Citrix ADC

HTTP/3 流量的策略配置

HTTP/3 使用基于 UDP 的 QUIC 传输。如果您已经为包含 TCP 策略表达式的 HTTP 或 SSL 虚拟服务器定义了策略表达式,则不能再与 HTTP_QUIC 虚拟服务器一起使用。所有其他没有 TCP 或经典表达式的策略都可以与 HTTP_QUIC 虚拟服务器绑定。要使策略生效,您必须按照以下规定确保功能策略与新添加的全局绑定点绑定。

  • HTTQUIC_REQ_DEFAULT
  • HTTQUIC_REQ_ 覆盖
  • HTTQUIC_RES_DEFAULT
  • HTTQUIC_RES_覆盖

或者,策略可以绑定到特定的虚拟服务器绑定点:

  • 请求
  • 反应

有关更多信息,请参阅 使用高级策略基础架构绑定策略 主题

以下是 QUIC 上 HTTP 配置支持的策略:

  • 响应方
  • 重写
  • HTTP 压缩
  • 集成缓存
  • Web 应用防火墙
  • URL 转换
  • SSL
  • 前端优化 (FEO)
  • AppQoE

HTTP/3 流量的响应程序策略配置

HTTP over QUIC 类型虚拟服务器具有响应方策略支持。但是,由于 QUIC 使用 UDP 作为其传输机制,因此排除了基于 TCP 的表达式,并包括基于 UDP 的表达式。

具有 TCP 表达式的新的或现有的策略配置不能绑定到 HTTP/3 QUIC 虚拟服务器或通过 QUIC 全局绑定点的 HTTP。UDP 表达式可以包含在绑定到 HTTP/3 QUIC 虚拟服务器或通过 QUIC 绑定点的 HTTP 的策略配置中,而不是 TCP 表达式。

添加响应者操作以重定向 URL

要添加响应程序操作,请在命令提示符处键入:

add responder action <name> <type> (<target> | <htmlpage>) [-comment <string>] [-responseStatusCode <positive_integer>] [-reasonPhrase <expression>] [-headers <name(value)> ...]
<!--NeedCopy-->

示例:

add responder action redirectURL redirect "\"https://www.citrix.com/\""

添加响应程序策略

要添加响应程序策略,请在命令提示符处键入:

add responder policy <name> <rule> <action> [<undefAction>] [-comment <string>] [-logAction <string>] [-appflowAction <string>]
<!--NeedCopy-->

示例:

add responder policy res-pol "CLIENT.IP.SRC.IN_SUBNET(10.10.10.10/32)" redirectURL

添加基于响应者策略的 UDP 表达式

要添加基于响应程序策略的 UDP 表达式,请在命令提示符处键入:

add responder policy <name> <rule> <action> [<undefAction>] [-comment <string>] [-logAction <string>] [-appflowAction <string>]
<!--NeedCopy-->

示例:

add responder policy redirectCitrixUdp "CLIENT.UDP.DSTPORT.EQ(443)" redirectURL

将基于响应者策略的 UDP 表达式与基于 HTTP/3 QUIC 的负载平衡虚拟服务器绑定

要将基于响应程序策略的 UDP 表达式绑定到负载平衡虚拟服务器,请在命令提示符处键入:

bind lb vserver <name>@ ((<serviceName>@   [-weight <positive_integer>] ) | <serviceGroupName>@ |         (-policyName <string>@  [-priority <positive_integer>]  [-gotoPriorityExpression <expression>]  [-type <type>]  [-invoke  (<labelType>  <labelName>) ]  ) | -analyticsProfile <string>@)
<!--NeedCopy-->

示例:

bind lb vserver lb-http3 -policyName redirectCitrixUdp -priority 9 -gotoPriorityExpression END -type REQUEST

使用基于 HTTP/3 QUIC 的负载平衡虚拟服务器绑定响应程序策略

要将响应程序策略绑定到负载平衡虚拟服务器,请在命令提示符处键入:

bind lb vserver <name>@ ((<serviceName>@   [-weight <positive_integer>] ) | <serviceGroupName>@ |         (-policyName <string>@  [-priority <positive_integer>]  [-gotoPriorityExpression <expression>]  [-type <type>]  [-invoke  (<labelType>  <labelName>) ]  ) | -analyticsProfile <string>@)
<!--NeedCopy-->

示例:

bind lb vserver lb-http3 -policyName redirectCitrixUdp -priority 10 -gotoPriorityExpression END -type REQUEST

将响应者策略绑定到 HTTP/3 全局绑定点

要将响应程序策略与 HTTP/3 全局绑定点绑定,请在命令提示符处键入:

bind responder global <policyName> <priority>  [<gotoPriorityExpression>] [-type <type>] [-invoke (<labelType>  <labelName>) ] bind responder global redirectCitrixUdp 3 -type HTTPQUIC_REQ_DEFAULT
<!--NeedCopy-->

示例:

bind responder global redirectCitrixUdp 3 -type HTTPQUIC_REQ_DEFAULT

注意 : 有关更多信息,请参阅 响应程序策略文档

重写 HTTP/3 流量的策略配置

HTTP over QUIC 类型虚拟服务器具有重写策略支持。但是,由于 QUIC 使用 UDP 作为其传输机制,因此排除了基于 TCP 的表达式,并包括基于 UDP 的表达式。

具有 TCP 表达式的新的或现有的策略配置不能绑定到 HTTP/3 虚拟服务器或新添加的 HTTP/3 全局绑定点。UDP 表达式可以包含在绑定到 HTTP/3 QUIC 虚拟服务器或通过 QUIC 绑定点的 HTTP 的策略配置中,而不是 TCP 表达式。

以下是通过 QUIC 为 HTTP3 配置重写策略的配置步骤。

通过 QUIC 添加 HTTP 的重写操作

要添加重写操作,请在命令提示符处键入:

add rewrite action <name> <type> <target> [<stringBuilderExpr>] [-pattern <expression> | -search <expression>] [-refineSearch <expression>] [-comment <string>]
<!--NeedCopy-->

示例:

add rewrite action http3-altsvc-action insert_http_header Alt-Svc q/"h3-29=\":443\"; ma=3600; persist=1"/

通过 QUIC 添加 HTTP 的重写策略

要添加写入操作,请在命令提示符处键入:

add rewrite policy <name> <rule> <action> [<undefAction>] [-comment  <string>] [-logAction <string>]
<!--NeedCopy-->

示例:

add rewrite policy http3-altsvc-policy true http3-altsvc-action

将重写策略绑定到 HTTP/3_QUIC 类型的负载平衡虚拟服务器

要将重写策略绑定到负载平衡虚拟服务器,请在命令提示符处键入:

bind lb vserver <name>@ ((<serviceName>@ [-weight <positive_integer>] ) | <serviceGroupName>@ | (-policyName <string>@ [-priority <positive_integer>] [-gotoPriorityExpression <expression>] [-type <type>] [-invoke (<labelType> <labelName>) ] ) | -analyticsProfile  <string>@)
<!--NeedCopy-->

示例:

bind lb vserver lb-http3 -policyName http3-altsvc-policy -priority 10 -type RESPONSE

将重写策略绑定到 HTTP/3 全局绑定点

To bind a responder policy with HTTP/3 global bind point, at the command prompt, type:
bind rewrite global <policyName> <priority> [<gotoPriorityExpression>]  [-type <type>] [-invoke (<labelType> <labelName>)]
<!--NeedCopy-->

示例:

bind rewrite global http3-altsvc-policy 3 -type HTTPQUIC_RES_DEFAULT

注意 : 有关详细信息,请参阅 重写策略文档

HTTP/3 流量的压缩策略配置

Citrix ADC 从服务器接收 HTTP 响应时,它会评估内置压缩策略和任何自定义压缩策略,以确定是否压缩响应,如果是压缩,则应用的压缩类型。分配给策略的优先级决定了策略与请求匹配的顺序。 HTTP over QUIC 类型虚拟服务器具有压缩策略支持。但是,由于 QUIC 使用 UDP 作为其传输机制,因此排除了基于 TCP 的表达式,并包括基于 UDP 的表达式。 具有 TCP 表达式的新的或现有的策略配置不能绑定到 HTTP/3 虚拟服务器或新添加的 HTTP/3 全局绑定点。UDP 表达式可以包含在绑定到 HTTP/3 QUIC 虚拟服务器或通过 QUIC 绑定点的 HTTP 的策略配置中,而不是 TCP 表达式。

添加压缩策略

要添加压缩策略,请在命令提示符处键入:

add cmp policy <name> -rule <expression> -resAction <string>
<!--NeedCopy-->

示例:

add cmp policy udp_port_cmp_policy -rule "CLIENT.UDP.DSTPORT.EQ(443)" -resAction COMPRESS

将压缩策略与 HTTP/3_QUIC 类型的负载平衡虚拟服务器绑定

要将 URL 转换策略与 HTTP/3_QUIC 类型的负载平衡虚拟服务器绑定,请在命令提示符处键入:

bind lb vserver <name>@ ((<serviceName>@  [-weight <positive_integer>] ) | <serviceGroupName>@ |  (-policyName <string>@  [-priority <positive_integer>]  [-gotoPriorityExpression <expression>]  [-type ( REQUEST | RESPONSE )] [-invoke  (<labelType>  <labelName>) ]  ) |  -analyticsProfile <string>@)
<!--NeedCopy-->

示例:

bind lb vserver lb-http3 -policyName udp_port_cmp_policy -priority 10 -type RESPONSE

将压缩全局绑定到 HTTP/3 全局绑定点

要将压缩策略与 HTTP/3 全局绑定点绑定,请在命令提示符下键入:

bind compression global <policyName> <priority>  [<gotoPriorityExpression>] [-type <type>] [-invoke (<labelType>  <labelName>) ] bind responder global redirectCitrixUdp 3 -type HTTPQUIC_REQ_DEFAULT
<!--NeedCopy-->

示例:

bind cmp global udp_port_cmp_policy -priority 100 -type HTTPQUIC_RES_DEFAULT Global built-in compression policies

将设备升级到 Citrix ADC 13.0 版本版本 82.x 后,以下压缩策略将自动绑定到 HTTP/3 默认绑定点。

> sho cmp global -type HTTPQUIC_RES_DEFAULT
        Policy Name: ns_adv_nocmp_xml_ie
        Priority: 8700
        GotoPriorityExpression: END
        Type: HTTPQUIC_RES_DEFAULT

        Policy Name: ns_adv_nocmp_mozilla_47
        Priority: 8800
        GotoPriorityExpression: END
        Type: HTTPQUIC_RES_DEFAULT

        Policy Name: ns_adv_cmp_mscss
        Priority: 8900
        GotoPriorityExpression: END
        Type: HTTPQUIC_RES_DEFAULT

        Policy Name: ns_adv_cmp_msapp
        Priority: 9000
        GotoPriorityExpression: END
        Type: HTTPQUIC_RES_DEFAULT

        Policy Name: ns_adv_cmp_content_type
        Priority: 10000
        GotoPriorityExpression: END
        Type: HTTPQUIC_RES_DEFAULT
<!--NeedCopy-->

如果未绑定,则可以通过命令提示符配置以下命令,您可以在设备上进行配置。

bind cmp global ns_adv_nocmp_xml_ie -priority 8700 -gotoPriorityExpression END -type HTTPQUIC_RES_DEFAULT

bind cmp global ns_adv_nocmp_mozilla_47 -priority 8800 -gotoPriorityExpression END -type HTTPQUIC_RES_DEFAULT

bind cmp global ns_adv_cmp_mscss -priority 8900 -gotoPriorityExpression END -type HTTPQUIC_RES_DEFAULT

bind cmp global ns_adv_cmp_msapp -priority 9000 -gotoPriorityExpression END -type HTTPQUIC_RES_DEFAULT

bind cmp global ns_adv_cmp_content_type -priority 10000 -gotoPriorityExpression END -type HTTPQUIC_RES_DEFAULT

有关详细信息,请参阅 压缩策略配置

HTTP/3 流量的缓存策略配置

集成缓存在 Citrix ADC 设备上提供内存存储,并向用户提供 Web 内容,而无需往返到源服务器。对于静态内容,集成缓存几乎不需要初始设置。启用集成缓存功能并执行基本设置(例如,确定允许缓存使用的 Citrix ADC 设备内存量)后,集成缓存将使用内置策略来存储和提供特定类型的静态内容,包括简单网页和图像文件。您还可以将集成缓存配置为存储和提供 Web 和应用程序服务器标记为不可缓存的动态内容(例如,数据库记录和股票报价)。 HTTP over QUIC 类型虚拟服务器具有缓存策略支持。但是,由于 QUIC 使用 UDP 作为其传输机制,因此排除了基于 TCP 的表达式,并包括基于 UDP 的表达式。

具有 TCP 表达式的新的或现有的策略配置不能绑定到 HTTP/3 虚拟服务器或新添加的 HTTP/3 全局绑定点。UDP 表达式可以包含在绑定到 HTTP/3 QUIC 虚拟服务器或通过 QUIC 绑定点的 HTTP 的策略配置中,而不是 TCP 表达式。

添加缓存内容组

要添加缓存内容组,请在命令提示符处键入:

add cache contentGroup <name> [-weakPosRelExpiry <secs> | -relExpiry <secs> | -relExpiryMilliSec <msecs> | -absExpiry <HH:MM> ... | -absExpiryGMT <HH:MM> ...] [-heurExpiryParam <positive_integer>] [-weakNegRelExpiry <secs>] [-maxResSize <KBytes>] [-memLimit <MBytes>]…
<!--NeedCopy-->

例如:

add cache contentGroup DEFAULT -maxResSize 500

添加缓存策略

要添加缓存策略,请在命令提示符处键入:

add cache policy <policyName> -rule <expression> -action <action>  [-storeInGroup <string>] [-invalGroups <string> ...] [-invalObjects <string> ...] [-undefAction ( NOCACHE | RESET )] add cache policy <name> <rule> <profileName> [-comment <string>]  [-logAction <string>]
<!--NeedCopy-->

示例:

add cache policy ctx_doc_pdf -rule "HTTP.REQ.URL.ENDSWITH(\".pdf\")" -action CACHE -storeInGroup DEFAULT

将缓存策略与 HTTP/3_QUIC 类型的负载平衡虚拟服务器绑定

要将缓存策略与 HTTP/3_QUIC 类型的负载平衡虚拟服务器绑定,请在命令提示符处键入:

bind lb vserver <name>@ ((<serviceName>@  [-weight <positive_integer>] ) | <serviceGroupName>@ |  (-policyName <string>@  [-priority <positive_integer>]  [-gotoPriorityExpression <expression>]  [-type ( REQUEST | RESPONSE )] [-invoke  (<labelType>  <labelName>) ]  ) |  -analyticsProfile <string>@)
<!--NeedCopy-->

示例:

bind lb vserver lb-http3 -policyName ctx_doc_pdf -priority 100 -type REQUEST

将缓存策略全局绑定到 HTTP/3 全局绑定点

要绑定缓存策略 HTTP/3 全局绑定点:

bind cache global <policy> -priority <positive_integer>  [-gotoPriorityExpression <expression>] [-type <type>] [-invoke (<labelType> <labelName>) ]
<!--NeedCopy-->

示例:

bind cache global ctx_doc_pdf -priority 3 -type HTTPQUIC_REQ_DEFAULT

有关详细信息,请参阅 集成缓存策略配置

全局内置缓存策略

将设备升级到 Citrix ADC 13.0 版本 82.x 后,以下缓存策略将自动绑定到 HTTP/3 默认绑定点。

升级到 13.0 82.x 版本时,以下缓存策略将自动绑定到 HTTP/3 默认绑定点。

> sho cache global -type HTTPQUIC_REQ_DEFAULT
1)      Policy Name: NOPOLICY
        Priority: 185883
        GotoPriorityExpression: USE_INVOCATION_RESULT
        Invoke type: policylabel        Invoke name: _httpquicReqBuiltinDefaults
        Global bindpoint: HTTPQUIC_REQ_DEFAULT

 Done
> sho cache global -type HTTPQUIC_RES_DEFAULT
1)      Policy Name: NOPOLICY
        Priority: 185883
        GotoPriorityExpression: USE_INVOCATION_RESULT
        Invoke type: policylabel        Invoke name: _httpquicResBuiltinDefaults
        Global bindpoint: HTTPQUIC_RES_DEFAULT

<!--NeedCopy-->

升级后,如果策略未绑定,则可以使用以下命令手动绑定和保存配置。

add cache policylabel _httpquicReqBuiltinDefaults -evaluates HTTPQUIC_REQ

add cache policylabel _httpquicResBuiltinDefaults -evaluates HTTPQUIC_RES

bind cache policylabel _httpquicReqBuiltinDefaults -policyName _nonGetReq -priority 100

bind cache policylabel _httpquicReqBuiltinDefaults -policyName _advancedConditionalReq -priority 200

bind cache policylabel _httpquicReqBuiltinDefaults -policyName _personalizedReq -priority 300

bind cache policylabel _httpquicResBuiltinDefaults -policyName _uncacheableStatusRes -priority 100

bind cache policylabel _httpquicResBuiltinDefaults -policyName _uncacheableVaryRes -priority 200

bind cache policylabel _httpquicResBuiltinDefaults -policyName _uncacheableCacheControlRes -priority 300

bind cache policylabel _httpquicResBuiltinDefaults -policyName _cacheableCacheControlRes -priority 400

bind cache policylabel _httpquicResBuiltinDefaults -policyName _uncacheablePragmaRes -priority 500

bind cache policylabel _httpquicResBuiltinDefaults -policyName _cacheableExpiryRes -priority 600

bind cache policylabel _httpquicResBuiltinDefaults -policyName _imageRes -priority 700

bind cache policylabel _httpquicResBuiltinDefaults -policyName _personalizedRes -priority 800

bind cache global NOPOLICY -priority 185883 -gotoPriorityExpression USE_INVOCATION_RESULT -type HTTPQUIC_REQ_DEFAULT -invoke policylabel _httpquicReqBuiltinDefaults

bind cache global NOPOLICY -priority 185883 -gotoPriorityExpression USE_INVOCATION_RESULT -type HTTPQUIC_RES_DEFAULT -invoke policylabel _httpquicResBuiltinDefaults

<!--NeedCopy-->

注意 : 为了完整起见,包括命令列表中的前两个命令以及同一列表中的最后两个命令。运行这四个命令时可能会遇到错误,因为这些命令在设备重新启动时已经运行。但是你可以忽略这些错误。

HTTP/3 流量的 URL 转换策略配置

URL 转换将指定请求中的所有 URL 从外部用户看到的外部版本修改为仅由 Web 服务器和管理员看到的内部 URL。您可以无缝重定向用户请求,而无需向用户公开网络结构。您还可以将用户难以记住的复杂内部 URL 修改为更简单、更容易记住的外部 URL。 HTTP over QUIC 类型虚拟服务器具有缓存策略支持。但是,由于 QUIC 使用 UDP 作为其传输机制,因此排除了基于 TCP 的表达式,并包括基于 UDP 的表达式。 具有 TCP 表达式的新的或现有的策略配置不能绑定到 HTTP/3 虚拟服务器或新添加的 HTTP/3 全局绑定点。UDP 表达式可以包含在绑定到 HTTP/3 QUIC 虚拟服务器或通过 QUIC 绑定点的 HTTP 的策略配置中,而不是 TCP 表达式。

添加 URL 转换配置文件

要添加 URL 转换配置文件,请在命令提示符处键入:

add transform profile <name> [-type URL]
<!--NeedCopy-->

示例:

add transform profile msapps

添加 URL 转换操作

要添加 URL 转换操作,请在命令提示符处键入:

add transform action <name> <profileName> <priority> [-state ( ENABLED  | DISABLED )]
<!--NeedCopy-->

示例:

add transform action docx2doc msapps 2

添加 URL 转换操作

要添加 URL 转换操作以替换 URL,请在命令提示符处键入:

add transform action <name> <profileName> <priority> [-state ( ENABLED  | DISABLED )]
<!--NeedCopy-->

示例:

add transform action docx2doc msapps 1

添加 URL 转换策略

要添加 URL 转换策略,请在命令提示符处键入:

add transform policy <name> <rule> <profileName> [-comment <string>]  [-logAction <string>]
<!--NeedCopy-->

示例:

add transform policy urltrans_udp "CLIENT.UDP.DSTPORT.EQ(443)" msapps

使用 HTTP/3_QUIC 类型的负载平衡虚拟服务器绑定 URL 转换策略

要将 URL 转换策略与 HTTP/3_QUIC 类型的负载平衡虚拟服务器绑定,请在命令提示符处键入:

bind lb vserver <name>@ ((<serviceName>@  [-weight <positive_integer>] ) | <serviceGroupName>@ |  (-policyName <string>@  [-priority <positive_integer>]  [-gotoPriorityExpression <expression>]  [-type ( REQUEST | RESPONSE )] [-invoke  (<labelType>  <labelName>) ]  ) |  -analyticsProfile <string>@)
<!--NeedCopy-->

示例:

bind lb vs lb-http3 -policyName urltrans_udp -type REQUEST -priority 8

使用 HTTP/3 QUIC 的负载平衡虚拟服务器绑定 URL 转换策略

要绑定 URL 转换策略 HTTP/3 全局绑定点,请在命令提示符处键入:

bind transform global <policyName> <priority>  [<gotoPriorityExpression>] [-type <type>] [-invoke (<labelType>  <labelName>) ]
<!--NeedCopy-->

示例:

bind transform global urltrans_udp 100 -type HTTPQUIC_REQ_DEFAULT

有关详细信息,请参阅 URL 转换策略配置

HTTP/3 流量的前端优化 (FEO) 策略配置

作为 Web 应用程序基础的 HTTP 协议最初是为了支持简单网页的传输和呈现。JavaScript 和级联样式表 (CSS) 等新技术,以及 Flash 视频和图形丰富的图像等新媒体类型,对前端性能(即浏览器级别的性能)提出了沉重的要求。Citrix ADC 前端优化 (FEO) 功能解决了此类问题,并缩短了网页的加载时间和渲染时间。

注意HTTP_QUIC _Override/Default_Request FEO 策略全局绑定不支持 Type。

添加前端优化 (FEO) 操作

要添加 FEO 操作,请在命令提示符处键入:

add feo action <name> [-pageExtendCache] [<cacheMaxage>][-imgShrinkToAttrib] [-imgGifToPng] [-imgToWebp] [-imgToJpegXR] [-imgInline] [-cssImgInline] [-jpgOptimize] [-imgLazyLoad] [-cssMinify] [-cssInline] [-cssCombine] [-convertImportToLink] [-jsMinify] [-jsInline] [-htmlMinify] [-cssMoveToHead] [-jsMoveToEND][-domainSharding <string> <dnsShards> ...] [-clientSideMeasurements]

<!--NeedCopy-->

示例:

add feo action feoact -imgGifToPng -pageExtendCache

添加前端优化 (FEO) 策略

要添加 FEO 策略,请在命令提示符处键入:

add feo policy <name> <rule> <action>

示例:

add feo policy udp_feo_img "CLIENT.UDP.DSTPORT.EQ(443)" IMG_OPTIMIZE

将 FEO 策略与 HTTP/3_QUIC 类型的负载平衡虚拟服务器绑定

要将 FEO 策略与 HTTP/3_QUIC 类型的负载平衡虚拟服务器绑定,请在命令提示符处键入:

bind lb vserver <name>@ ((<serviceName>@   [-weight <positive_integer>] ) | <serviceGroupName>@ |         (-policyName <string>@  [-priority <positive_integer>]  [-gotoPriorityExpression <expression>]  [-type <type>]  [-invoke  (<labelType>  <labelName>) ]  ) | -analyticsProfile <string>@)
<!--NeedCopy-->

示例:

bind lb vserver lb-http3 -policyName udp_feo_img -priority 4 -gotoPriorityExpression END -type REQUEST

将 FEO 策略绑定到 HTTP/3 全局绑定点

要将缓存策略绑定到 HTTP/3 全局绑定点,请在命令提示符处键入:

bind cache global <policy> -priority <positive_integer>  [-gotoPriorityExpression <expression>] [-type <type>] [-invoke (<labelType> <labelName>) ]
<!--NeedCopy-->

示例: bind cache global ctx_doc_pdf -priority 3 -type HTTPQUIC_REQ_DEFAULT

有关更多信息,请参阅 前端优化策略配置

HTTP/3 流量的 SSL 策略配置

HTTP over QUIC 类型虚拟服务器具有 SSL 策略支持。但是,由于 QUIC 使用 UDP 作为其传输机制,因此排除了基于 TCP 的表达式,并包括基于 UDP 的表达式。 具有 TCP 表达式的新的或现有的策略配置不能绑定到 HTTP/3 虚拟服务器或新添加的 HTTP/3 全局绑定点。UDP 表达式可以包含在绑定到 HTTP/3 QUIC 虚拟服务器或通过 QUIC 绑定点的 HTTP 的策略配置中,而不是 TCP 表达式。 具有 TLSv1.3 支持的操作的 SSL 策略仅适用于 HTTP/3 绑定点或虚拟服务器。

添加 SSL 策略

要添加 FEO 策略,请在命令提示符处键入:

add ssl policy <name> -rule <expression> [-action <string>] [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

示例:

add ssl policy ssl-pol -rule CLIENT.SSL.IS_SSL -action NOOP

将 SSL 策略绑定到 HTTP/3 虚拟服务器

要将 SSL 策略绑定到 HTTP/3 虚拟服务器,请在命令提示符处执行以下操作:

bind ssl policylabel <labelName> <policyName> <priority> [<gotoPriorityExpression>] [-invoke (<labelType> <labelName>)
<!--NeedCopy-->

示例:

bind ssl vserver lb-http3 -policyName ssl-pol -priority 4 -type REQUEST

使用 SSL 策略的 UDP 表达式添加 SSL 策略

要使用 UDP 表达式添加 SSL 策略,请在命令提示符处执行以下操作:

add ssl policy <name> -rule <expression> [-action <string>] [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

示例:

add ssl policy ssl_udp_clnt -rule "CLIENT.UDP.DSTPORT.EQ(443)" -action NOOP

将带 UDP 表达式的 SSL 策略绑定到 HTTP/3 虚拟服务器

要将具有 UDP 表达式的 SSL 策略绑定到 HTTP/3 虚拟服务器,请在命令提示符处键入

bind ssl policylabel <labelName> <policyName> <priority> [<gotoPriorityExpression>] [-invoke (<labelType> <labelName>)
<!--NeedCopy-->

示例:

bind ssl vs lb-http3 -policyName ssl_udp_clnt -priority 8 -type REQUEST

为 HTTP/3 流量的 CLIENHELLO 绑定点添加 SSL 策略

要为 HTTP/3 流量绑定 CLIENHELLO 绑定点的 SSL 策略,请在命令提示符处键入:

bind ssl policylabel <labelName> <policyName> <priority> [<gotoPriorityExpression>] [-invoke (<labelType> <labelName>)
<!--NeedCopy-->

示例:

add ssl policy ssl-pol-ch -rule "CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE(0x1301)" -action RESET

将 SSL 策略绑定到 CLIENHELLO 绑定点

要将 SSL 策略绑定到 CLIENHELLO 绑定点,请在命令提示符处键入:

bind ssl policylabel <labelName> <policyName> <priority> [<gotoPriorityExpression>] [-invoke (<labelType> <labelName>)
<!--NeedCopy-->

示例:

bind ssl vs lb-http3 -policyName ssl-pol-ch -type CLIENTHELLO_REQ -priority 100

将 SSL 策略绑定到 HTTP/3 全局绑定点

要将 SSL 策略绑定到 HTTP/3 全局绑定点,请在命令提示符处键入:

bind cache global <policy> -priority <positive_integer> [-gotoPriorityExpression <expression>] [-type <type>] [-invoke (<labelType> <labelName>) ]

示例:

以下是将 DATA 策略绑定到 HTTP/3 全局绑定点的示例:

Bind ssl global -policyName ssl-pol-ch -priority 7 -type HTTPQUIC_DATA_DEFAULT

注意 : HTT_QUIC 类型虚拟服务器目前不支持为 SSL 虚拟服务器的 CLIENHELLO 绑定点设置的转发操作。

HTTP/3 流量的应用程序防火墙策略配置

HTTP over QUIC 类型虚拟服务器具有 Web 应用程序防火墙策略支持。但是,由于 QUIC 使用 UDP 作为其传输机制,因此排除了基于 TCP 的表达式,并包括基于 UDP 的表达式。 具有 TCP 表达式的新的或现有的策略配置不能绑定到 HTTP/3 虚拟服务器或新添加的 HTTP/3 全局绑定点。UDP 表达式可以包含在绑定到 HTTP/3 QUIC 虚拟服务器或通过 QUIC 绑定点的 HTTP 的策略配置中,而不是 TCP 表达式。

用 UDP 表达式添加 Web 应用程序防火墙策略

要使用 UDP 表达式添加 Web 应用程序防火墙策略,请在命令提示符处:

add appfw policy <name> <rule> <profileName> [-comment <string>] [-logAction <string>]
<!--NeedCopy-->

示例:

add appfw policy appfw_udp "CLIENT.UDP.DSTPORT.EQ(443)" APPFW_BYPASS

将日志表达式与 Web 应用程序防火墙配置文件的 UDP 表达式绑

要将日志表达式与 UDP and Web 应用程序防火墙配置文件绑定,请在命令提示符处:

示例:

bind appfw profile APPFW_BLOCK -logExpression logexp-1 "CLIENT.UDP.DSTPORT.EQ(443)"

将应用防火墙策略与 HTTP/3 虚拟服务器绑定

要将 Web 应用程序防火墙策略与 HTTP/3 虚拟服务器绑定,请在命令提示符处:

bind appfw policylabel <labelName> <policyName> <priority> [<gotoPriorityExpression>] [-invoke (<labelType> <labelName>)
<!--NeedCopy-->

示例:

bind lb vs lb-http3 -policyName appfw_udp -priority 3 -type REQUEST

将 Web 应用程序防火墙策略绑定到 HTTP/3 全局绑定点

要将 Web 应用程序防火墙策略绑定到 HTTP/3 全局绑定点,请在命令提示符处键入:

bind appfw global <policy> -priority <positive_integer>  [-gotoPriorityExpression <expression>] [-type <type>] [-invoke (<labelType> <labelName>) ]
<!--NeedCopy-->

示例:

bind appfw global appfw_udp 100 -type HTTPQUIC_REQ_DEFAULT

HTTP/3 流量的 AppQoE 策略配置

QUIC 类型的 HTTP 虚拟服务器具有 AppQoE 策略支持。但是,由于 QUIC 使用 UDP 作为其传输机制,因此排除了基于 TCP 的表达式,并包括基于 UDP 的表达式。 具有 TCP 表达式的新的或现有的策略配置不能绑定到 HTTP/3 虚拟服务器或新添加的 HTTP/3 全局绑定点。UDP 表达式可以包含在绑定到 HTTP/3 QUIC 虚拟服务器或通过 QUIC 绑定点的 HTTP 的策略配置中,而不是 TCP 表达式。

使用基于 UDP 的表达式添加 AppQoE 策略

要使用 UDP 表达式添加 AppQoE 策略,请在命令提示符处:

add AppQoE policy <name> <rule> <profileName> [-comment <string>] [-logAction <string>]
<!--NeedCopy-->

示例:

add appqoe policy appqoe-pol-udp -rule "CLIENT.UDP.DSTPORT.EQ(443)" -action appqoe-act-basic-prhigh

将 AppQoE 策略与 HTTP/3 虚拟服务器绑定

要将 AppQoE 策略与 HTTP/3 虚拟服务器绑定,请在命令提示符处键入:

bind appqoe policylabel <labelName> <policyName> <priority> [<gotoPriorityExpression>] [-invoke (<labelType> <labelName>)
<!--NeedCopy-->

示例:

bind lb vs lb-http3 -policyName appqoe-pol-udp -type REQUEST -priority 3

将 AppQoE 策略绑定到 HTTP_QUIC 虚拟服务器

要将 AppQoE 策略绑定到 HTTP_QUIC 虚拟服务器,请在命令提示符处键入:

bind appqoe <policy> -priority <positive_integer>  [-gotoPriorityExpression <expression>] [-type <type>] [-invoke (<labelType> <labelName>) ]
<!--NeedCopy-->

示例:

bind lb vs lb-http3 -policyName appqoe-pol-primd -priority 8 -type REQUEST