Citrix Application Delivery Management 服务

为部署在双跃点模式下的 Citrix ADC Gateway 设备启用数据收集

Citrix ADC Gateway 双跃点模式为组织的内部网络提供额外的保护,因为攻击者需要穿透多个安全区域或非军事区 (DMZ) 才能到达安全网络中的服务器。如果要分析 ICA 连接通过的跃点数(Citrix ADC Gateway 设备),以及有关每个 TCP 连接的延迟以及如何与客户端感知的总 ICA 延迟进行事务的详细信息,则必须安装 Citrix Application Delivery Management (ADM),以便,Citrix ADC Gateway 设备报告这些重要统计信息。

图 3. Citrix ADM 在双跃点模式下部署

本地化后的图片

第一个 DMZ 中的 Citrix ADC Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 Citrix ADC Gateway 对用户连接进行加密,确定如何对用户进行身份验证,并控制对内部网络中服务器的访问。

第二个 DMZ 中的 Citrix ADC Gateway 用作 Citrix ADC Gateway 代理设备。此 Citrix ADC Gateway 使 ICA 流量能够遍历第二个 DMZ,以完成与服务器场的用户连接。

Citrix ADM 可以部署在属于第一个 DMZ 中Citrix ADC Gateway 设备的子网中,也可以部署在属于 Citrix ADC Gateway 设备第二个 DMZ 的子网中。在上图中,第一个 DMZ 中的 Citrix ADM 和 Citrix ADC Gateway 部署在同一子网中。

在双跳模式下,Citrix ADM 从一台装置收集 TCP 记录,从另一台装置收集 ICA 记录。将 Citrix ADC Gateway 设备添加到 Citrix ADM 清单并启用数据收集后,每个设备都会通过跟踪跃点计数和连接链 ID 来导出报告。

为了让 Citrix ADM 识别哪个装置正在导出记录,每个装置都会使用跳数指定,并使用连接链 ID 指定每个连接。跃点计数表示流量从客户端流向服务器的 Citrix ADC Gateway 设备的数量。连接链 ID 表示客户端与服务器之间的端到端连接。

Citrix ADM 使用跃点计数和连接链 ID 来关联来自 Citrix ADC Gateway 设备的数据并生成报告。

要监视在此模式下部署的 Citrix ADC Gateway 设备,必须首先将 Citrix ADC Gateway 添加到 Citrix ADM 清单,启用 Citrix ADM 上的 AppFlow,然后查看 Citrix ADM 控制板上的报表。

在 Citrix ADM 上启用数据收集

如果启用 Citrix ADM 开始从两个装置收集 ICA 详细信息,则收集的详细信息将是冗余的。即两个设备报告相同的指标。若要克服此情况,必须在第一个 Citrix ADC Gateway 设备之一上启用 ICA 的 AppFlow,然后在第二个设备上启用 TCP 的 AppFlow。这样做,其中一个设备导出 ICA AppFlow 记录,另一个设备导出 TCP AppFlow 记录。这还节省解析 ICA 通信的处理时间。

要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:

  1. 在 Web 浏览器中,键入 Citrix Application Delivery Management (ADM) 的 IP 地址(例如, http://192.168.100.1)。

  2. User Name(用户名)和 Password(密码)中,输入管理员凭据。

  3. 导航到基础设施 > 实例,然后选择要启用分析的 Citrix ADC 实例。

  4. 操作下拉列表中,选择启用/禁用 Insight

  5. 选择 VPN 虚拟服务器,然后单击启用 AppFlow

  6. 启用 AppFlow 字段中,键入 true ,然后分别为 ICA 流量和 TCP 流量选择 ICA/TCP

    注意

    如果未为 Citrix ADC 设备上的相应服务或服务组启用 AppFlow 日志记录,则 Citrix ADM 控制板不会显示记录,即使智能分析列显示已启用。

  7. 单击确定

    本地化后的图片

将 Citrix ADC Gateway 设备配置为导出数据

安装 Citrix ADC Gateway 设备后,必须在 Citrix ADC Gateway 设备上配置以下设置,才能将报表导出到 Citrix ADM:

  • 将第一个和第二个 DMZ 中的 Citrix ADC Gateway 设备的虚拟服务器配置为相互通信。
  • 将第二个 DMZ 中的 Citrix ADC Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix ADC Gateway 虚拟服务器。
  • 在第二个 DMZ 中的 Citrix ADC Gateway 上启用双跃点。
  • 在第二个 DMZ 中的 Citrix ADC Gateway 虚拟服务器上禁用身份验证。
  • 使其中一个 Citrix ADC Gateway 设备能够导出 ICA 记录
  • 启用其他 Citrix ADC Gateway 设备以导出 TCP 记录:
  • 在 Citrix ADC Gateway 设备上启用连接链接。

使用命令行界面配置 Citrix ADC Gateway:

  1. 将第一个 DMZ 中的 Citrix ADC Gateway 虚拟服务器配置为与第二个 DMZ 中的 Citrix ADC 网关虚拟服务器进行通信。

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON|OFF)] [-imgGifToPng] …

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. 将第二个 DMZ 中的 Citrix ADC Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix ADC Gateway 虚拟服务器。在第一个 DMZ 中的 Citrix ADC Gateway 上运行以下命令:

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    
  3. 在第二个 DMZ 中的 Citrix ADC Gateway 上启用双跃点和 AppFlow。

    set vpn vserver <name> [- doubleHop ( ENABLED |DISABLED )] [- appflowLog ( ENABLED |DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. 在第二个 DMZ 中的 Citrix ADC Gateway 虚拟服务器上禁用身份验证。

    set vpn vserver **<name> [-authentication** (ON|OFF)]

    set vpn vserver vs -authentication OFF
    
  5. 启用 Citrix ADC Gateway 设备之一以导出 TCP 记录。

    bind vpn vserver **<name> [-policy <string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. 启用其他 Citrix ADC Gateway 设备以导出 ICA 记录:

    bind vpn vserver **<name> [-policy <string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. 在两个 Citrix ADC Gateway 设备上启用连接链接:

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    

使用配置实用程序配置 Citrix ADC Gateway:

  1. 将第一个 DMZ 中的 Citrix ADC Gateway 配置为与第二个 DMZ 中的 Citrix ADC Gateway 通信,并将第二个 DMZ 中的 Citrix ADC Gateway 绑定到第一个 DMZ 中的 Citrix ADC Gateway。
    1. 配置选项卡上展开 **Citrix ADC Gateway**,然后单击虚拟服务器
    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开已发布的应用程序
    3. 单击**下一跃点服务器**,然后将下一跃点服务器绑定到第二个 Citrix ADC Gateway 设备。
  2. 在第二个 DMZ 中的 Citrix ADC Gateway 上启用双跃点。
    1. 在**配置**选项卡上展开 **Citrix ADC Gateway**,然后单击虚拟服务器
    2. 在右窗格中,双击虚拟服务器,然后在**基本设置**组中单击编辑图标。
    3. 展开更多,选择双跃点,然后单击确定
  3. 在第二个 DMZ 中的 Citrix ADC Gateway 上的虚拟服务器上禁用身份验证。
    1. 配置选项卡上,展开 Citrix ADC Gateway,然后单击虚拟服务器
    2. 在右窗格中,双击虚拟服务器,然后在**基本设置**组中单击编辑图标。
    3. 展开更多,然后取消选中启用身份验证
  4. 启用 Citrix ADC Gateway 设备之一以导出 TCP 记录。
    1. 配置选项卡上,展开 Citrix ADC Gateway,然后单击虚拟服务器
    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开策略。
    3. 单击 + 图标,然后从选择策略下拉列表中选择 AppFlow ,然后从选择类型下拉列表中选择其他 TCP 请求
    4. 单击继续
    5. 添加策略绑定,然后单击关闭
  5. 启用其他 Citrix ADC Gateway 设备以导出 ICA 记录:
    1. 配置选项卡上,展开 Citrix ADC Gateway,然后单击虚拟服务器
    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开策略
    3. 单击 + 图标,然后从选择策略下拉列表中选择 AppFlow ,然后从选择类型下拉列表中选择其他 TCP 请求
    4. 单击继续
    5. 添加策略绑定,然后单击关闭
  6. 在 Citrix ADC Gateway 设备上启用连接链接。
    1. 配置选项卡上,导航到系统 > 应用流程
    2. 在右窗格的设置组中,单击更改 Appflow 设置
    3. 选择连接链接并单击确定

为部署在双跃点模式下的 Citrix ADC Gateway 设备启用数据收集