SSL Insight

SSL Insight 提供对安全 Web 事务 (HTTPS) 的可见性,并允许 IT 管理员通过对安全 Web 事务提供集成的实时和历史性监视来监视 Citrix ADC 提供服务的所有安全 Web 应用程序。通过此功能,管理员可以评估以下内容:

  • 确定配置更改对客户使用情况的影响。管理员可以了解进行配置更改(如关闭 SSLv3 或删除像 RC4-MD5 这样的密码)对客户端的影响。这可以通过评估此协议和密码的历史事务数据来完成。
  • 量化客户绩效。管理员可以了解基于使用的 SSL 密码/协议或协商的证书对应用程序响应时间的影响。
  • 应用程序安全性。评估任何应用程序的事务是否在低安全性协议、密码或弱密钥强度上运行。

在 ADC 实例上启用 SSL 分析时,会记录并记录每个 SSL 事务的 SSL 统计信息。这些统计信息显示 SSL 流的详细信息。此外,Citrix Application Delivery Management (ADM) 将记录并显示每个成功的连接。

SSL Insight 提供以下关键信息,这些信息由 Citrix ADM 分析显示:

  • 协商 SSL 协议版本
  • 协商的密码和密码强度
  • 使用的证书的签名哈希算法
  • 证书类型和大小
  • SSL 前端和后端错误

注意

对于成功的 SSL 连接,SSL AppFlow 日志记录会在每个事务结束时发生。

必备条件

  • 要在其上配置 SSL 智能分析的 Citrix ADC 实例必须运行 Citrix ADC 软件版本 11.1 51.21 及更高版本。在运行 11.1 51.21 的 ADC 实例上运行以下命令,以启用日志流作为 SSL 智能分析的传输类型。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    对于运行 12.0 及以上版本的 ADC 实例,请选择日志流作为传输类型,同时从 ADM 启用 AppFlow。

  • Citrix ADM 版本和内部版本必须等于或高于 Citrix ADC 版本和内部版本。例如,如果您安装了 Citrix ADM 11.1 版本 61.7,请确保已安装了 Citrix ADC 11.1 版本 60.14 或更早版本。

配置 SSL Insight

如果您启用了以下元素,则 SSL Insight 指标包含在 Web Insight 报告中:

  • 在每个 ADC 实例上启用用于 Web 见解的 AppFlow。
  • 在每个 ADC 实例上启用 ULFD 模式。
  • 在每个 ADC 实例上启用所需的 AppFlow 参数。

实现见解

注意

您可以从 Citrix ADM 或每个 ADC 实例启用 AppFlow 功能。

启用 Citrix ADM 的应用 AppFlow 功能

  1. 导航到网络 > 实例,然后选择要在其上启用分析的 ADC 实例。

  2. 选择操作列表中,选择配置分析

  3. 在虚拟服务器上配置分析页面上:

    1. 选择要启用 Web Insight 的虚拟服务器,然后单击启用分析

      此时将显示启用分析窗口。

    2. 选择 Web Insight

    3. 高级选项下,选择日志流IPFIX 作为传输模式

      注意

      对于 Citrix ADC 12.0 或更早版本, IPFIX 是传输端模式的默认选项。对于 Citrix ADC 12.0 或更高版本,您可以选择日志流IPFIX 作为传输模式。

      有关 IPFIX 和日志流的更多信息,请参阅日志流概述

    4. 默认情况下,表达式为 true

    5. 单击 OK(确定)

      網路见解

注意

如果虚拟服务器的运行状态不是“UP”(运行),则无法在虚拟服务器上启用数据收集。

通过使用 ADC GUI 启用 AppFlow 功能

在 ADC 实例的 GUI 中,导航到 配置 > 系统 > 设置 ,单击配 置高级功能 ,然后选择 AppFlow

启用 ULFD 模式

在配置虚拟服务器的 ADC 实例上启用 ULFD 模式后,ULFD 服务器会将分析数据从 ADC 实例传输到 Citrix ADM。

启用 SSL 智能分析参数

在每个 ADC 实例上,您必须启用某些 HTTP 参数才能在 Citrix ADM 中显示 SSL 智能分析记录。

从 ADC 配置实用程序启用 SSL 见解参数

  1. 导航到配置 > 系统 > AppFlow,然后单击更改应用流程设置

  2. 选中以下复选框: HTTP 域HTTP 主机HTTP 方法HTTP URLHTTP 用户代理HTTP 内容类型

  3. 单击确定

    本地化后的图片

查看 SSL 智能分析指标

Citrix ADM 中的 SSL 智能分析指标提供了 ADC 实例所服务的 SSL 事务性能的详细视图。您可以查看客户端、服务器或应用程序级别的 SSL Insight 指标,以及 SSL 成功和失败事务的指标。借助这些指标,您可以分析和优化 ADC HTTPS 设置和 SSL 证书设置,并跟踪性能问题。

注意:

创建组时,您可以将角色分配给组,提供对组的应用程序级访问权限,并将用户分配到组。Citrix ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和将用户分配到组的更多信息,请参阅在 Citrix ADM 上配置组

监视 Citrix ADM 中的 SSL 智能分析指标

  1. Analytics(分析)选项卡上,导航到 Web Insight 并单击 Client(客户端)、Server(服务器)或 Application(应用程序)节点以分别显示有关客户端、服务器或应用程序的指标。
  2. 在左上角窗格中,从菜单中选择要显示其指标的时间范围。可以使用时间范围滑块自定义时间范围。单击转到
  3. SSL Insight 指标将以饼图形式显示,您可以单击这些图表以了解更多详细信息。

    注意

    饼图显示所有应用程序、客户端或服务器的衡量指标。

    本地化后的图片

  4. 要显示特定应用程序、客户端或服务器的详细信息,请单击条形图上的相应值。

    本地化后的图片

  5. 要查看失败的 SSL 事务,请在“SSL”部分中选择单选按钮。

使用案例:获取应用程序、客户端或服务器的 SSL 事务概述

以下用例说明了如何使用 SSL Insight 来评估应用程序、客户端和服务器中的各种 SSL 参数的使用情况,以及改进安全措施。

请考虑您有一组使用 SSL 事务 (HTTPS) 进行通信的应用程序,并且您已将 Citrix ADM 配置为监视 SSL 组件。您可能需要频繁查看应用程序,以便可以首先关注最需要注意的应用程序。SSL 见解控制板提供了应用程序在您选择的一段时间内使用的各种 SSL 参数以及所选 ADC 设备的摘要。它们列出如下:

  • SSL Certificates(SSL 证书)
  • SSL Protocols(SSL 协议)
  • SSL Cipher Negotiated(协商的 SSL 密码)
  • SSL Key Strength(SSL 密钥强度)
  • SSL Failure - Frontend(SSL 失败 - 前端)
  • SSL Failure - Backend(SSL 失败 - 后端)

本地化后的图片

在以下示例中,您可以看到客户端列表(按其 IP 地址标识)和每个客户端的 SSL 命中数。此外,在右侧,可以看到所有客户端的 SSL 参数。

本地化后的图片

要显示某个客户端的 SSL 详细信息,请在条形图中或在图形下面的表中选择该客户端。在以下示例中,选定客户端的事务使用 SHA1 SSL 证书和四个主要协议:TSLv1.2、TSLv1.1、TSLv1 和 SSLv3。您还可以看到协商了各种强度的密码。颜色编码指示 SSL 协议的强度,为您提供有关弱密码和强密码的信息。

本地化后的图片

同样,要查看有关失败的 SSL 事务的信息,请选择 SSL 部分上的单选按钮。SSL 前端和后端故障分别显示在两个饼图中。在以下示例中,您可以查看主要后端 SSL 错误是握手失败,主要前端 SSL 错误是非法参数。

本地化后的图片