ADC

将 NetScaler 与被动安全设备(入侵检测系统)集成

NetScaler 设备现已与入侵检测系统 (IDS) 等被动安全设备集成在一起。这些被动设备存储日志,并在检测到不良或不合规的流量时触发警报。它还会为合规目的生成报告。如果 NetScaler 设备与两个或更多 IDS 设备集成在一起,并且流量很大,则该设备可以通过在虚拟服务器级别克隆流量来平衡设备的负载。

为了实现高级安全保护,NetScaler 设备与被动安全设备(例如在仅检测模式下部署的 IDS)集成。这些设备存储日志,并在发现不良或不合规的流量时触发警报。它还会为合规目的生成报告。以下是将 NetScaler 与 IDS 设备集成的一些好处。

  • 检查加密的流量。大多数安全设备会绕过加密流量,从而使服务器容易受到攻击。NetScaler 设备可以解密流量并将其发送到 IDS 设备,以增强客户的网络安全。
  • 从TLS/SSL处理中卸载内联设备。TLS/SSL 处理成本很高,如果对流量进行解密,则会导致入侵检测设备中的系统 CPU 过高。随着加密流量的快速增长,这些系统无法解密和检查加密的流量。NetScaler 有助于将流量从 TLS/SSL 处理中卸载到 IDS 设备。这种卸载数据的方式会导致 IDS 设备支持大量流量检查。
  • 正在加载平衡 IDS 设备。当有大量流量时,NetScaler 设备通过在虚拟服务器级别克隆流量来对多个 IDS 设备进行负载平衡。
  • 将流量复制到被动设备。流入设备的流量可以复制到其他被动设备以生成合规性报告。例如,很少有政府机构要求在某些被动设备中记录每个交易。
  • 将流量扇动到多个被动设备。有些客户更喜欢扇出或将传入流量复制到多个被动设备中。
  • 智能选择流量。可能不必对流入设备的每个数据包进行内容检查,例如下载文本文件。用户可以将 NetScaler 设备配置为选择要检查的特定流量(例如.exe 文件),然后将流量发送到 IDS 设备以处理数据。

NetScaler 如何与具有 L2 连接的 IDS 设备集成

下图显示了 IDS 如何与 NetScaler 设备集成。

IDS 集成

组件交互作用如下所示:

  1. 客户端向 NetScaler 设备发送 HTTP/HTTPS 请求。
  2. 设备会拦截流量并根据内容检查策略评估将其复制到 IDS 设备。
  3. 如果流量是加密的,设备将解密数据并以纯文本形式发送。
  4. 根据策略评估,设备会应用“MIRROR”类型的内容检查操作。
  5. 操作中配置了 IDS 服务或负载平衡服务(用于多个 IDS 设备集成)。
  6. IDS 设备在设备上配置为内容检查服务类型“Any”。然后,内容检查服务与类型为“MIRROR”的内容检查配置文件相关联,该配置文件指定必须通过该出口接口将数据转发到IDS设备。或者,您还可以在内容检查配置文件中配置 VLAN 标记。

    注意:

    • 用于 IDS 服务或服务器的 IP 地址是虚拟地址。
    • NetScaler 设备不支持出口接口的局域网通道。
  7. 然后,设备会通过出口接口将数据复制到一个或多个 IDS 设备。
  8. 同样,当后端服务器向 NetScaler 发送响应时,设备会复制数据并将其转发到 IDS 设备。
  9. 如果您的设备已集成到一个或多个 IDS 设备,并且您希望对设备进行负载平衡,则可以使用负载平衡虚拟服务器。

软件许可

要部署嵌入式设备集成,必须为您的 NetScaler 设备预置以下许可证之一:

  1. ADC 高级版
  2. 高级 ADC
  3. 電信高級公司
  4. 电信高级版

配置入侵检测系统集成

您可以通过两种不同的方式将 IDS 设备与 NetScaler 集成。

场景 1:与单个 IDS 设备集成

以下是必须使用命令行界面配置的步骤。

  1. 启用内容检查
  2. 为代表 IDS 设备的服务添加 MIRROR 类型的内容检查配置文件。
  3. 添加“ANY”类型的 IDS 服务
  4. 添加类型为“MIRROR”的内容检查操作
  5. 为IDS检查添加内容检查策略
  6. 将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载平衡虚拟服务

启用内容检查

如果希望 NetScaler 设备将内容发送到 IDS 设备进行检查,则无论执行解密如何,都必须启用内容检查和负载平衡功能。

在命令提示符下,键入:

enable ns feature contentInspection LoadBalancing

添加类型为“MIRROR”的内容检查配置文件

“MIRROR”类型的内容检查配置文件说明了如何连接到 IDS 设备。 在命令提示符下,键入。

add contentInspection profile <name> -type MIRROR -egressInterface <interface_name> [-egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10

添加 IDS 服务

您必须为与设备集成的每个 IDS 设备配置“ANY”类型的服务。该服务具有 IDS 设备配置详细信息。该服务代表 IDS 设备。

在命令提示符下,键入:

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

示例

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

为 IDS 服务添加类型为 MIRROR 的内容检查操作

启用内容检查功能,然后添加 IDS 配置文件和服务后,必须添加内容检查操作来处理请求。根据内容检查操作,设备可以删除、重置、阻止数据或向 IDS 设备发送数据。

在命令提示符下,键入:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

示例

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

为IDS检查添加内容检查策略

创建“内容检查”操作后,必须添加内容检查策略以评估检查请求。策略基于由一个或多个表达式组成的规则。策略根据规则评估并选择要检查的流量。

在命令提示符处,键入以下内容:

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

示例

add contentInspection policy IDS_pol1 –rule true –action IDS_action

将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载平衡虚拟服务

要接收 Web 流量,必须添加负载平衡虚拟服务器。 在命令提示符下,键入:

add lb vserver <name> <vserver name>

示例

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

将内容检查策略绑定到 HTTP/SSL 类型的内容交换虚拟服务器或负载平衡虚拟服务器

必须将负载平衡虚拟服务器或 HTTP/SSL 类型的内容交换虚拟服务器绑定到内容检查策略。

在命令提示符处,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

示例

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

场景 2:对多个 IDS 设备进行负载平衡

如果您使用两个或更多 IDS 设备,则必须使用不同的内容检查服务对设备进行负载平衡。在这种情况下,NetScaler 设备除了向每个设备发送一部分流量之外,还会对设备进行负载平衡。 有关基本配置步骤,请参阅场景 1。

对多个 IDS 设备进行负载平衡

以下是必须使用命令行界面配置的步骤。

  1. 添加适用于 IDS 服务 1 的 MIRROR 类型的内容检查配置文件 1
  2. 添加适用于 IDS 服务 2 的 MIRROR 类型的内容检查配置文件 2
  3. 为 IDS 设备 1 添加类型为 ANY 的 IDS 服务 1
  4. 为 IDS 设备 2 添加 ANY 类型的 IDS 服务 2
  5. 添加 ANY 类型的负载平衡虚拟服务器
  6. 将 IDS 服务 1 绑定到负载平衡虚拟服务器
  7. 将 IDS 服务 2 绑定到负载平衡虚拟服务器
  8. 为 IDS 设备的负载平衡添加内容检查操作。
  9. 添加内容检查策略以进行检查
  10. 添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器
  11. 将内容检查策略绑定到 HTTP/SSL 类型的负载平衡虚拟服务器

添加适用于 IDS 服务 1 的 MIRROR 类型的内容检查配置文件 1

IDS 配置可以在名为“内容检查”配置文件的实体中指定。配置文件包含设备设置的集合。内容检查配置文件1是为IDS服务1创建的。

在命令提示符下,键入:

add contentInspection profile <name> -type ANY -egressInterface <interface_name> [-egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为 IDS 服务 2 的 MIRROR 类型添加内容检查配置文件 2

为服务 2 添加了内容检查配置文件 2,内联设备通过 egress 1/1 接口与设备通信。

在命令提示符下,键入:

add contentInspection profile <name> -type MIRROR -egressInterface -egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为 IDS 设备 1 添加类型为 ANY 的 IDS 服务 1

启用内容检查功能并添加内联配置文件后,必须为内联设备 1 添加内联服务 1 才能成为负载平衡设置的一部分。您添加的服务提供所有内联配置详细信息。

在命令提示符下,键入:

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

示例:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

注意

示例中提到的 IP 地址是虚拟地址。

为 IDS 设备 2 添加 ANY 类型的 IDS 服务 2

启用内容检查功能并添加内联配置文件后,必须为内联设备 2 添加内联服务 2。您添加的服务提供所有内联配置详细信息。

在命令提示符下,键入:

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

示例:

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

注意

示例中提到的 IP 地址是虚拟地址。

添加负载平衡虚拟服务器

添加内联配置文件和服务后,必须添加负载平衡虚拟服务器以对服务进行负载平衡。

在命令提示符下,键入:

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

示例:

add lb vserver lb-IDS_vserver ANY 1.1.1.2

将 IDS 服务 1 绑定到负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将负载平衡虚拟服务器绑定到第一个服务。

在命令提示符下,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service1

将 IDS 服务 2 绑定到负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将该服务器绑定到第二个服务。

在命令提示符下,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service2

为 IDS 服务添加内容检查操作

启用内容检查功能后,必须添加“内容检查”操作来处理内联请求信息。根据所选的操作,设备会丢弃、重置、阻止或向 IDS 设备发送流量。

在命令提示符下,键入:

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

示例:

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

添加内容检查策略以进行检查

创建“内容检查”操作后,必须添加内容检查策略以评估服务请求。

在命令提示符处,键入以下内容:

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

示例:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器

添加内容交换或负载平衡虚拟服务器以接受 Web 流量。此外,您必须在虚拟服务器上启用 layer2 连接。

有关负载平衡的更多信息,请参阅 负载平衡如何工作 主题。

在命令提示符下,键入:

add lb vserver <name> <vserver name>

示例:

add lb vserver http_vserver HTTP 1.1.1.1 8080

将内容检查策略绑定到 HTTP/SSL 类型的负载平衡虚拟服务器

您必须将 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器绑定到内容检查策略。

在命令提示符处,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

示例:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

使用 NetScaler GUI 配置内联服务集成

  1. 导航到“安全”>“内容检查”>“内容检查配置文件”。
  2. 在“内容检查配置文件”页面中,单击“添加”。
  3. 在“创建内容检查配置文件”页面中,设置以下参数。
    1. 配置文件名称。IDS 的内容检查配置文件的名称。
    2. 类型。选择配置文件类型作为 MIRROR。
    3. 出口接口。将流量从 NetScaler 发送到 IDS 设备的接口。
    4. 出口 VLAN(可选)。将流量发送到 IDS 设备的接口 VLAN ID。
  4. 单击 Create(创建)。
  5. 导航到 流量管理 > 负载平衡 > 服务 ,然后单击 添加
  6. 负载平衡服务 页面,输入内容检查服务的详细信息。
  7. 在“高级设置”部分中,单击“配置文件”。
  8. 转到 配置文件 部分,然后单击 铅笔 图标以添加内容检查配置文件。
  9. 单击确定
  10. 导航到 负载平衡 > 服务器。添加 HTTP 或 SSL 类型的虚拟服务器。
  11. 输入服务器详细信息后,单击“确定”,然后再次单击“确定”
  12. 在“高级设置”部分中,单击“策略”。
  13. 转到 策略 部分,然后单击 铅笔 图标以配置内容检查策略。
  14. 在“选择策略”页面上,选择“内容检查”。单击继续
  15. 在“策略绑定”部分中,单击“+”以添加内容检查策略。
  16. 在“创建 CI 策略”页中,输入内联内容检查策略的名称。
  17. 在“操作”字段中,单击“+”号以创建类型为 MIRROR 的 IDS 内容检查操作。
  18. 在“创建 CI 操作”页面中,设置以下参数。

    1. 名称。内容检查内联策略的名称。
    2. 类型。选择类型作为 MIRROR。
    3. 服务器名称。选择服务器/服务名称作为内联设备。
    4. 如果服务器关闭。如果服务器出现故障,请选择一个操作。
    5. 请求超时。选择一个超时值。可以使用默认值。
    6. 请求超时操作。选择超时操作。可以使用默认值。
  19. 单击 Create(创建)。
  20. 在“创建 CI 策略”页面中,输入其他详细信息。
  21. 单击“确定”关闭

有关用于负载平衡和将流量复制到 IDS 设备的 NetScaler GUI 配置的信息,请参阅 负载平衡。

有关用于在内容转换后进行负载平衡和将流量转发到后端源服务器的 NetScaler GUI 配置的信息,请参阅 负载平衡主题

将 NetScaler 与被动安全设备(入侵检测系统)集成