Citrix ADC SDX

跨安全区域整合

SDX 设备通常用于跨安全区域的整合。DMZ 为组织的内部网络增加了一层额外的安全保护,因为攻击者只能访问 DMZ。它无法访问组织的内部网络。在高合规性环境中,不接受在 DMZ 和内部网络中同时具有 VIP 地址的单个 Citrix ADC 实例。借助 SDX,您可以预置在 DMZ 中托管 VIP 地址的实例,以及在内部网络中托管 VIP 地址的其他实例。

有时,您可能需要为每个安全区域设置单独的管理网络。DMZ 中实例的 NSIP 地址可以位于同一个网络中。内部网络中具有 VIP 的实例的 NSIP 地址可以位于不同的管理网络中。此外,管理服务与实例之间的通信通常需要通过外部设备(如路由器)进行路由。您可以配置防火墙策略来控制发送到防火墙的流量并记录流量。

SDX 设备有两个管理接口(0/1 和 0/2),以及多达八个 1G 数据端口和八个 10G 数据端口(视型号而定)。您还可以将数据端口用作管理端口(例如,当您需要配置标记的 VLAN 时,因为管理接口上不允许进行标记)。如果这样做,来自管理服务的流量必须离开设备,然后返回到设备。您可以路由此流量,也可以选择在分配给实例的接口上指定 NSVLAN。如果实例和管理服务之间的管理接口是通用的,则不必路由两者之间的流量。但是,如果您的设置明确需要它,则可以路由流量。

注意 Citrix Hypervisor 6.0 版支持标记。

跨安全区域整合

在本文中