Citrix ADC SDX

セキュリティゾーン間での統合

SDX アプライアンスは、セキュリティゾーン間の統合によく使用されます。攻撃者は DMZ にのみアクセスでき、組織の内部ネットワークにはアクセスできないため、DMZ は組織の内部ネットワークにセキュリティを強化します。コンプライアンスの高い環境では、DMZと内部ネットワークの両方にVIPアドレスを持つ単一のCitrix ADCインスタンスは一般的に受け入れられません。SDX では、DMZ で VIP アドレスをホストするインスタンスと、内部ネットワークで VIP アドレスをホストする他のインスタンスをプロビジョニングできます。

場合によっては、セキュリティゾーンごとに個別の管理ネットワークが必要になることがあります。このような場合は、DMZ 内のインスタンスの NSIP アドレスを 1 つのネットワークに配置し、VIP を持つインスタンスの NSIP アドレスを別の管理ネットワーク上の内部ネットワークに配置する必要があります。また、多くの場合、Management Service とインスタンス間の通信は、ルーターなどの外部デバイスを介してルーティングされる必要があります。ファイアウォールポリシーを設定して、ファイアウォールに送信されるトラフィックを制御し、トラフィックをログに記録できます。

SDX アプライアンスには 2 つの管理インターフェイス(0/1 と 0/2)があり、モデルによっては最大 8 個の 1G データポートと 8 個の 10G データポートがあります。データポートを管理ポートとして使用することもできます(管理インターフェイスではタグ付けが許可されていないため、タグ付き VLAN を設定する必要がある場合など)。その場合、管理サービスからのトラフィックはアプライアンスを出て、アプライアンスに戻る必要があります。このトラフィックをルーティングしたり、オプションで、インスタンスに割り当てられたインターフェイスで NSVLAN を指定したりできます。管理サービスと共通の管理インターフェイスでインスタンスが構成されている場合、セットアップで明示的に要求されない限り、管理サービスとCitrix ADCインスタンス間のトラフィックをルーティングする必要はありません。

注: タグ付けはCitrix Hypervisorバージョン6.0でサポートされています。

セキュリティゾーン間での統合

この記事の概要