アドバンスポリシーを使用した VPN ポリシーの作成

クラシックポリシーエンジン(PE)とアドバンスポリシーインフラストラクチャ(PI)は、Citrix ADCが現在サポートしている2つの異なるポリシー構成と評価フレームワークです。

アドバンス・ポリシー・インフラストラクチャは、非常に強力な表現言語で構成されています。式言語は、ポリシーのルールを定義したり、アクションのさまざまな部分を定義したり、サポートされているその他のエンティティを定義したりするために使用できます。式言語は、リクエストまたはレスポンスのどの部分でも解析でき、ヘッダーとペイロードを深く調べることもできます。同じ式言語が展開され、Citrix ADCがサポートするすべての論理モジュールを介して機能します。

注: ポリシーの作成には、高度なポリシーを使用することをお勧めします。

従来のポリシーから高度なポリシーに移行する理由

高度なポリシーには、豊富な式セットがあり、クラシックポリシーよりも柔軟性に優れています。Citrix ADCは多種多様なクライアントに対応するため、高度なポリシーを大幅に上回る表現をサポートすることが不可欠です。詳しくは、「ポリシーと式」を参照してください。

以下は、アドバンスポリシーのために追加された機能です。

  • メッセージの本文にアクセスする機能。
  • 多くの追加プロトコルをサポートします。
  • システムの多くの追加機能にアクセスします。
  • 基本的な関数、演算子、およびデータ型のより多くの数を持っています。
  • HTML、JSON、および XML ファイルの解析に利用できます。
  • 高速な並列マルチストリングマッチング (パッチセットなど) を容易にします。

これで、アドバンスポリシーを使用して、次の VPN ポリシーを設定できます。

  • セッションポリシー
  • 承認ポリシー
  • 交通政策
  • トンネル ポリシー
  • 監査ポリシー

また、エンドポイント分析(EPA)は、認証機能の nFactor として構成できます。EPA は、Gateway アプライアンスに接続しようとするエンドポイントデバイスのゲートキーパーとして使用されます。エンドポイントデバイスに [Gateway] ログオンページが表示される前に、 Gateway管理者が設定した適格基準に応じて、デバイスのハードウェアおよびソフトウェアの最小要件がチェックされます。Gateway へのアクセスは、実行されたチェックの結果に基づいて付与されます。以前は、EPA はセッションポリシーの一部として設定されていました。nFactor にリンクできるようになり、いつ実行できるかについて柔軟性が高まります。EPAの詳細については、「エンドポイントポリシーの仕組み」を参照してください。nFactorの詳細については、「nファクタ認証」を参照してください。

ユースケース:

高度な EPA を使用した事前認証 EPA

認証前 EPA スキャンは、ユーザーがログオン資格情報を入力する前に実行されます。認証要素の1つとして事前認証EPAスキャンを使用したnFactor認証用のCitrix Gateway の構成については、CTX224268トピックを参照してください。

高度な EPA を使用した認証後の EPA

認証後 EPA スキャンは、ユーザーの資格情報が確認された後に行われます。従来のポリシーインフラストラクチャでは、認証後の EPA がセッションポリシーまたはセッションアクションの一部として構成されました。[高度なポリシーインフラストラクチャ] では、EPA スキャンを N ファクタ認証の EPA ファクタとして構成します。認証後のEPAスキャンを認証要素の1つとして使用してn要素認証を行うためのCitrix Gateway の構成については、CTX224303トピックを参照してください。

高度なポリシーを使用した事前認証および認証後のEPA

EPA は、認証前および認証後で実行できます。事前認証および認証後のEPAスキャンを使用したnFactor認証用のCitrix Gateway の構成については、CTX231362トピックを参照してください。

nFactor 認証の要素としての定期的な EPA スキャン

クラシックポリシーインフラストラクチャでは、定期的な EPA スキャンがセッションポリシーアクションの一部として構成されました。高度なポリシーインフラストラクチャでは、N ファクタ認証の EPA ファクタの一部として構成できます。

nFactor 認証の要素として定期的な EPA スキャンを構成する方法の詳細については、CTX231361トピックをクリックしてください。

トラブルシューティング:

トラブルシューティングの際は、次の点に留意してください。

  • 同じタイプのクラシックポリシーとアドバンスポリシー(セッションポリシーなど)は、同じエンティティ/バインドポイントにバインドできません。
  • すべての PI ポリシーでは、プライオリティは必須です。
  • VPN のアドバンスポリシーは、すべてのバインドポイントにバインドできます。
  • 同じ優先度を持つアドバンスポリシーは、単一のバインドポイントにバインドできます。
  • 設定された認可ポリシーがいずれもヒットしない場合は、VPN パラメータで設定されたグローバル認可アクションが適用されます。
  • 認可ポリシーでは、認可規則が失敗しても、認可アクションは取り消されません。

クラシックポリシーでよく使用される高度なポリシーの等価式:

従来のポリシー表現 アドバンスポリシー式
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS ”bar” .CONTAINS(“bar”) [Note use of “.”.]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT