Citrix ADC SDX

セキュリティゾーン間での統合

SDX アプライアンスは、セキュリティゾーン間の統合によく使用されます。攻撃者は DMZ にしかアクセスできないため、DMZ は組織の内部ネットワークにセキュリティを強化します。組織の内部ネットワークにはアクセスできません。コンプライアンスの高い環境では、DMZと内部ネットワークの両方にVIPアドレスを持つ単一のCitrix ADCインスタンスは受け入れられません。SDX では、DMZ で VIP アドレスをホストするインスタンスと、内部ネットワークで VIP アドレスをホストする他のインスタンスをプロビジョニングできます。

場合によっては、セキュリティゾーンごとに個別の管理ネットワークが必要になることがあります。DMZ 内のインスタンスの NSIP アドレスは、1 つのネットワーク内に存在できます。内部ネットワーク内の VIP を持つインスタンスの NSIP アドレスは、別の管理ネットワークに存在できます。また、Management Service とインスタンス間の通信は、ルーターなどの外部デバイスを介してルーティングされる必要がある場合もあります。ファイアウォールポリシーを設定して、ファイアウォールに送信されるトラフィックを制御し、トラフィックをログに記録できます。

SDX アプライアンスには 2 つの管理インターフェイス(0/1 と 0/2)があり、モデルによっては最大 8 個の 1G データポートと 8 個の 10G データポートがあります。データポートを管理ポートとして使用することもできます(管理インターフェイスではタグ付けが許可されていないため、タグ付き VLAN を設定する必要がある場合など)。その場合、管理サービスからのトラフィックはアプライアンスを出て、アプライアンスに戻る必要があります。このトラフィックをルーティングしたり、オプションで、インスタンスに割り当てられたインターフェイスで NSVLAN を指定したりできます。管理インターフェイスがインスタンスと管理サービス間で共通している場合は、2 つのインスタンス間のトラフィックをルーティングする必要はありません。ただし、セットアップで明示的に要求される場合は、トラフィックをルーティングできます。

注: タグ付けはCitrix Hypervisorバージョン6.0でサポートされています。

セキュリティゾーン間での統合

この記事の概要