Citrix ADC SDX

跨安全区域整合

SDX 设备通常用于跨安全区域的整合。DMZ 为组织的内部网络增加了一层额外的安全保护,因为攻击者只能访问 DMZ,而不能访问组织的内部网络。在高合规性环境中,通常不接受在 DMZ 和内部网络中同时具有 VIP 地址的单个 Citrix ADC 实例。借助 SDX,您可以预置在 DMZ 中托管 VIP 地址的实例,以及在内部网络中托管 VIP 地址的其他实例。

在某些情况下,您可能需要为每个安全区域设置单独的管理网络。在这种情况下,您必须将 DMZ 中实例的 NSIP 地址放在一个网络上,并将内部网络中具有 VIP 的实例的 NSIP 地址放在不同的管理网络上。此外,在许多情况下,管理服务与实例之间的通信可能需要通过外部设备(如路由器)进行路由。您可以配置防火墙策略来控制发送到防火墙的流量并记录流量。

SDX 设备有两个管理接口(0/1 和 0/2),以及多达八个 1G 数据端口和八个 10G 数据端口(视型号而定)。您还可以将数据端口用作管理端口(例如,当您需要配置标记的 VLAN 时,因为管理接口上不允许进行标记)。如果这样做,来自管理服务的流量必须离开设备,然后返回到设备。您可以路由此流量,也可以选择在分配给实例的接口上指定 NSVLAN。如果实例是在管理服务通用的管理接口上配置的,则不必路由管理服务和 Citrix ADC 实例之间的流量,除非您的设置明确要求这样做。

注意 Citrix Hypervisor 6.0 版支持标记。

跨安全区域整合

在本文中