Citrix Application Delivery Management 13.0

SSL Insight

SSL Insight 提供对安全 Web 事务 (HTTPS) 的可见性,并允许 IT 管理员通过对安全 Web 事务提供集成的实时和历史性监视来监视 Citrix ADC 提供服务的所有安全 Web 应用程序。通过此功能,管理员可以评估以下内容:

  • 确定配置更改对客户使用情况的影响:管理员可以了解进行配置更改(如关闭 SSLv3 或删除 RC4-MD5 等密码)对客户端的影响。这可以通过评估此协议和密码的历史事务数据来完成。

  • 量化客户端性能:管理员可以根据使用的 SSL 密码/协议或协商的证书了解对应用程序响应时间的影响。

  • 应用程序安全性:评估是否有任何应用程序在低安全性协议、密码或弱密钥强度上运行事务。

如果在 Citrix ADC 实例上启用 SSL 分析,则会记录和记录每个 SSL 事务的 SSL 统计信息。这些统计信息显示 SSL 流的详细信息。此外,每个成功的连接都会由 Citrix Application Delivery Management (ADM) 分析记录和显示。

SSL Insight 提供以下关键信息,这些信息由 Citrix ADM 分析显示:

  • 协商的 SSL 协议版本

  • 协商的密码和密码强度

  • 使用的证书的签名哈希算法

  • 证书类型和大小

  • SSL 前端和后端错误

注意

对于成功的 SSL 连接,SSL AppFlow 日志记录会在每个事务结束时进行。

必备条件

  • 要配置 SSL 智能分析的 Citrix ADC 实例必须运行 Citrix ADC 软件版本 11.1 51.21 及更高版本。在运行 11.1 51.21 的 ADC 实例上运行以下命令,以启用日志流作为 SSL 智能分析的传输类型。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    对于运行 12.0 及以上版本的 ADC 实例,请选择日志流作为传输类型,同时从 ADM 启用 AppFlow。

  • Citrix ADM 版本和内部版本必须等于或高于 Citrix ADC 版本和内部版本。例如,如果您已安装 Citrix ADM 11.1 版本 61.7,请确保已安装 Citrix ADC 11.1 版本 60.14 或更早版本。

配置 SSL Insight

如果您启用了以下元素,则 SSL Insight 指标包含在 Web Insight 报告中:

  • 在每个 Citrix ADC 实例上启用 Web 智能分析的 AppFlow。

  • 在每个 Citrix ADC 实例上启用 ULFD 模式。

  • 在每个 Citrix ADC 实例上启用所需的 AppFlow 参数。

启用 AppFlow 功能

注意

您可以从 Citrix ADM 或每个 Citrix ADC 实例启用 AppFlow 功能。

要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:

  1. 导航到 “ **网络 ” > “实例”,然后选择要启用分析的 Citrix ADC 实例。**

  2. 选择操作列表中,选择配置分析

  3. 选择虚拟服务器,然后单击 启用 AppFlow

  4. 在 “启用 AppFlow” 字段中,键入 true,然后选择 “ Web 智能分析”。

  5. 在每个 Citrix ADC 实例上重复步骤 3 到步骤 6。

  6. 单击 “ 确定”。

    ssl-insight1

注意

如果虚拟服务器的运行状态不是“UP”(运行),则无法在虚拟服务器上启用数据收集。

要使用 Citrix ADC GUI 启用 AppFlow 功能,请执行以下操作:

在 Citrix ADC 实例的 GUI 中,导航到 “ 配置” > “ **系统 ” > “ ”,单击 “配 **置高级功能”,然后选择 “ AppFlow”。

启用 SSL 智能分析参数

在每个 Citrix ADC 实例上,您必须启用某些 HTTP 参数才能在 Citrix ADM 中显示 SSL 智能分析记录。

要从 Citrix ADC 配置实用程序启用 SSL 智能分析参数,请执行以下操作:

  1. 导航到配置 > 系统 > AppFlow,然后单击更改应用流程设置

  2. 选中以下复选框: HTTP 域HTTP 主机HTTP 方法HTTP URLHTTP 用户代理HTTP 内容类型。  

  3. 单击 “ 确定”。

    ssl-insight2

查看 SSL 智能分析度量

Citrix ADM 中的 SSL 智能分析度量提供了 Citrix ADC 实例所服务的 SSL 事务性能的详细视图。您可以在客户端、服务器或应用程序级别查看 SSL Insight 指标,以及查看 SSL 成功和失败事务的指标。借助这些指标,您可以分析和优化您的 Citrix ADC HTTPS 设置和 SSL 证书设置,并跟踪性能问题。

注意:

创建组时,您可以将角色分配给组,提供对组的应用程序级访问权限,并将用户分配到组。Citrix ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和向组分配用户的详细信息,请参阅 配置组

要在 Citrix ADM 中监视 SSL 智能分析度量,请执行以下操作:

  1. 在 “ 分析 ” 选项卡上,导航到 Web Insight,然后单击 “客户 端”、服务器” 或 “应用 程序 ” 节点,以分别显示有关客户端、服务器或应用程序的度量。

  2. 在左上角窗格中,从期间列表中选择要显示其指标的时间范围。可以使用时间范围滑块自定义时间范围。单击转到

  3. SSL Insight 指标将以饼图形式显示,您可以单击这些图表以了解更多详细信息。

    注意

    饼图显示所有应用程序、客户端或服务器的度量。

    ssl-insight3

  4. 要显示特定应用程序、客户端或服务器的详细信息,请单击条形图上的相应值。

    ssl-insight4

  5. 要查看失败的 SSL 事务,请在“SSL”部分中选择单选按钮。

使用案例:获取应用程序、客户端或服务器的 SSL 事务概览

以下用例说明了如何使用 SSL Insight 来评估应用程序、客户端和服务器中的各种 SSL 参数的使用情况,以及改进安全措施。

请考虑您有一组使用 SSL 事务 (HTTPS) 进行通信的应用程序,并且您已将 Citrix ADM 配置为监视 SSL 组件。您可能需要频繁查看应用程序,以便可以首先关注最需要注意的应用程序。SSL 见解仪表板提供了应用程序在您选择的一段时间内以及针对所选 Citrix ADC 设备使用的各种 SSL 参数的摘要。具体如下:

  • SSL Certificates(SSL 证书)

  • SSL Protocols(SSL 协议)

  • SSL Cipher Negotiated(协商的 SSL 密码)

  • SSL Key Strength(SSL 密钥强度)

  • SSL Failure - Frontend(SSL 失败 - 前端)

  • SSL Failure - Backend(SSL 失败 - 后端)

ssl-nsight5

在以下示例中,您可以看到客户端列表(按其 IP 地址标识)和每个客户端的 SSL 命中数。此外,在右侧,可以看到所有客户端的 SSL 参数。

ssl-insight5

要显示某个客户端的 SSL 详细信息,请在条形图中或在图形下面的表中选择该客户端。在以下示例中,所选客户端的事务使用 SHA1 SSL 证书和四个主要协议:TLSV1.3、TLSV1.2、TLSV1.1、TLSV1 和 SSLv3。您还可以看到协商了各种强度的密码。颜色编码指示 SSL 协议的强度,为您提供有关弱密码和强密码的信息。

ssl-insight5

同样,要查看有关失败的 SSL 事务的信息,请选择 SSL 部分上的单选按钮。SSL 前端和后端故障分别显示在两个饼图中。在以下示例中,您可以查看主要的后端 SSL 错误是握手失败和主要前端 SSL 错误是非法参数。

SSL 错误