Citrix Gateway

EPA 扫描允许的 MAC 地址列表

从 Citrix ADC 13.1 版开始,您可以为允许的列表 MAC 地址配置 EPA 扫描,而不必在表达式中列出所有 IP 地址。相反,您可以为此配置使用模式集。

在 Citrix ADC 13.1 版本之前,所有允许的 MAC 地址列表都必须作为 EPA 表达式的一部分进行指定。例如;

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1A-C8-9C-83-BO-F7,\ 02-50-F2-0A-77-7C[COMMENT: MAC Address]")/
<!--NeedCopy-->

使用 CLI 为允许的 MAC 地址列表配置 EPA 扫描

  1. 将 MAC 地址存储在模式集中。

    在命令提示窗口中,键入:

    add policy patset <name> [-comment <string>]
    <!--NeedCopy-->
    

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … 等等,最多 3000 个条目。 add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … 等等,最多 3000 个条目。 ```

  2. 使用 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any() 为每个模式集创建相应的策略表达式

    在命令提示窗口中,键入:

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
    

    示例:

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
    add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
    
  3. 使用配置的策略表达式创建 EPA 扫描

    在命令提示窗口中,键入:

    add authentication epaAction <name>  -csecexpr <expression>
    

    示例:

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
    
    add authentication Policy epapol -rule true -action epa
    
    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
    
    

使用 GUI 为允许的 MAC 地址列表配置 EPA 扫描

  1. 配置模式集。有关详细信息,请参阅 配置模式集

  2. 为每个模式集创建相应的策略表达式。

    配置表达式时,在表达式编辑器中,选择 AAA > 登录 > CLIENT_MAC_ADDR > EQUAL_ANY(字符串)> 模式集

    有关配置高级表达式的详细信息,请参阅在 策略中配置高级策略表达式

  3. 为前面步骤中配置的表达式创建 EPA 扫描。有关详细信息,请参阅 高级端点分析扫描

注意事项

  • 为允许的 MAC 地址列表配置 EPA 扫描仅适用于 nFactor 身份验证流程。
  • MAC 地址必须配置为 1A-2B-3C-4D-5E-6F 格式。
  • EPA 扫描的格式为 mac-addr_0_<policy-expression-name>。在此格式中, mac-addr_0 是静态值,您必须在后面输入策略表达式名称 mac-addr_0
  • 可以使用符号适当分隔EPA扫描 ( ||, &&)
  • 要向模式集中添加许多 MAC 地址,可以使用基于文件的模式集导入。建议最多存储 3000 个条目/模式集,以获得最佳性能。
  • 如果文件中存在 MAC 地址,则可以使用基于文件的模式集导入并在导入过程中指定适当的分隔符来创建模式集。

引用

EPA 扫描允许的 MAC 地址列表