使用高级策略创建 VPN 策略

经典策略引擎 (PE) 和高级策略基础结构 (PI) 是 Citrix ADC 当前支持的两种不同的策略配置和评估框架。

高级策略基础结构由非常强大的表达式语言组成。表达式语言可用于定义策略中的规则、定义操作的各个部分以及支持的其他实体。表达式语言可以分析请求或响应的任何部分,还可以让您深入查看标头和有效负载。相同的表达式语言在 Citrix ADC 支持的每个逻辑模块中扩展和工作。

注意:建议 您使用高级策略创建策略。

为什么从传统策略迁移到高级策略?

高级策略具有丰富的表达式集,并提供比传统策略更大的灵活性。Citrix ADC 可扩展并满足各种客户端的需求,因此必须支持远远超过高级策略的表达式。有关详细信息,请参阅策略和表达式

以下是高级策略的添加功能。

  • 能够访问消息的正文。
  • 支持许多附加协议。
  • 访问系统的许多附加功能。
  • 具有更多的基本函数、运算符和数据类型。
  • 满足 HTML,JSON 和 XML 文件的解析。
  • 促进快速并行多字符串匹配(Patsets 等)。

现在,可以使用高级策略配置以下 VPN 策略。

  • 会话策略
  • 授权策略
  • 流量策略
  • 隧道策略
  • 审计政策

此外,端点分析 (EPA) 可配置为验证功能的 nF因子。EPA 用作试图连接网关设备的端点设备的门卫。在终端设备上显示网关登录页之前,根据网关管理员配置的资格条件,检查设备是否有最低硬件和软件要求。根据执行的检查结果授予对网关的访问权限。以前,EPA 被配置为会话策略的一部分。现在,它可以链接到 nPit,提供更多的灵活性,以及何时可以执行。有关 EPA 的更多信息,请参阅终端节点策略的工作原理主题。有关 nP因子的更多信息,请参阅因子身份验证主题。

使用案例:

使用高级 EPA 预认证 EPA

预身份验证 EPA 扫描会在用户提供登录凭据之前进行。有关使用预身份验证 EPA 扫描为身份验证因素之一配置 Citrix 网关以进行 nFactor 身份验证的信息,请参阅CTX224268主题。

使用高级 EPA 的认证后 EPA

验证后 EPA 扫描会在验证用户凭据后进行。在传统策略基础结构下,身份验证后 EPA 被配置为会话策略或会话操作的一部分。在高级策略基础设施下,EPA 扫描将被配置为 n 因素身份验证中的 EPA 因子。有关使用身份验证后 EPA 扫描为身份验证因素之一配置 Citrix 网关以进行 n 因素身份验证的信息,请参阅CTX224303主题。

使用高级策略进行身份验证前和身份验证后 EPA

EPA 可以在认证前和认证后执行。有关使用身份验证前和身份验证后 EPA 扫描配置 Citrix 网关以进行 nFactor 身份验证的信息,请参阅CTX231362主题。

定期 EPA 扫描作为 nP因子认证的一个因素

在传统策略基础结构下,定期 EPA 扫描被配置为会话策略操作的一部分。在高级策略基础设施下,它可以被配置为 n 因素身份验证中 EPA 因子的一部分。

有关将定期 EPA 扫描配置为 nForms 身份验证中的一个因素的更多信息,请单击CTX231361主题。

故障排除:

故障排除需要记住以下几点。

  • 同一类型的经典和高级策略(例如,会话策略)不能绑定到同一实体/绑定点。
  • 对于所有 PI 策略,优先级都是强制性的。
  • VPN 的高级策略可以绑定到所有绑定点。
  • 具有相同优先级的高级策略可以绑定到单个绑定点。
  • 如果没有任何配置的授权策略被命中,则应用 VPN 参数中配置的全局授权操作。
  • 在授权策略中,如果授权规则失败,则不撤销授权操作。

经典策略的常用高级策略等效表达式:

经典策略表达式 高级政策表达方式
真的 true
错误的
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
标题 “foo” 标题(“foo”)
包含 “酒吧” . 包含(“酒吧”)[注意使用 “。”。]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
源代码 SRC
德斯蒂普 DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
来源地 斯尔克波特
目的地 德斯特波特
状态码 状态
REQ.SSL.CLIENT.CERT 客户端证书