Citrix Application Delivery Management

SSL Insight

SSL Insight 提供对安全 Web 事务 (HTTPS) 的可见性,并允许 IT 管理员通过对安全 Web 事务提供集成的实时和历史性监视来监视 Citrix ADC 提供服务的所有安全 Web 应用程序。通过此功能,管理员可以评估以下内容:

  • 确定配置更改对客户使用情况的影响:管理员可以了解进行配置更改(如关闭 SSLv3 或删除 RC4-MD5 等密码)对客户端的影响。这可以通过评估此协议和密码的历史事务数据来完成。

  • 量化客户端性能:管理员可以根据使用的 SSL 密码/协议或协商的证书了解对应用程序响应时间的影响。

  • 应用程序安全性:评估是否有任何应用程序在低安全性协议、密码或弱密钥强度上运行事务。

如果在 Citrix ADC 实例上启用 SSL 分析,则会记录和记录每个 SSL 事务的 SSL 统计信息。这些统计信息显示 SSL 流的详细信息。此外,每个成功的连接都会由 Citrix Application Delivery Management (ADM) 分析记录和显示。

SSL Insight 提供以下关键信息,这些信息由 Citrix ADM 分析显示:

  • 协商 SSL 协议版本

  • 协商的密码和密码强度

  • 使用的证书的签名哈希算法

  • 证书类型和大小

  • SSL 前端和后端错误

注意

对于成功的 SSL 连接,SSL AppFlow 日志记录会在每个事务结束时发生。

必备条件

  • 要在其上配置 SSL 智能分析的 Citrix ADC 实例必须运行 Citrix ADC 软件版本 11.1 51.21 及更高版本。在运行 11.1 51.21 的 ADC 实例上运行以下命令,以启用日志流作为 SSL 智能分析的传输类型。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    对于运行 12.0 及以上版本的 ADC 实例,请选择日志流作为传输类型,同时从 ADM 启用 AppFlow。

  • Citrix ADM 版本和内部版本必须等于或高于 Citrix ADC 版本和内部版本。例如,如果您安装了 Citrix ADM 11.1 版本 61.7,请确保已安装了 Citrix ADC 11.1 版本 60.14 或更早版本。

配置 SSL Insight

如果您启用了以下元素,则 SSL Insight 指标包含在 Web Insight 报告中:

  • 在每个 Citrix ADC 实例上启用 Web 智能分析的 AppFlow。

  • 在每个 Citrix ADC 实例上启用 ULFD 模式。

  • 在每个 Citrix ADC 实例上启用所需的 AppFlow 参数。

启用 AppFlow 功能

注意

您可以从 Citrix ADM 或每个 Citrix ADC 实例启用 AppFlow 功能。

要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:

如果您的 Citrix ADM 是 13.0 Build 41.x 或更高版本,请执行以下操作:

  1. 导航到 “ 网络 ” > “ 实例 ” > “ Citrix ADC”,然后选择实例类型。例如,VPX。

  2. 选择实例,然后从 “ 选择操作 ” 列表中单击 “ 配置分析”。

  3. 在虚拟服务器上配置 Analytics 页面上,选择虚拟服务器,然后单击启用 Analytics

  4. 启用分析 窗口中:

    1. 选择 Web Insight

    2. 选择 Logstream 作为传输模式

      注意

      对于 Citrix ADC 12.0 或更早版本, IPFIX 是传输模式的默认选项。对于 Citrix ADC 12.0 或更高版本,您可以选择日志流IPFIX 作为传输模式。

      有关 IPFIX 和 Logstream 的更多信息,请参阅 日志流概述

    3. 默认情况下,表达式为 true

    4. 单击 OK(确定)

      启用分析

      注意

      • 如果选择未获得许可的虚拟服务器,则 Citrix ADM 首先对这些虚拟服务器进行许可,然后启用分析

      • 对于管理员分区,只支持 Web Insight

      • 对于虚拟服务器(如 缓存重定向、 身份验证和 GSLB),您无法启用分析。将显示一条错误消息。

单击 确定” 后,Citrix ADM 将处理在所选虚拟服务器上启用分析。

处理分析

如果您的 Citrix ADM 为 13.0 Build 36.27 或更早版本

  1. 导航到网络 > 实例 > Citrix ADC,然后选择要在其上启用分析的 Citrix ADC 实例。

  2. 选择操作列表中,选择配置分析

    配置分析

  3. 在 “ 配置智能分析 ” 页上:

    1. 为负载平衡或内容切换选择 应用程序列表

      应用程序列表

    2. 选择虚拟服务器,然后单击 启用 AppFlow

      虚拟服务器

  4. 在 “启用 AppFlow” 对话框中:

    • 在文本框中输入 true

    • 选择 日志流 作为传输模式

      注意:Citrix 建议您选择日志流作为传输模式

    • 选择 “ Web 智能分析 ”,然后单击 “ 确定”。

      交通模式

要使用 Citrix ADC GUI 启用 AppFlow 功能,请执行以下操作:

在 Citrix ADC 实例的 GUI 中,导航到 “ 配置” > “系统” > “”,单击 “配 置高级功能”,然后选择 “ AppFlow”。

启用 SSL 智能分析参数

在每个 Citrix ADC 实例上,您必须启用某些 HTTP 参数才能在 Citrix ADM 中显示 SSL 智能分析记录。

要从 Citrix ADC 配置实用程序启用 SSL 智能分析参数,请执行以下操作:

  1. 导航到配置 > 系统 > AppFlow,然后单击更改应用流程设置

  2. 选中以下复选框: HTTP 域HTTP 主机HTTP 方法HTTP URLHTTP 用户代理HTTP 内容类型。  

  3. 单击确定

    ssl-insight2

查看 SSL 智能分析指标

Citrix ADM 中的 SSL 智能分析度量提供了 Citrix ADC 实例所服务的 SSL 事务性能的详细视图。您可以在客户端、服务器或应用程序级别查看 SSL Insight 指标,以及查看 SSL 成功和失败事务的指标。借助这些指标,您可以分析和优化 Citrix ADC HTTPS 设置和 SSL 证书设置,并跟踪性能问题。

注意:

创建组时,您可以将角色分配给组,提供对组的应用程序级访问权限,并将用户分配到组。Citrix ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和将用户分配到组的详细信息,请参阅 配置组

要在 Citrix ADM 中监视 SSL 智能分析度量,请执行以下操作:

您可以查看以下内容的 SSL 指标:

  • 一个应用程序。导航到 应用程序 > 仪表板,单击应用程序,然后选择 Web Insight 选项卡以查看详细指标。有关更多信息,请参阅 应用程序使用情况分析

  • 所有应用程序。导航到 “ 应用程序” > “Web Insight ”,然后单击 “ 应用程序客户端 ” 选项卡以查看 SSL 衡量指标。

使用案例:获取 SSL 事务的概览

以下用例介绍了如何使用 SSL Insight 评估各种 SSL 参数的使用情况并改进安全措施。

请考虑您有一组使用 SSL 事务 (HTTPS) 进行通信的应用程序,并且您已将 Citrix ADM 配置为监视 SSL 组件。您可能需要频繁查看应用程序,以便可以首先关注最需要注意的应用程序。应用程序或所有应用程序的 Web Insight 仪表板在 “SSL 错误” 和 “SSL 使用情况” 下提供了以下 SSL参数的摘要:

  • SSL Certificates(SSL 证书)

  • SSL Protocols(SSL 协议)

  • SSL 密码

  • SSL Key Strength(SSL 密钥强度)

  • SSL 失败 — 前端

  • SSL 失败 — 后端

    ssl-nsight5

您可以单击每个选项卡以查看详细信息。

使用案例:客户端的 SSL 指标

您可以查看客户端列表(由其 IP 地址标识)和每个客户端的总出现次数。导航到 “ 应用程序” > “Web Insight ”,然后选择 “ 客户端 ” 选项卡以查看 “ SSL 使用情况” 下的详细信息。

单击度量以查看详细信息,然后在 客户端下,单击任意客户端 IP 地址以查看所选客户端的 SSL 度量。

SSL 客户端指标