Citrix ADC

针对群集配置的 Web App Firewall 支持

注意:

Citrix ADC 11.0 版本中引入了用于条带化和部分条带化配置的 Citrix Web App Firewall。

群集是一组 Citrix ADC 设备配置和管理为单个系统。群集中的每个设备称为节点。根据配置处于活动状态的节点数,群集配置称为条带配置、部分条带配置或斑点配置。所有配置都完全支持 Web App Firewall。

群集配置中的条带和部分条带虚拟服务器支持的两个主要优点如下:

  1. 会话故障转移支持-条带和部分条带虚拟服务器配置支持会话故障转移。高级 Web App Firewall 安全功能,如开始 URL 关闭和表单字段一致性检查、维护和在事务处理过程中使用会话。在高可用性配置或斑点群集配置中,当处理 Web App Firewall 流量的节点发生故障时,所有会话信息都将丢失,用户必须重新建立会话。在条带化虚拟服务器配置中,用户会话将跨多个节点复制。如果节点出现故障,运行复本的节点将成为所有者。会话信息在不会对用户造成任何明显影响的情况下进行维护。
  2. 可扩展性-群集中的任何节点都可以处理流量。群集的多个节点可以处理由条带虚拟服务器提供的传入请求。这提高了 Web App Firewall 处理多个同时请求的能力,从而提高了整体性能。

可以部署安全检查和签名保护,而无需任何其他特定于群集的 Web App Firewall 配置。您可以在配置协调器 (CCO) 节点上执行常规的 Web App Firewall 配置,以便传播到所有节点。

注意:

会话信息会跨多个节点复制,但不会跨带状配置中的所有节点复制。因此,故障转移支持可容纳有限数量的同时故障。如果多个节点同时出现故障,则 Web App Firewall 可能会丢失会话信息,如果在会话复制到另一个节点上之前发生故障。

重要内容

  • Web App Firewall 在群集部署中提供可扩展性、高吞吐量和会话故障转移支持。
  • 所有群集配置都支持所有 Web App Firewall 安全检查和签名保护。
  • 群集尚不支持字符映射。学习引擎为“字段格式”安全检查推荐学习规则中的“字段类型”。
  • 统计数据和学习规则从集群中的所有节点进行聚合。
  • 分布式哈希表 (DHT) 提供会话的缓存,并提供跨多个节点复制会话信息的功能。当请求发送到虚拟服务器时,Citrix ADC 设备会在 DHT 中创建 Web App Firewall 会话,并且还可以从 DHT 检索会话信息。
  • 群集使用高级许可证和高级许可证进行许可。此功能不适用于标准许可证。

针对群集配置的 Web App Firewall 支持