Citrix Application Delivery Management 13.0

ダブルホップモードで展開されたCitrix Gatewayアプライアンスのデータ収集を有効にする

Citrix Gateway のダブルホップモードでは、セキュリティで保護されたネットワーク内のサーバーに到達するために、攻撃者が複数のセキュリティゾーンまたは非武装地帯(DMZ)に侵入する必要があるため、組織の内部ネットワークをさらに保護できます。ICA接続が通過するホップ(Citrix Gateway アプライアンス)の数と、各TCP接続のレイテンシーの詳細と、クライアントが認識するICAレイテンシーの合計とどのようにフェアーするかを分析する場合は、Citrix ADMをインストールする必要があります。これにより、Citrix Gatewayアプライアンスこれらの重要な統計を報告する。

図3:ダブルホップモードで展開されるCitrix ADM

ローカライズされた画像

最初のDMZのCitrix Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このCitrix Gateway は、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワーク内のサーバーへのアクセスを制御します。

2つ目のDMZのCitrix Gateway は、Citrix Gateway プロキシデバイスとして機能します。このCitrix Gateway を使用すると、ICAトラフィックが2番目のDMZを通過してサーバーファームへのユーザー接続を完了できます。

Citrix ADM は、最初のDMZのCitrix Gateway アプライアンスに属するサブネットまたは2番目のDMZに属するサブネットに展開できます。上の画像では、最初のDMZのCitrix ADM とCitrix Gateway が同じサブネットに展開されています。

ダブルホップモードでは、Citrix ADM は1つのアプライアンスからTCPレコードを、もう1つのアプライアンスからICAレコードを収集します。Citrix Gateway アプライアンスをCitrix ADM インベントリに追加してデータ収集を有効にすると、各アプライアンスはホップ数と接続チェーンIDを追跡してレポートをエクスポートします。

Citrix ADMがレコードをエクスポートするアプライアンスを識別するために、各アプライアンスはホップ数で指定され、各接続は接続チェーンIDで指定されます。ホップ数は、クライアントからサーバーへのトラフィックが通過するCitrix Gateway アプライアンスの数を表します。接続チェーンIDは、クライアントとサーバー間のエンドツーエンド接続を表します。

Citrix ADM は、ホップ数と接続チェーンIDを使用して、両方のCitrix Gateway アプライアンスのデータを相互に関連付け、レポートを生成します。

このモードで展開されているCitrix Gateway アプライアンスを監視するには、まずCitrix GatewayをCitrix ADM インベントリに追加し、Citrix ADMでAppFlow を有効にして、Citrix ADMダッシュボードでレポートを表示する必要があります。

Citrix ADM でのデータ収集の有効化

両方のアプライアンスからICA詳細の収集を開始するようにCitrix ADM を有効にすると、収集された詳細情報は冗長になります。これは、両方のアプライアンスが同じ測定基準を報告するためです。この状況を克服するには、最初のCitrix Gateway アプライアンスのいずれかでICA用AppFlow owを有効にし、2番目のアプライアンスでTCP用AppFlowを有効にする必要があります。この作業を行うことにより、一方のアプライアンスはICA AppFlowレコードをエクスポートし、もう一方のアプライアンスはTCP AppFlowレコードをエクスポートします。これにより、ICAトラフィックを解析するときの処理時間も短縮されます。

Citrix ADM からAppFlow 機能を有効にするには:

  1. インフラストラクチャ ]>[ インスタンス]に移動し、分析を有効にするCitrix ADC インスタンスを選択します。

  2. アクション 」ドロップダウンから「 Insightの有効化/無効化」を選択します。

  3. VPN 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

  4. AppFlow を有効にする 」フィールドに「 true」と入力し、ICAトラフィック用の ICA/TCP 、TCPトラフィック用のICA/TCP をそれぞれ選択します。

    注: Citrix ADC アプライアンスの各サービスまたはサービスグループでAppFlow ログが有効になっていない場合、[Insight]列に[有効]と表示されていても、Citrix ADM ダッシュボードにレコードが表示されません。

  5. [ OK] をクリックします

    ローカライズされた画像

データをエクスポートするためのCitrix Gateway アプライアンスの構成

Citrix Gateway アプライアンスをインストールした後、Citrix Gatewayアプライアンスで次の設定を構成して、レポートをCitrix ADM にエクスポートする必要があります。

  • 1つ目と2つ目のDMZでCitrix Gateway アプライアンスの仮想サーバーを相互に通信するように構成します。
  • 2番目のDMZのCitrix Gateway 仮想サーバーを、最初のDMZのCitrix Gateway仮想サーバーにバインドします。
  • 2つ目のDMZでCitrix Gateway でダブルホップを有効にします。
  • 2番目のDMZのCitrix Gateway 仮想サーバーでの認証を無効にします。
  • いずれかのCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにする
  • 他のCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。
  • 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

コマンドラインインターフェイスを使用したCitrix Gateway の構成:

  1. 最初のDMZのCitrix Gateway 仮想サーバーが、2番目のDMZのCitrix Gateway仮想サーバーと通信するように構成します。

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON|OFF)] [-imgGifToPng] …

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. 2番目のDMZのCitrix Gateway 仮想サーバーを、最初のDMZのCitrix Gateway仮想サーバーにバインドします。最初のDMZのCitrix Gateway で次のコマンドを実行します。

    bind vpn vserver <name> **-nextHopServer** <name>

    bind vpn vserver vs1 -nextHopServer nh1
    
  3. 2つ目のDMZのCitrix Gateway でダブルホップとAppFlow を有効にします。

    set vpn vserver <name> [- doubleHop ( ENABLED |DISABLED )] [- appflowLog ( ENABLED |DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. 2番目のDMZのCitrix Gateway 仮想サーバーでの認証を無効にします。

    set vpn vserver<name> [-authentication (ON|OFF)]

    set vpn vserver vs -authentication OFF
    
  5. いずれかのCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    bind vpn vserver<name> [-policy <string> -priority <positive_integer>] [-type <type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. 他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。

    bind vpn vserver<name> [-policy <string> -priority <positive_integer>] [-type <type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    

構成ユーティリティを使用したCitrix Gateway の構成:

  1. 最初のDMZのCitrix Gateway を構成して、2番目のDMZのCitrix Gateway と通信し、2番目のDMZのCitrix Gatewayを最初のDMZのCitrix Gatewayにバインドします。
    1. 構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。
    2. 右側のペインで仮想サーバーをダブルクリックし、[Advanced]グループで[Published Applications]を展開します。
    3. ネクストホップサーバー]をクリックし、ネクストホップサーバーを2つ目のCitrix Gateway アプライアンスにバインドします。
  2. 2つ目のDMZでCitrix Gateway でダブルホップを有効にします。
    1. 構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。
    2. 右側のペインで仮想サーバーをダブルクリックし、[Basic Settings]グループで編集アイコンをクリックします。
    3. [More]を展開し、[Double Hop]を選択して[OK]をクリックします。
  3. 2つ目のDMZのCitrix Gateway 上の仮想サーバーでの認証を無効にします。
    1. 構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。
    2. 右側のペインで仮想サーバーをダブルクリックし、[Basic Settings]グループで編集アイコンをクリックします。
    3. [More]を展開し、[Enable Authentication]をオフにします。
  4. いずれかのCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。
    1. 構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。
    2. 右側のペインで仮想サーバーをダブルクリックし、[Advanced]グループで[Policies]を展開します。
    3. +アイコンをクリックし、[Choose Policy] ドロップダウンリストから [AppFlow] を選択し、[Choose Type] ドロップダウンリストから [Other TCP Request] を選択します。
    4. [続行] をクリックします。
    5. ポリシーのバインドを追加して、[Close]をクリックします。
  5. 他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。
    1. 構成]タブで[Citrix Gateway]を展開し、[仮想サーバー]をクリックします。
    2. 右側のペインで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。
    3. +アイコンをクリックし、[Choose Policy]ボックスの一覧で[AppFlow]を選択します。次に、[Choose Type]ボックスの一覧で[Other TCP Request]を選択します。
    4. [続行] をクリックします。
    5. ポリシーのバインドを追加して、[Close]をクリックします。
  6. 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。
    1. [Configuration]タブで、[System]>[Appflow]の順に選択します。
    2. 右側のペインの[Settings]グループで、[Change Appflow Settings]をクリックします。
    3. [Connection Chaining]を選択し、[OK]をクリックします。
ダブルホップモードで展開されたCitrix Gatewayアプライアンスのデータ収集を有効にする