アプリケーション・アクセス制御の設定
アプリケーション・アクセス制御は、管理アクセス制御とも呼ばれ、ユーザー認証を管理し、アプリケーションおよびデータへのユーザー・アクセスを決定するルールを実装するための統一されたメカニズムを形成します。SNIP を構成して、管理アプリケーションへのアクセスを提供できます。NSIPの管理アクセスはデフォルトで有効になっており、無効にすることはできません。ただし、ACL を使用して制御することはできます。
ACL の使用の詳細については、 アクセス制御リスト (ACL)を参照してください。
Citrix ADCアプライアンスは、VIPへの管理アクセスをサポートしていません。
次の表は、管理アクセスと Telnet の特定のサービス設定の間の相互作用をまとめたものです。
| 管理アクセス | Telnet(Citrix ADCで設定された状態) | Telnet(IP レベルでの有効状態) |
|---|---|---|
| 有効化 | 有効化 | 有効化 |
| 有効化 | 無効化 | 無効化 |
| 無効化 | 有効化 | 無効化 |
| 無効化 | 無効化 | 無効化 |
次の表に、アウトバウンドトラフィックで送信元 IP アドレスとして使用される IP アドレスの概要を示します。
| アプリケーション/ IP | NSIP | SNIP | VIP |
|---|---|---|---|
| ARP | はい | はい | いいえ |
| サーバー側のトラフィック | いいえ | はい | いいえ |
| RNAT | いいえ | はい | はい |
| ICMP PING | はい | はい | いいえ |
| 動的ルーティング | はい | はい | はい |
次の表に、これらの IP アドレスで使用できるアプリケーションの概要を示します。
| アプリケーション/ IP | NSIP | SNIP | VIP |
|---|---|---|---|
| SNMP | はい | はい | はい |
| システムアクセス | はい | はい | いいえ |
Telnet、SSH、GUI、FTPなどのアプリケーションを使用して、Citrix ADCにアクセスして管理できます。
注: セキュリティ上の理由から、Citrix ADCではTelnetとFTPが無効になっています。有効にするには、カスタマーサポートに連絡してください。アプリケーションを有効にしたら、IP レベルでコントロールを適用できます。
これらのアプリケーションに応答するようにCitrix ADCを構成するには、特定の管理アプリケーションを有効にする必要があります。IP アドレスの管理アクセスを無効にすると、その IP アドレスを使用する既存の接続は終了しませんが、新しい接続を開始することはできません。
また、基盤となる FreeBSD オペレーティングシステムで実行されている非管理アプリケーションはプロトコル攻撃を受けやすく、これらのアプリケーションはCitrix ADC アプライアンスの攻撃防止機能を活用しません。
SNIPまたはNSIP上のこれらの非管理アプリケーションへのアクセスをブロックできます。アクセスがブロックされると、SNIPまたはNSIPを使用してCitrix ADCに接続しているユーザーは、基盤となるオペレーティングシステムで実行されている非管理アプリケーションにアクセスできなくなります。
CLI を使用して IP アドレスの管理アクセスを設定するには、次の手順を実行します。
コマンドプロンプトで入力します。
set ns ip <IPAddress> -mgmtAccess <value> -telnet <value> -ftp <value> -gui <value> -ssh <value> -snmp <value> -restrictAccess (ENABLED | DISABLED)
例:
> set ns ip 10.102.29.54 -mgmtAccess enabled -restrictAccess ENABLED
Done
<!--NeedCopy-->
GUI を使用して IP アドレスの管理アクセスを有効にするには、次の手順を実行します。
- System > Network > IPs > IPV4sに移動します。
- IP アドレスエントリを開き、[一覧表示されたアプリケーションをサポートするために 管理アクセス制御を有効にする] オプションを選択します。
サブネットIPアドレス(SNIP)を使用してCitrix ADC GUIへの安全なアクセスを有効にする
Citrix ADC IP(NSIP)では、Citrix ADC GUIへのセキュアアクセスがデフォルトで有効になっています。アプライアンスのサブネットIPアドレスを使用して、Citrix ADCアプライアンスへの安全なアクセスを有効にすることもできます。
ハイアベイラビリティペアへのセキュアアクセス用の SNIP アドレスを設定した後、SNIP アドレスにアクセスすると、プライマリアプライアンスがセキュアアクセスできるようになります。
Citrix ADC LI手順
CLIを使用してサブネットIPアドレス(SNIP)を使用してCitrix ADC GUIへの安全なアクセスを有効にするには:
コマンドプロンプトで入力します。
ns IP タイプに設定 <SNIP_Address>SNIP-gui セキュアオンリー-mgmtAccess有効
例:
> set ns ip 203.0.113.99 -mgmtAccess enabled -restrictAccess ENABLED
Done
<!--NeedCopy-->