Citrix Application Delivery Management

SSL Insight

SSL Insight 提供对安全 Web 事务 (HTTPS) 的可见性,并允许 IT 管理员通过对安全 Web 事务提供集成的实时和历史性监视来监视 Citrix ADC 提供服务的所有安全 Web 应用程序。通过此功能,管理员可以评估以下内容:

  • 确定配置更改对客户使用的影响:管理员可以了解进行配置更改(如关闭 SSLv3 或删除 RC4-MD5 之类的密码)对客户端的影响。这可以通过评估此协议和密码的历史事务数据来完成。

  • 量化客户端性能:管理员可以根据使用的 SSL 密码/协议或协商的证书了解对应用程序响应时间的影响。

  • 应用程序安全性:评估是否有任何应用程序具有在低安全协议、密码或弱关键强度上运行的事务。

如果在 Citrix ADC 实例上启用 SSL 分析,则会记录和记录每个 SSL 事务的 SSL 统计信息。这些统计信息显示 SSL 流的详细信息。此外,每个成功的连接都会由 Citrix Application Delivery Management (ADM) 分析记录和显示。

SSL Insight 提供以下关键信息,这些信息由 Citrix ADM 分析显示:

  • 协商的 SSL 协议版本

  • 协商的密码和密码强度

  • 使用的证书的签名哈希算法

  • 证书类型和大小

  • SSL 前端和后端错误

注意

对于成功的 SSL 连接,SSL AppFlow 日志记录会在每个事务结束时进行。

必备条件

  • 要配置 SSL 智能分析的 Citrix ADC 实例必须运行 Citrix ADC 软件版本 11.1 51.21 及更高版本。在运行 11.1 51.21 的 ADC 实例上运行以下命令,以启用日志流作为 SSL 智能分析的传输类型。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    对于运行 12.0 及以上版本的 ADC 实例,请选择日志流作为传输类型,同时从 ADM 启用 AppFlow。

  • Citrix ADM 版本和内部版本必须等于或高于 Citrix ADC 版本和内部版本。例如,如果您已安装 Citrix ADM 11.1 版本 61.7,请确保已安装 Citrix ADC 11.1 版本 60.14 或更早版本。

配置 SSL Insight

如果您启用了以下元素,则 SSL Insight 指标包含在 Web Insight 报告中:

  • 在每个 Citrix ADC 实例上启用 Web 智能分析的 AppFlow。

  • 在每个 Citrix ADC 实例上启用 ULFD 模式。

  • 在每个 Citrix ADC 实例上启用所需的 AppFlow 参数。

启用 AppFlow 功能

注意

您可以从 Citrix ADM 或每个 Citrix ADC 实例启用 AppFlow 功能。

要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:

  1. 导航到 “网络” > “实例”,然后选择要启用分析的 Citrix ADC 实例。

  2. 选择操作列表中,选择配置分析

  3. 选择虚拟服务器,然后单击 启用 AppFlow

  4. 在 “启用 AppFlow” 字段中,键入 true,然后选择 “ Web 智能分析”。

  5. 在每个 Citrix ADC 实例上重复步骤 3 到步骤 6。

  6. 单击确定

    本地化后的图片

注意

如果虚拟服务器的运行状态不是“UP”(运行),则无法在虚拟服务器上启用数据收集。

要使用 Citrix ADC GUI 启用 AppFlow 功能,请执行以下操作:

在 Citrix ADC 实例的 GUI 中,导航到 “ 配置” > “系统” > “”,单击 “配 置高级功能”,然后选择 “ AppFlow”。

启用 SSL 智能分析参数

在每个 Citrix ADC 实例上,您必须启用某些 HTTP 参数才能在 Citrix ADM 中显示 SSL 智能分析记录。

要从 Citrix ADC 配置实用程序启用 SSL 智能分析参数,请执行以下操作:

  1. 导航到配置 > 系统 > AppFlow,然后单击更改应用流程设置

  2. 选中以下复选框: HTTP 域HTTP 主机HTTP 方法HTTP URLHTTP 用户代理HTTP 内容类型。  

  3. 单击确定

    本地化后的图片

查看 SSL 智能分析度量

Citrix ADM 中的 SSL 智能分析度量提供了 Citrix ADC 实例所服务的 SSL 事务性能的详细视图。您可以在客户端、服务器或应用程序级别查看 SSL Insight 指标,以及查看 SSL 成功和失败事务的指标。借助这些指标,您可以分析和优化您的 Citrix ADC HTTPS 设置和 SSL 证书设置,并跟踪性能问题。

要在 Citrix ADM 中监视 SSL 智能分析度量,请执行以下操作:

  1. 在 “ 分析 ” 选项卡上,导航到 Web Insight,然后单击 “客户 端”、服务器” 或 “应用 程序 ” 节点,以分别显示有关客户端、服务器或应用程序的度量。

  2. 在左上角窗格中,从期间列表中选择要显示其指标的时间范围。可以使用时间范围滑块自定义时间范围。单击转到

  3. SSL Insight 指标将以饼图形式显示,您可以单击这些图表以了解更多详细信息。

    注意

    饼图显示所有应用程序、客户端或服务器的度量。

    本地化后的图片

  4. 要显示特定应用程序、客户端或服务器的详细信息,请单击条形图上的相应值。

    本地化后的图片

  5. 要查看失败的 SSL 事务,请在“SSL”部分中选择单选按钮。

使用案例:获取应用程序、客户端或服务器的 SSL 事务概览

以下用例说明了如何使用 SSL Insight 来评估应用程序、客户端和服务器中的各种 SSL 参数的使用情况,以及改进安全措施。

请考虑您有一组使用 SSL 事务 (HTTPS) 进行通信的应用程序,并且您已将 Citrix ADM 配置为监视 SSL 组件。您可能需要频繁查看应用程序,以便可以首先关注最需要注意的应用程序。SSL 见解仪表板提供了应用程序在您选择的一段时间内以及针对所选 Citrix ADC 设备使用的各种 SSL 参数的摘要。具体如下:

  • SSL Certificates(SSL 证书)

  • SSL Protocols(SSL 协议)

  • SSL Cipher Negotiated(协商的 SSL 密码)

  • SSL Key Strength(SSL 密钥强度)

  • SSL Failure - Frontend(SSL 失败 - 前端)

  • SSL Failure - Backend(SSL 失败 - 后端)

本地化后的图片

在以下示例中,您可以看到客户端列表(按其 IP 地址标识)和每个客户端的 SSL 命中数。此外,在右侧,可以看到所有客户端的 SSL 参数。

本地化后的图片

要显示某个客户端的 SSL 详细信息,请在条形图中或在图形下面的表中选择该客户端。在以下示例中,选定客户端的事务使用 SHA1 SSL 证书和四个主要协议:TSLv1.2、TSLv1.1、TSLv1 和 SSLv3。您还可以看到协商了各种强度的密码。颜色编码指示 SSL 协议的强度,为您提供有关弱密码和强密码的信息。

本地化后的图片

同样,要查看有关失败的 SSL 事务的信息,请选择 SSL 部分上的单选按钮。SSL 前端和后端故障分别显示在两个饼图中。在以下示例中,您可以查看主要的后端 SSL 错误是握手失败和主要前端 SSL 错误是非法参数。

本地化后的图片