポイントできます。また、他のバインドポイントおよびユーザー定義のポリシーバンクに属するポリシーバンクを呼び出すことができます。

トラフィックフローに基づく評価順序

トラフィックがCitrix ADCを通過し、さまざまな機能によって処理されると、各機能によってポリシー評価が実行されます。ポリシーがトラフィックと一致すると、Citrix ADCはアクションを保存し、データがCitrix ADCから出るまで処理を続けます。その時点で、Citrix ADCは通常、一致するすべてのアクションを適用します。統合キャッシュは、最終的な Cache または NoCache アクションのみを適用しますが、例外です。

一部のポリシーは、他のポリシーの結果に影響を与えます。次に例を示します。

  • 応答が統合キャッシュから提供される場合、Citrix ADCの他の機能によっては、応答または応答を開始した要求が処理されません。
  • コンテンツフィルタ機能によって応答の提供が妨げられる場合、後続の機能は応答を評価しません。

アプリケーションファイアウォールが着信要求を拒否した場合、他の機能では要求を処理できません。