Citrix ADC

集成 Citrix ADC 第 3 层与被动安全设备(入侵检测系统)

Citrix ADC 设备现已与入侵检测系统 (IDS) 等被动安全设备集成。在此设置中,设备将原始流量的副本安全地发送到远程 IDS 设备。这些被动设备在检测到错误或不合规的流量时存储日志和触发警报。它还为合规目的生成报告。如果 Citrix ADC 设备与两个或更多 IDS 设备集成,并且流量大时,设备可以通过克隆虚拟服务器级别的流量来对设备进行负载平衡。

为了获得高级安全防护,Citrix ADC 设备与被动安全设备(如在仅检测模式下部署的 IDS)集成。这些设备在看到错误或不合规的流量时存储日志和触发警报。它还为合规目的生成报告。以下是将 Citrix ADC 与 IDS 设备集成的一些好处。

  • 检查加密流量。大多数安全设备都会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC 设备可以解密流量并将其发送到 IDS 设备,以增强客户的网络安全性。
  • 从 TLS/SSL 处理中卸载内联设备。TLS/SSL 处理费用昂贵,如果入侵检测设备解密流量,则会导致系统 CPU 较高。随着加密流量的快速增长,这些系统无法解密和检查加密流量。Citrix ADC 有助于将流量从 TLS/SSL 处理中卸载到 IDS 设备。这种卸载数据的方式会导致 IDS 设备支持大量流量检查。
  • 加载平衡 IDS 设备。Citrix ADC 设备通过在虚拟服务器级别克隆流量来平衡多个 IDS 设备,当存在大量流量时。
  • 流量复制到被动设备。流入设备的流量可以复制到其他被动设备以生成合规性报告。例如,很少有政府机构要求在某些被动设备中记录每个事务。
  • 将流量风扇到多个被动设备。有些客户喜欢将传入流量风扇或复制到多个被动设备中。
  • 智能选择流量。流入设备的每个数据包可能不必经过内容检查,例如文本文件的下载。用户可以将 Citrix ADC 设备配置为选择要检查的特定流量(例如 .exe 文件),并将流量发送到 IDS 设备以便处理数据。

Citrix ADC 如何与具有 L3 连接功能的 IDS 器件集成

下图显示了 IDS 如何与 Citrix ADC 设备集成。

IDS 集成

组件交互作用如下所示:

  1. 客户端向 Citrix ADC 设备发送 HTTP/HTTPS 请求。
  2. 设备拦截流量并将数据发送到不同数据中心甚至云中的远程 IDS 设备。这种集成是通过 IP 隧道层 3 完成的。有关 Citrix ADC 设备中的 IP 隧道的详细信息,请参阅 IP 隧道主题。
  3. 如果流量是加密流量,则设备将解密数据并以纯文本形式发送。
  4. 根据策略评估,设备应用“MIRE”类型内容检查操作。
  5. 该操作中配置了 IDS 服务或负载平衡服务(针对多个 IDS 设备集成)。
  6. IDS 设备配置为设备上的内容检查服务类型“任意”。然后,内容检查服务将与 “MIRROR” 类型的内容检查配置文件和指定将数据转发到 IDS 设备的 IP 隧道第 3 层接口的隧道参数相关联。

注意 (可选)您还可以在内容检查配置文件中配置 VLAN 标记。

  1. 同样,当后端服务器向 Citrix ADC 发送响应时,设备会复制数据并将其转发到 IDS 设备。
  2. 如果您的设备集成到一个或多个 IDS 设备,并且您希望对设备进行负载平衡,则可以使用负载平衡虚拟服务器。

軟體許可證

要部署 IDS 集成,Citrix ADC 设备必须配置以下许可证之一:

  1. ADC 高级版
  2. 高级 ADC

配置入侵检测系统集成

您可以通过两种不同的方式将 IDS 设备与 Citrix ADC 集成。

场景 1:与单个 IDS 设备集成

以下是您必须使用命令行界面配置的步骤。

  1. 启用内容检查
  2. 为代表 IDS 设备的服务添加 MIRE 类型的内容检查配置文件。
  3. 添加类型为“任何”的 IDS 服务
  4. 添加“镜像”类型的内容检查操作
  5. 为 IDS 检查添加内容检查策略
  6. 将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载均衡虚拟服务

启用内容检查

如果希望 Citrix ADC 设备将内容发送到 IDS 设备进行检查,则无论执行解密是否执行解密,都必须启用内容检查和负载平衡功能。

在命令提示符下,键入:

enable ns feature contentInspection LoadBalancing

添加“镜像”类型的内容检查配置文件

类型“MIRE”的内容检查配置文件说明了如何连接到 IDS 设备。 在命令提示符下,键入。

注意: IP 隧道参数必须仅用于第 3 层 IDS 拓扑。否则,必须将出口接口与出口 VLAN 选项结合使用。

add contentInspection profile <name> -type MIRROR -ipTunnel <iptunnel_name>

示例:

add contentInspection profile IDS_profile1 -type MIRROR –ipTunnel ipsect-tunnel1

添加 IDS 服务

您必须为与设备集成的每个 IDS 设备配置类型为“任何”的服务。该服务具有 IDS 设备配置详细信息。该服务表示 IDS 设备。

在命令提示符下,键入:

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

例如

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

为 IDS 服务添加 MIRE 类型的内容检查操作

启用内容检查功能,然后添加 IDS 配置文件和服务后,您必须添加用于处理请求的内容检查操作。根据内容检查操作,设备可以删除、重置、阻止或将数据发送到 IDS 设备。

在命令提示符下,键入:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

例如

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

为 IDS 检查添加内容检查策略

创建内容检查操作后,必须添加内容检查策略以评估检查请求。策略基于由一个或多个表达式组成的规则。策略根据规则评估并选择要检查的流量。

在命令提示符下,键入以下内容:

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

例如

add contentInspection policy IDS_pol1 –rule true –action IDS_action

将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载均衡虚拟服务

要接收 Web 流量,您必须添加负载平衡虚拟服务器。 在命令提示符下,键入:

add lb vserver <name> <vserver name>

例如

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

将内容检查策略绑定到 HTTP/SSL 类型的内容交换虚拟服务器或负载平衡虚拟服务器

必须将负载平衡虚拟服务器或 HTTP/SSL 类型的内容交换虚拟服务器绑定到内容检查策略。

在命令提示符下,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

例如

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

方案 2:负载平衡多个 IDS 设备

如果您使用的是两个或多个 IDS 设备,则必须使用不同的内容检查服务对 IDS 设备进行负载平衡。在这种情况下,Citrix ADC 设备在向每个设备发送流量子集之上对设备进行负载平衡。 有关基本配置步骤,请参阅方案 1。

负载平衡多个 IDS 设备

以下是您必须使用命令行界面配置的步骤。

  1. 添加 IDS 服务 1 型 MIRE 的内容检查配置文件 1
  2. 添加 IDS 服务 2 型 MIRE 内容检查配置文件 2
  3. 为 IDS 设备 1 添加任何类型的 IDS 服务 1
  4. 为 IDS 设备 2 添加任何类型的 IDS 服务 2
  5. 添加任何类型 的负载平衡虚拟服务器
  6. 绑定 IDS 服务 1 以负载平衡虚拟服务器
  7. 将 IDS 服务 2 绑定到负载平衡虚拟服务器
  8. 为 IDS 设备的负载平衡添加内容检查操作。
  9. 为检查添加内容检查策略
  10. 添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器
  11. 将内容检查策略绑定到 HTTP/SSL 型虚拟服务器的负载均衡

添加 IDS 服务 1 型 MIRROR 的内容检查配置文件 1

IDS 配置可以在名为 “内容检查” 配置文件的实体中指定。配置文件包含设备设置的集合。内容检查配置文件 1 是针对 IDS 服务 1 创建的。

注意: IP 隧道参数必须仅用于第 3 层 IDS 拓扑。否则,必须将出口接口与出口 VLAN 选项结合使用。

在命令提示符下,键入:

add contentInspection profile <name> -type ANY – ipTunnel <iptunnel_name>

示例:

add contentInspection profile IDS_profile1 -type MIRROR - ipTunnel ipsect_tunnel1

为 IDS 服务 2 型 MIRE 添加内容检查配置文件 2

为服务 2 添加了内容检查配置文件 2,内联设备通过出口 1/1 接口与设备进行通信。

在命令提示符下,键入:

add contentInspection profile <name> -type ANY – ipTunnel <iptunnel_name>

示例:

add contentInspection profile IDS_profile2 -type ANY – ipTunnel ipsect_tunnel2

为 IDS 设备 1 添加任何类型的 IDS 服务 1

启用内容检查功能并添加内联配置文件后,您必须为内联设备 1 添加内联服务 1,才能成为负载平衡设置的一部分。您添加的服务提供了所有内联配置详细信息。

在命令提示符下,键入:

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

示例:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

注意

示例中提到的 IP 地址是一个虚拟的地址。

为 IDS 设备 2 添加任何类型的 IDS 服务 2

启用内容检查功能并添加内联配置文件后,您必须为内联设备 2 添加内联服务 2。您添加的服务提供了所有内联配置详细信息。

在命令提示符下,键入:

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

示例:

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

注意

示例中提到的 IP 地址是一个虚拟的地址。

添加负载平衡虚拟服务器

添加内联配置文件和服务后,必须添加负载平衡虚拟服务器来平衡服务。

在命令提示符下,键入:

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

示例:

add lb vserver lb-IDS_vserver ANY 1.1.1.2

绑定 IDS 服务 1 以负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将负载平衡虚拟服务器绑定到第一个服务。

在命令提示符下,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service1

将 IDS 服务 2 绑定到负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将服务器绑定到第二个服务。

在命令提示符下,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service2

为 IDS 服务添加内容检查操作

启用内容检查功能后,必须添加用于处理内联请求信息的内容检查操作。根据选择的操作,设备会丢弃、重置、阻止或向 IDS 设备发送流量。

在命令提示符下,键入:

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

示例:

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

为检查添加内容检查策略

创建 “内容检查” 操作后,必须添加 “内容检查” 策略来评估服务请求。

在命令提示符下,键入以下内容:

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

示例:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器

添加内容交换或负载平衡虚拟服务器以接受 Web 流量。此外,您必须在虚拟服务器上启用 layer2 连接。

有关负载平衡的更多信息,请参阅 负载平衡如何工作 主题。

在命令提示符下,键入:

add lb vserver <name> <vserver name>

示例:

add lb vserver http_vserver HTTP 1.1.1.1 8080

将内容检查策略绑定到 HTTP/SSL 类型虚拟服务器的负载平衡

必须将 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器绑定到内容检查策略。

在命令提示符下,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

示例:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

使用 Citrix ADC GUI 配置内联服务集成

  1. 导航到“安全”>“内容检查”>“内 容检查配置文件”。
  2. 在“内 容检查配置文件”页中,单击“添加”。
  3. 在“创建内容检查配置文件”页面中,设置以下参数。
    1. 配置文件名称。IDS 的内容检查配置文件的名称。
    2. 类型。选择配置文件类型作为镜像。
    3. 连接性。第 2 层或第 3 层接口。
    4. IP 隧道。选择两个网络之间的网络通信渠道。
  4. 单击创建

    创建内容检查配置文件

  5. 导航到 流量管理 > 负载平衡 > 服务 ,然后单击 添加
  6. 在“负载平衡服务”页面中,输入内容检查服务详细信息。
  7. 在“高级设置”部分中,单击“配置文件”。
  8. 转到 配置文件 部分,然后单击 铅笔 图标以添加内容检查配置文件。
  9. 单击 OK(确定)。

    创建内容检查配置文件

  10. 导航至 负载平衡 > 服务器 。添加 HTTP 或 SSL 类型的虚拟服务器。
  11. 输入服务器详细信息后,单 击确定 ,然后再次 确定
  12. 在“高级设置”部分中,单击“策略”。
  13. 转到策略部分,然后单击铅笔图标以配置内容检查策略。
  14. 选择策略页面上,选择内容检查。单击继续
  15. 策略绑定 部分,单击“+”以添加内容检查策略。
  16. 在“创建 CI 策略”页面中,输入内联内容检查策略的名称。
  17. 作字段中,单击 “+” 符号以创建类型为 MIRE 的 IDS 内容检查操作。
  18. 在“创建 CI 操 作”页面中,设置以下参数。
    1. 名称。内容检查内联策略的名称。
    2. 类型。选择类型为镜像。
    3. 服务器名称。选择服务器/服务名称作为内联设备。
    4. 如果服务器关闭。如果服务器关闭,请选择操作。
    5. 请求超时。选择超时值。可以使用默认值。
    6. 请求超时操作。选择超时操作。可以使用默认值。
  19. 单击创建

    创建内容检查操作

  20. 创建 CI 策略 页面中,输入其他详细信息。
  21. 单击确定关闭

有关用于负载平衡和将流量复制到 IDS 设备的 Citrix ADC GUI 配置的信息,请参阅 负载平衡

创建内容检查策略

有关用于负载平衡和在内容转换后将流量转发到后端源服务器的 Citrix ADC GUI 配置的信息,请参阅负载平衡。

集成 Citrix ADC 第 3 层与被动安全设备(入侵检测系统)