Citrix ADC

将 Citrix ADC 与被动安全设备(入侵检测系统)集成

Citrix ADC 设备现已与入侵检测系统 (IDS) 等被动安全设备集成。这些被动设备存储日志,并在检测到不良或不合规的流量时触发警报。它还会为合规目的生成报告。如果 Citrix ADC 设备与两个或更多 IDS 设备集成,并且流量很大,则设备可以通过在虚拟服务器级别克隆流量来对设备进行负载平衡。

为了实现高级安全保护,Citrix ADC 设备与被动安全设备(例如在仅检测模式下部署的 IDS)集成。这些设备存储日志,并在发现不良或不合规的流量时触发警报。它还会为合规目的生成报告。以下是将 Citrix ADC 与 IDS 设备集成的一些好处。

  • 检查加密的流量。大多数安全设备会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC 设备可以解密流量并将其发送到 IDS 设备,以增强客户的网络安全性。
  • 从TLS/SSL处理中卸载内联设备。TLS/SSL 处理成本很高,如果对流量进行解密,则会导致入侵检测设备中的系统 CPU 过高。随着加密流量的快速增长,这些系统无法解密和检查加密的流量。Citrix ADC 有助于将流量从 TLS/SSL 处理中卸载到 IDS 设备。这种卸载数据的方式会导致 IDS 设备支持大量流量检查。
  • 正在加载平衡 IDS 设备。当有大量流量时,Citrix ADC 设备通过在虚拟服务器级别克隆流量来对多个 IDS 设备进行负载平衡。
  • 将流量复制到被动设备。流入设备的流量可以复制到其他被动设备以生成合规性报告。例如,很少有政府机构要求在某些被动设备中记录每个交易。
  • 将流量扇动到多个被动设备。有些客户更喜欢扇出或将传入流量复制到多个被动设备中。
  • 智能选择流量。可能不必对流入设备的每个数据包进行内容检查,例如下载文本文件。用户可以将 Citrix ADC 设备配置为选择要检查的特定流量(例如.exe 文件),然后将流量发送到 IDS 设备以处理数据。

Citrix ADC 如何与具有 L2 连接的 IDS 设备集成

下图显示了 IDS 如何与 Citrix ADC 设备集成。

IDS 集成

组件交互作用如下所示:

  1. 客户端向 Citrix ADC 设备发送 HTTP/HTTPS 请求。
  2. 设备会拦截流量并根据内容检查策略评估将其复制到 IDS 设备。
  3. 如果流量是加密的,设备将解密数据并以纯文本形式发送。
  4. 根据策略评估,设备会应用 “MIRROR” 类型的内容检查操作。
  5. 操作中配置了 IDS 服务或负载平衡服务(用于多个 IDS 设备集成)。
  6. IDS 设备在设备上配置为内容检查服务类型 “Any”。然后,内容检查服务与类型为 “MIRROR” 的内容检查配置文件相关联,该配置文件指定必须通过该出口接口将数据转发到IDS设备。或者,您还可以在内容检查配置文件中配置 VLAN 标记。

    注意:

    • 用于 IDS 服务或服务器的 IP 地址是虚拟地址。
    • Citrix ADC 设备不支持出口接口的局域网通道。
  7. 然后,设备会通过出口接口将数据复制到一个或多个 IDS 设备。
  8. 同样,当后端服务器向 Citrix ADC 发送响应时,设备会复制数据并将其转发到 IDS 设备。
  9. 如果您的设备已集成到一个或多个 IDS 设备,并且您希望对设备进行负载平衡,则可以使用负载平衡虚拟服务器。

软件许可

要部署内联设备集成,必须为您的 Citrix ADC 设备配置以下许可证之一:

  1. ADC 高级版
  2. 高级 ADC
  3. 電信高級公司
  4. 电信高级版

配置入侵检测系统集成

您可以通过两种不同的方式将 IDS 设备与 Citrix ADC 集成。

场景 1:与单个 IDS 设备集成

以下是必须使用命令行界面配置的步骤。

  1. 启用内容检查
  2. 为代表 IDS 设备的服务添加 MIRROR 类型的内容检查配置文件。
  3. 添加 “ANY” 类型的 IDS 服务
  4. 添加类型为 “MIRROR” 的内容检查操作
  5. 为IDS检查添加内容检查策略
  6. 将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载平衡虚拟服务

启用内容检查

如果希望 Citrix ADC 设备将内容发送到 IDS 设备进行检查,则无论执行解密如何,都必须启用内容检查和负载平衡功能。

在命令提示符下,键入:

enable ns feature contentInspection LoadBalancing

添加类型为 “MIRROR” 的内容检查配置文件

“MIRROR” 类型的内容检查配置文件说明了如何连接到 IDS 设备。 在命令提示符下,键入。

add contentInspection profile <name> -type MIRROR -egressInterface <interface_name> [-egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10

添加 IDS 服务

您必须为与设备集成的每个 IDS 设备配置 “ANY” 类型的服务。该服务具有 IDS 设备配置详细信息。该服务代表 IDS 设备。

在命令提示符下,键入:

add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF

示例

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

为 IDS 服务添加类型为 MIRROR 的内容检查操作

启用内容检查功能,然后添加 IDS 配置文件和服务后,必须添加内容检查操作来处理请求。根据内容检查操作,设备可以删除、重置、阻止数据或向 IDS 设备发送数据。

在命令提示符下,键入:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

示例

add ContentInspection action IDS_action -type MIRROR –serverName IDS_service

为IDS检查添加内容检查策略

创建 “内容检查” 操作后,必须添加内容检查策略以评估检查请求。策略基于由一个或多个表达式组成的规则。策略根据规则评估并选择要检查的流量。

在命令提示符处,键入以下内容:

add contentInspection policy < policy_name > –rule <Rule> -action <action_name>

示例

add contentInspection policy IDS_pol1 –rule true –action IDS_action

将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载平衡虚拟服务

要接收 Web 流量,必须添加负载平衡虚拟服务器。 在命令提示符下,键入:

add lb vserver <name> <vserver name>

示例

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

将内容检查策略绑定到 HTTP/SSL 类型的内容交换虚拟服务器或负载平衡虚拟服务器

必须将负载平衡虚拟服务器或 HTTP/SSL 类型的内容交换虚拟服务器绑定到内容检查策略。

在命令提示符处,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>

示例

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

场景 2:对多个 IDS 设备进行负载平衡

如果您使用两个或更多 IDS 设备,则必须使用不同的内容检查服务对设备进行负载平衡。在这种情况下,Citrix ADC 设备除了向每个设备发送一部分流量之外,还会对设备进行负载平衡。 有关基本配置步骤,请参阅场景 1。

对多个 IDS 设备进行负载平衡

以下是必须使用命令行界面配置的步骤。

  1. 添加适用于 IDS 服务 1 的 MIRROR 类型的内容检查配置文件 1
  2. 添加适用于 IDS 服务 2 的 MIRROR 类型的内容检查配置文件 2
  3. 为 IDS 设备 1 添加类型为 ANY 的 IDS 服务 1
  4. 为 IDS 设备 2 添加 ANY 类型的 IDS 服务 2
  5. 添加 ANY 类型的负载平衡虚拟服务器
  6. 将 IDS 服务 1 绑定到负载平衡虚拟服务器
  7. 将 IDS 服务 2 绑定到负载平衡虚拟服务器
  8. 为 IDS 设备的负载平衡添加内容检查操作。
  9. 添加内容检查策略以进行检查
  10. 添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器
  11. 将内容检查策略绑定到 HTTP/SSL 类型的负载平衡虚拟服务器

添加适用于 IDS 服务 1 的 MIRROR 类型的内容检查配置文件 1

IDS 配置可以在名为 “内容检查” 配置文件的实体中指定。配置文件包含设备设置的集合。内容检查配置文件1是为IDS服务1创建的。

在命令提示符下,键入:

add contentInspection profile <name> -type ANY -egressInterface <interface_name> [-egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为 IDS 服务 2 的 MIRROR 类型添加内容检查配置文件 2

为服务 2 添加了内容检查配置文件 2,内联设备通过 egress 1/1 接口与设备通信。

在命令提示符下,键入:

add contentInspection profile <name> -type MIRROR -egressInterface -egressVlan <positive_integer>]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为 IDS 设备 1 添加类型为 ANY 的 IDS 服务 1

启用内容检查功能并添加内联配置文件后,必须为内联设备 1 添加内联服务 1 才能成为负载平衡设置的一部分。您添加的服务提供所有内联配置详细信息。

在命令提示符下,键入:

add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF

示例:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

注意

示例中提到的 IP 地址是虚拟地址。

为 IDS 设备 2 添加 ANY 类型的 IDS 服务 2

启用内容检查功能并添加内联配置文件后,必须为内联设备 2 添加内联服务 2。您添加的服务提供所有内联配置详细信息。

在命令提示符下,键入:

add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF

示例:

add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2

注意

示例中提到的 IP 地址是虚拟地址。

添加负载平衡虚拟服务器

添加内联配置文件和服务后,必须添加负载平衡虚拟服务器以对服务进行负载平衡。

在命令提示符下,键入:

add lb vserver <vserver_name> ANY <Pvt_IP3> <port>

示例:

add lb vserver lb-IDS_vserver ANY 1.1.1.2

将 IDS 服务 1 绑定到负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将负载平衡虚拟服务器绑定到第一个服务。

在命令提示符下,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service1

将 IDS 服务 2 绑定到负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将该服务器绑定到第二个服务。

在命令提示符下,键入:

bind lb vserver <Vserver_name> <Service_name_1>

示例:

bind lb vserver lb-IDS_vserver IDS_service2

为 IDS 服务添加内容检查操作

启用内容检查功能后,必须添加 “内容检查” 操作来处理内联请求信息。根据所选的操作,设备会丢弃、重置、阻止或向 IDS 设备发送流量。

在命令提示符下,键入:

add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]

示例:

add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver

添加内容检查策略以进行检查

创建 “内容检查” 操作后,必须添加内容检查策略以评估服务请求。

在命令提示符处,键入以下内容:

add contentInspection policy <policy_name> –rule <Rule> -action <action_name>

示例:

add contentInspection policy IDS_pol1 –rule true –action IDS_action

添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器

添加内容交换或负载平衡虚拟服务器以接受 Web 流量。此外,您必须在虚拟服务器上启用 layer2 连接。

有关负载平衡的更多信息,请参阅 负载平衡如何工作 主题。

在命令提示符下,键入:

add lb vserver <name> <vserver name>

示例:

add lb vserver http_vserver HTTP 1.1.1.1 8080

将内容检查策略绑定到 HTTP/SSL 类型的负载平衡虚拟服务器

您必须将 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器绑定到内容检查策略。

在命令提示符处,键入以下内容:

bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>

示例:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

使用 Citrix ADC GUI 配置内联服务集成

  1. 导航到 “ 安全 ” > “ 内容检查 ” > “ 内容检查配置文件”。
  2. 在 “ 内容检查配置文件 ” 页面中,单击 “ 添加”。
  3. 在 “ 创建内容检查配置文件 ” 页面中,设置以下参数。
    1. 配置文件名称。IDS 的内容检查配置文件的名称。
    2. 类型。选择配置文件类型作为 MIRROR。
    3. 出口接口。将流量从 Citrix ADC 发送到 IDS 设备的接口。
    4. 出口 VLAN(可选)。将流量发送到 IDS 设备的接口 VLAN ID。
  4. 单击 “ 创建”。

    创建内容检查配置文件

  5. 导航到 流量管理 > 负载平衡 > 服务 ,然后单击 添加
  6. 负载平衡服务 页面,输入内容检查服务的详细信息。
  7. “高级设置” 部分中,单击 “ 配置文件”。
  8. 转到 配置文件 部分,然后单击 铅笔 图标以添加内容检查配置文件。
  9. 单击 “ 确定”

    创建内容检查配置文件

  10. 导航到 负载平衡 > 服务器。添加 HTTP 或 SSL 类型的虚拟服务器。
  11. 输入服务器详细信息后,单击 “ 确定 ”,然后再次单击 “ 确定”
  12. “高级设置” 部分中,单击 “ 策略”。
  13. 转到 策略 部分,然后单击 铅笔 图标以配置内容检查策略。
  14. “选择策略 ” 页面上,选择 “ 内容检查”。单击继续
  15. 在 “ 策略绑定 ” 部分中,单击 “+” 以添加内容检查策略。
  16. 在 “ 创建 CI 策略 ” 页中,输入内联内容检查策略的名称。
  17. 在 “ 操作 ” 字段中,单击 “+” 号以创建类型为 MIRROR 的 IDS 内容检查操作。
  18. 在 “ 创建 CI 操作 ” 页面中,设置以下参数。

    1. 名称。内容检查内联策略的名称。
    2. 类型。选择类型作为 MIRROR。
    3. 服务器名称。选择服务器/服务名称作为内联设备。
    4. 如果服务器关闭。如果服务器出现故障,请选择一个操作。
    5. 请求超时。选择一个超时值。可以使用默认值。
    6. 请求超时操作。选择超时操作。可以使用默认值。
  19. 单击 “ 创建”。

    创建内容检查操作

  20. 在 “ 创建 CI 策略 ” 页面中,输入其他详细信息。
  21. 单击确定,然后关闭

有关用于负载平衡和将流量复制到 IDS 设备的 Citrix ADC GUI 配置的信息,请参阅 负载平衡。

创建内容检查策略

有关内容转换后用于负载平衡和将流量转发到后端源服务器的 Citrix ADC GUI 配置的信息,请参阅 负载平衡 主题。

将 Citrix ADC 与被动安全设备(入侵检测系统)集成