Citrix Gateway

使用高级策略创建 VPN 策略

经典策略引擎 (PE) 和高级策略基础架构 (PI) 是 Citrix ADC 当前支持的两种不同的策略配置和评估框架。

高级策略基础架构包含强大的表达式语言表达式语言可用于定义策略中的规则、定义操作的各个部分以及支持的其他实体。表达式语言可以解析请求或响应的任何部分,还可以让您深入浏览标头和有效负载。相同的表达式语言可在 Citrix ADC 支持的每个逻辑模块中进行扩展和工作。

注意: 建议您使用高级策略来创建策略。

为什么要从经典策略迁移到高级策略

高级策略具有丰富的表达式集,比传统策略提供更大的灵活性。随着 Citrix ADC 扩展并满足各种客户端的需求,必须支持远远超出高级策略的表达式。有关详细信息,请参阅 策略和表达式

以下是高级策略的新增功能。

  • 能够访问邮件正文。
  • 支持许多其他协议。
  • 访问系统的许多其他功能。
  • 具有更多的基本函数、运算符和数据类型。
  • 满足 HTML、JSON 和 XML 文件的解析需求。
  • 有助于快速并行多字符串匹配(patsets等等)。

现在可以使用高级策略配置以下 VPN 策略。

  • 会话策略
  • 授权策略
  • 流量策略
  • 隧道策略
  • 审计策略

此外,端点分析(EPA)可以配置为用于身份验证功能的 nFactor。EPA 用作尝试连接到 Gateway 设备的端点设备的网守。在终端设备上显示网关登录页面之前,根据网关管理员配置的资格标准,检查设备的最低硬件和软件要求。根据执行的检查结果授予对网关的访问权限。以前,EPA 被配置为会话策略的一部分。现在,它可以链接到 nFactor,从而在何时可以执行方面提供更大的灵活性。有关 EPA 的更多信息,请参阅 端点策略如何运作 主题。有关 nFactor 的更多信息,请参阅 nFactor 身份验证 主题。

使用案例:

使用高级 EPA 预身份验证 EPA

身份验证前 EPA 扫描在用户提供登录凭据之前进行。有关将 Citrix Gateway 配置为 nFactor 身份验证并将预身份验证 EPA 扫描作为身份验证因素之一的信息,请参阅 CTX224268 主题。

使用高级 EPA 进行认证后 EPA

验证后 EPA 扫描会在验证用户凭据之后进行。在传统的策略基础架构下,身份验证后 EPA 被配置为会话策略或会话操作的一部分。在高级策略基础架构下,EPA 扫描将配置为 nFactor 身份验证中的 EPA 因素。有关将 Citrix Gateway 配置为 nFactor 身份验证并将身份验证后 EPA 扫描作为身份验证因素之一的信息,请参阅 CTX224303 主题。

使用高级策略的身份验证前和身份验证后

EPA 可以在身份验证之前和身份验证后执行。有关使用预身份验证和身份验证后 EPA 扫描配置 Citrix Gateway 进行 nFactor 身份验证的信息,请参阅 CTX231362 主题。

定期 EPA 扫描是 nFactor 身份验证的一个因素

在传统的策略基础架构下,定期 EPA 扫描被配置为会话策略操作的一部分。在高级策略基础架构下,可以将其配置为 nFactor 身份验证中的 EPA 因素的一部分。

有关将定期 EPA 扫描配置为 nFactor 身份验证中的一个因素的更多信息,请单击CTX231361 主题。

故障排除:

故障排除时应牢记以下几点。

  • 同一类型的经典和高级策略(例如,会话策略)不能绑定到同一实体/绑定点。
  • 所有 PI 策略都必须具有优先级。
  • VPN 的高级策略可以绑定到所有绑定点。
  • 具有相同优先级的高级策略可以绑定到单个绑定点。
  • 如果未选择任何已配置的授权策略,则会应用在 VPN 参数中配置的全局授权操作。
  • 在授权策略中,如果授权规则失败,则不会撤消授权操作。

经典策略常用的高级策略等效表达式:

经典策略表达式 高级策略表达式
ns_true true
ns_false false
请求 .HTTP HTTP.REQ
RES.HTTP HTTP.RES
标题 “foo” 标题 (“foo”)
包含 “bar” .CONCONS (“bar”) [请注意使用 “..”]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
源码/IP SRC
DESTIP DST
REQ.TCP 客户端 .TCP
RES.TCP SERVER.TCP
源端口/港口 SRCPORT
德斯波特 DSTPORT
状态码 状态
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT