Citrix ADC

配置应用程序访问控制

应用程序访问控制(也称为管理访问控制)构成一个统一的机制,用于管理用户身份验证和实施确定用户访问应用程序和数据的规则。您可以配置 Snips 以便为管理应用程序提供访问权限。默认情况下,NSIP 的管理访问处于启用状态,无法禁用状态。但是,您可以通过使用 ACL 来控制它。

有关使用 ACL 的信息,请参阅访问控制列表 (ACL)

Citrix ADC 设备不支持对 VIP 的管理访问。

下表概述了 Telnet 的管理访问权限和特定服务设置之间的交互。

管理访问权限 Telnet(在 Citrix ADC 上配置的状态) Telnet(IP 级别的有效状态)
启用 启用 启用
启用 禁用 禁用
禁用 启用 禁用
禁用 禁用 禁用

下表概述了在出站流量中用作源 IP 地址的 IP 地址。

应用/IP NSIP SNIP VIP
ARP
服务器端流量
RNAT
ICMP PING
动态路由

下表概述了这些 IP 地址上可用的应用程序。

应用/IP NSIP SNIP VIP
SNMP
系统访问

您可以使用 Telnet、SSH、GUI 和 FTP 等应用程序访问和管理 Citrix ADC。

注意: 出于安全原因,在 Citrix ADC 上禁用了 Telnet 和 FTP。若要启用它们,请联系客户支持。启用应用程序后,您可以在 IP 级别应用控件。

要将 Citrix ADC 配置为响应这些应用程序,您需要启用特定的管理应用程序。如果禁用 IP 地址的管理访问,则使用该 IP 地址的现有连接不会终止,但无法启动新连接。

此外,在底层 FreeBSD 操作系统上运行的非管理应用程序可能受到协议攻击,这些应用程序无法利用 Citrix ADC 设备的攻击防护功能。

您可以在 SNIP 或 NSIP 上阻止对这些非管理应用程序的访问。当访问被阻止时,使用 SNIP 或 NSIP 连接到 Citrix ADC 的用户无法访问基础操作系统上运行的非管理应用程序。

使用 CLI 配置 IP 地址的管理访问权限:

在命令提示窗口中,键入:

set ns ip <IPAddress> -mgmtAccess <value> -telnet <value> -ftp <value> -gui <value> -ssh <value> -snmp <value> -restrictAccess (ENABLED | DISABLED)

示例:


 > set ns ip 10.102.29.54 -mgmtAccess enabled -restrictAccess ENABLED
  Done

要使用 GUI 启用 IP 地址的管理访问,请执行以下操作:

  1. 导航到系统 > 网络 > IP > IPv4
  2. 打开 IP 地址条目,然后选择 启用管理访问控制 以支持列出的应用程序选项。

配置应用程序访问控制