Citrix Gateway

アドバンスポリシーを使用した VPN ポリシーの作成

クラシックポリシーエンジン(PE)とアドバンスポリシーインフラストラクチャ(PI)は、Citrix ADCが現在サポートしている2つの異なるポリシー構成および評価フレームワークです。

アドバンス・ポリシー・インフラストラクチャは、強力な表現言語で構成されています。式言語は、ポリシーでのルールの定義、アクションのさまざまな部分、およびサポートされている他のエンティティの定義に使用できます。式言語は、リクエストまたはレスポンスの任意の部分を解析でき、ヘッダーとペイロードを深く調べることもできます。同じ式言語が拡張され、Citrix ADCがサポートするすべての論理モジュールで動作します。

注: ポリシーの作成には、高度なポリシーを使用することをお勧めします。

クラシックポリシーからアドバンスポリシーに移行する理由

高度なポリシーには豊富な式セットがあり、クラシックポリシーよりもはるかに高い柔軟性を提供します。Citrix ADCはさまざまなクライアントに拡張および対応するため、高度なポリシーを大きく超える式をサポートすることが不可欠です。詳細については、「 ポリシーと式」を参照してください。

アドバンスポリシーに追加された機能は次のとおりです。

  • メッセージの本文にアクセスする機能。
  • 他の多くのプロトコルをサポートします。
  • システムの他の多くの機能にアクセスします。
  • 基本関数、演算子、データ型の数が増えています。
  • HTML、JSON、および XML ファイルの解析に対応します。
  • 高速並列マルチストリングマッチング (patsetsなど) を容易にします。

アドバンスポリシーを使用して、次の VPN ポリシーを設定できるようになりました。

  • セッションポリシー
  • 認可ポリシー
  • 交通政策
  • トンネルポリシー
  • 監査ポリシー

また、エンドポイント分析 (EPA) は、認証機能の nFactor として設定できます。EPA は、Gateway アプライアンスに接続しようとするエンドポイントデバイスのゲートキーパーとして使用されます。エンドポイントデバイスに [ゲートウェイログオン(Gateway Logon)] ページが表示される前に、ゲートウェイ管理者が設定した適格基準に応じて、デバイスのハードウェアおよびソフトウェアの最小要件がチェックされます。Gateway へのアクセスは、実行されたチェックの結果に基づいて許可されます。以前は、EPA はセッションポリシーの一部として構成されていました。nFactor にリンクできるようになり、いつ実行できるかについて柔軟性が高まります。EPA の詳細については、「 エンドポイントポリシーの仕組み 」トピックを参照してください。nFactor の詳細については、 nFactor 認証のトピックを参照してください

ユースケース:

高度な EPA を使用した事前認証 EPA

認証前 EPA スキャンは、ユーザーがログオン資格情報を提供する前に実行されます。認証要素の1つとして事前認証EPAスキャンを使用するnFactor認証用にCitrix Gateway を構成する方法については、 CTX224268トピックを参照してください

高度な EPA を使用したポスト認証 EPA

認証後 EPA スキャンは、ユーザーの資格情報が検証された後に実行されます。クラシックポリシーインフラストラクチャでは、認証後 EPA がセッションポリシーまたはセッションアクションの一部として構成されました。高度なポリシーインフラストラクチャでは、EPA スキャンは nFactor 認証の EPA 要素として構成されます。認証要素の1つとして認証後のEPAスキャンを使用するnFactor認証用にCitrix Gateway を構成する方法については、 CTX224303のトピックを参照してください

高度なポリシーを使用した事前認証および認証後 EPA

EPA は認証の前に実行でき、認証後に実行できます。事前認証および認証後のEPAスキャンを使用したnFactor認証用にCitrix Gateway を構成する方法については、 CTX231362 トピックを参照してください。

nFactor 認証の要素としての定期的な EPA スキャン

従来のポリシーインフラストラクチャでは、定期的な EPA スキャンがセッションポリシーアクションの一部として構成されていました。高度なポリシーインフラストラクチャでは、nFactor 認証の EPA 要素の一部として設定できます。

定期的な EPA スキャンを nFactor 認証の要素として構成する方法の詳細については、CTX231361 トピックをクリックしてください。

トラブルシューティング:

トラブルシューティングの際には、次の点に留意する必要があります。

  • 同じタイプのクラシックポリシーとアドバンスポリシー(セッションポリシーなど)は、同じエンティティ/バインドポイントにバインドできません。
  • プライオリティは、すべての PI ポリシーで必須です。
  • VPN のアドバンスポリシーは、すべてのバインドポイントにバインドできます。
  • 同じ優先度を持つアドバンスポリシーは、単一のバインドポイントにバインドできます。
  • 設定されている認可ポリシーのいずれも選択されない場合は、VPN パラメータで設定されたグローバル認可アクションが適用されます。
  • 認可ポリシーでは、認可ルールが失敗しても、認可アクションは取り消されません。

クラシックポリシーでよく使用される高度なポリシーに相当する式:

クラシックポリシー式 高度なポリシー式
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS ”bar” .CONTAINS (“bar”) [「..」の使用に注意してください]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT
アドバンスポリシーを使用した VPN ポリシーの作成