Integration von Citrix ADC Layer 3 mit passiven Sicherheitsgeräten (Intrusion Detection System)
Eine Citrix ADC Appliance ist jetzt mit passiven Sicherheitsgeräten wie dem Intrusion Detection System (IDS) integriert. In diesem Setup sendet die Appliance eine Kopie des ursprünglichen Datenverkehrs sicher an entfernte IDS-Geräte. Diese passiven Geräte speichern Protokolle und lösen Warnungen aus, wenn ein schlechter oder nicht konformer Datenverkehr erkannt wird. Es erstellt auch Berichte für den Compliance-Zweck. Wenn eine Citrix ADC Appliance in zwei oder mehr IDS-Geräte integriert ist und bei hohem Datenverkehr ein hohes Verkehrsaufkommen besteht, kann die Appliance die Geräte ausgleichen, indem sie Datenverkehr auf der Ebene des virtuellen Servers klont.
Für erweiterten Sicherheitsschutz ist eine Citrix ADC-Appliance mit passiven Sicherheitsgeräten wie IDS integriert, die im Nur-Erkennungsmodus bereitgestellt werden. Diese Geräte speichern Protokolle und lösen Warnungen aus, wenn ein schlechter oder nicht konformer Datenverkehr angezeigt wird. Es erstellt auch Berichte für den Compliance-Zweck. Im Folgenden sind einige der Vorteile der Integration des Citrix ADC mit einem IDS-Gerät aufgeführt.
- Verschlüsselten Datenverkehr wird überprüft. Die meisten Sicherheitsgeräte umgehen verschlüsselten Datenverkehr, wodurch Server anfällig für Angriffe bleiben. Eine Citrix ADC Appliance kann Datenverkehr entschlüsseln und an IDS-Geräte senden, um die Netzwerksicherheit des Kunden zu verbessern.
- Entladen von Inline-Geräten aus der TLS/SSL-Verarbeitung. TLS/SSL-Verarbeitung ist teuer und führt zu einer hohen System-CPU in Intrusion Detection Geräten, wenn sie den Datenverkehr entschlüsseln. Da der verschlüsselte Datenverkehr in einem rasanten Tempo wächst, können diese Systeme verschlüsselten Datenverkehr nicht entschlüsseln und untersuchen. Citrix ADC hilft beim Verschieben von Datenverkehr auf IDS-Geräte aus der TLS/SSL-Verarbeitung. Diese Art des Abladens von Daten führt dazu, dass ein IDS-Gerät ein hohes Volumen an Verkehrsinspektion unterstützt.
- Laden von ausgleichenden IDS-Geräten. Die Citrix ADC Appliance gleicht mehrere IDS-Geräte aus, wenn ein hohes Datenvolumen besteht, indem Datenverkehr auf der Ebene des virtuellen Servers geklont wird.
- Datenverkehr auf passive Geräte replizieren. Der Datenverkehr, der in die Appliance fließt, kann zur Erstellung von Compliance-Berichten auf andere passive Geräte repliziert werden. Zum Beispiel, nur wenige Behörden beauftragen jede Transaktion, in einigen passiven Geräten protokolliert zu werden.
- Fanning des Datenverkehrs an mehrere passive Geräte. Einige Kunden bevorzugen es, eingehenden Datenverkehr auf mehrere passive Geräte zu übertragen oder zu replizieren.
- Intelligente Auswahl des Datenverkehrs. Jedes Paket, das in die Appliance fließt, muss möglicherweise nicht inhaltlich geprüft werden, zum Beispiel das Herunterladen von Textdateien. Benutzer können die Citrix ADC Appliance so konfigurieren, dass sie bestimmten Datenverkehr (z. B. EXE-Dateien) zur Überprüfung auswählen und den Datenverkehr an IDS-Geräte zur Datenverarbeitung senden.
Integration von Citrix ADC in IDS-Gerät mit L3-Konnektivität
Das folgende Diagramm zeigt, wie die IDS in eine Citrix ADC Appliance integriert ist.
Die Komponenteninteraktion wird wie folgt angegeben:
- Ein Client sendet eine HTTP/HTTPS-Anfrage an die Citrix ADC Appliance.
- Die Appliance fängt den Datenverkehr ab und sendet die Daten an entfernte IDS-Geräte über verschiedene Rechenzentren oder sogar in einer Cloud. Diese Integration erfolgt über IP tunneled Layer 3. Weitere Informationen zum IP-Tunneling in einer Citrix ADC Appliance finden Sie unter IP-Tunnel Thema.
- Wenn der Datenverkehr verschlüsselt ist, entschlüsselt die Appliance die Daten und sendet sie als Nur-Text.
- Basierend auf der Richtlinienbewertung wendet die Appliance eine Inhaltsprüfung vom Typ MIRROR an.
- Für die Aktion ist ein IDS-Dienst oder Lastausgleichsdienst (für mehrere IDS-Geräteintegrationen) darin konfiguriert.
- Das IDS-Gerät ist auf der Appliance als Content-Inspection-Diensttyp Beliebig konfiguriert. Der Content Inspection Service wird dann dem Inhaltsinspektionsprofil vom Typ “MIRROR” und dem Tunnelparameter zugeordnet, der die getunnelte IP-Schicht-3-Schnittstelle angibt, über die die Daten an das IDS-Gerät weitergeleitet werden.
HinweisOptional können Sie auch ein VLAN-Tag im Content Inspection Profil konfigurieren.
- Wenn der Back-End-Server eine Antwort an den Citrix ADC sendet, repliziert die Appliance die Daten und leitet sie an das IDS-Gerät weiter.
- Wenn Ihre Appliance in ein oder mehrere IDS-Geräte integriert ist und Sie den Lastausgleich der Geräte bevorzugen, können Sie den virtuellen Lastausgleichsserver verwenden.
Softwarelizenzierung
Um die IDS-Integration bereitstellen zu können, muss Ihre Citrix ADC Appliance mit einer der folgenden Lizenzen bereitgestellt werden:
- ADC Premium
- ADC Advanced
Konfigurieren der Systemintegration冯入侵Detection
Sie können IDS Device auf zwei verschiedene Arten in einen Citrix ADC integrieren.
Szenario 1: Integration mit einem einzelnen IDS-Gerät
Im Folgenden sind die Schritte, die Sie über die Befehlszeilenschnittstelle konfigurieren müssen.
- Inhaltsüberprüfung aktivieren
- Fügen Sie das Content-Inspektionsprofil vom Typ MIRROR für den Dienst hinzu, der IDS-Gerät darstellt.
- Add IDS service of type “ANY”
- Inhaltsprüfung vom Typ MIRROR hinzufügen
- Richtlinie zur Inhaltsüberprüfung für IDS-Inspektion hinzufügen
- Binden Sie die Inhaltsüberprüfungsrichtlinie an Content Switching oder den virtuellen Lastenausgleichsdienst vom Typ HTTP/SSL
Inhaltsprüfung aktivieren
Wenn Sie möchten, dass die Citrix ADC Appliance den Inhalt zur Überprüfung an die IDS-Geräte sendet, müssen Sie die Funktionen zur Inhaltsüberwachung und zum Lastenausgleich unabhängig von der Durchführung der Entschlüsselung aktivieren.
您一个der Eingabeaufforderung Folgendes静脉:
enable ns feature contentInspection LoadBalancing
Content-Inspektionsprofil vom Typ MIRROR hinzufügen
Das Content-Inspection-Profil vom Typ MIRROR erklärt, wie Sie eine Verbindung mit dem IDS-Gerät herstellen können. Geben Sie an der Eingabeaufforderung ein.
HinweisDer IP-Tunnel-Parameter darf nur für die IDS der Schicht 3 verwendet werden. Andernfalls müssen Sie die Egress-Schnittstelle mit der Option Egress VLAN verwenden.
add contentInspection profile
Beispiel:
添加contentInspection概要IDS_profile1类型MIRROR –ipTunnel ipsect-tunnel1
IDS-Dienst hinzufügen
Sie müssen für jedes IDS-Gerät, das in die Appliance integriert ist, einen Dienst vom Typ ANY konfigurieren. Der Dienst enthält die IDS-Gerätekonfigurationsdetails. Der Dienst stellt das IDS-Gerät dar.
您一个der Eingabeaufforderung Folgendes静脉:
add service
Beispiel:
add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF
Inhaltsprüfung vom Typ MIRROR für IDS-Dienst hinzufügen
Nachdem Sie die Inhaltsinspektion aktiviert und dann das IDS-Profil und den Dienst hinzugefügt haben, müssen Sie die Inhaltsprüfung Aktion für die Verarbeitung der Anforderung hinzufügen. Basierend auf der Inhaltsüberprüfungsaktion kann die Appliance Daten an das IDS -Gerät löschen, zurücksetzen, blockieren oder senden.
您一个der Eingabeaufforderung Folgendes静脉:
add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>
Beispiel:
add ContentInspection action IDS_action -type MIRROR –serverName IDS_service
Richtlinie zur Inhaltsüberprüfung für IDS-Inspektion hinzufügen
Nachdem Sie eine Inhaltsprüfungsaktion erstellt haben, müssen Sie Inhaltsprüfungsrichtlinien hinzufügen, um Prüfungsanforderungen auszuwerten. Die Richtlinie basiert auf einer Regel, die aus einem oder mehreren Ausdrücken besteht. Die Richtlinie bewertet und wählt den Datenverkehr für die Inspektion basierend auf der Regel aus.
您一个der Eingabeaufforderung Folgendes静脉:
添加contentInspection策略< policy_name >规则
Beispiel:
add contentInspection policy IDS_pol1 –rule true –action IDS_action
Binden Sie die Inhaltsüberprüfungsrichtlinie an Content Switching oder den virtuellen Lastenausgleichsdienst vom Typ HTTP/SSL
Um den Webdatenverkehr zu empfangen, müssen Sie einen virtuellen Lastausgleichsserver hinzufügen. Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb vserver
Beispiel:
add lb vserver HTTP_vserver HTTP 1.1.1.3 8080
Content Inspection Policy an virtuellen Content Switching- oder Load Balancing-Server vom Typ HTTP/SSL binden
您得窝virtuellen Lastausgleichsserver颂歌r den virtuellen Content Switching-Server vom Typ HTTP/SSL an die Inhaltsinspektionsrichtlinie binden.
您一个der Eingabeaufforderung Folgendes静脉:
bind lb vserver
Beispiel:
bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
Szenario 2: Lastenausgleich mehrerer IDS-Geräte
Wenn Sie zwei oder mehr IDS-Geräte verwenden, müssen Sie den Lastausgleich der IDS-Geräte über verschiedene Content-Inspektionsdienste verwenden. In diesem Fall gleicht das Lastenausgleich der Citrix ADC Appliance die Geräte zusätzlich zum Senden einer Teilmenge des Datenverkehrs an jedes Gerät aus. Grundlegende Konfigurationsschritte finden Sie unter Szenario 1.
Im Folgenden sind die Schritte, die Sie über die Befehlszeilenschnittstelle konfigurieren müssen.
- Inhaltsinspektionsprofil 1 vom Typ MIRROR für IDS Service 1 hinzufügen
- Hinzufügen des Content-Inspektionsprofils 2 vom Typ MIRROR für IDS Service 2
- Add IDS service 1 of type ANY for IDS device 1
- Add IDS service 2 of type ANY for IDS device 2
- Hinzufügen eines virtuellen Lastausgleichsservers vom Typ ANY
- IDS-Dienst 1 zum Lastenausgleich eines virtuellen Servers binden
- IDS-Dienst 2 zum Lastenausgleich eines virtuellen Servers binden
- Hinzufügen von Inhaltsprüfungsaktion für den Lastausgleich von IDS-Geräten.
- Inhaltsüberprüfungsrichtlinie für die Inspektion hinzufügen
- Hinzufügen von virtuellem Content Switching- oder Lastausgleichsserver vom Typ HTTP/SSL
- Richtlinie zur Inhaltsüberprüfung zum Lastenausgleich virtueller Server vom Typ HTTP/SSL binden
Inhaltsinspektionsprofil 1 vom Typ MIRROR für IDS Service 1 hinzufügen
Die IDS Konfiguration kann in einer Entität namens Content Inspection Profile angegeben werden. Das Profil verfügt über eine Sammlung von Geräteeinstellungen. Das Content-Inspection-Profile1 wird für den IDS-Dienst 1 erstellt.
Hinweis: Der IP-Tunnelparameter darf nur für Layer 3 IDS-Topologie verwendet werden. Andernfalls müssen Sie die Egress-Schnittstelle mit der Option Egress VLAN verwenden.
您一个der Eingabeaufforderung Folgendes静脉:
add contentInspection profile
Beispiel:
添加contentInspection概要IDS_profile1类型MIRROR - ipTunnel ipsect_tunnel1
Inhaltsinspektionsprofil 2 für Typ MIRROR für IDS Service 2 hinzufügen
Das Content Inspection Profile 2 wird für Service 2 hinzugefügt, und das Inline-Gerät kommuniziert über die Egress-1/1-Schnittstelle mit der Appliance.
您一个der Eingabeaufforderung Folgendes静脉:
add contentInspection profile
Beispiel:
add contentInspection profile IDS_profile2 -type ANY – ipTunnel ipsect_tunnel2
Add IDS service 1 of type ANY for IDS device 1
Nachdem Sie die Inhaltsinspektion aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 1 für Inline-Gerät 1 hinzufügen, um Teil des Lastausgleichs zu sein. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
您一个der Eingabeaufforderung Folgendes静脉:
add service
Beispiel:
add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF
Hinweis:
Die im Beispiel erwähnte IP-Adresse ist eine Dummy-Adresse.
Add IDS service 2 of type ANY for IDS device 2
Nachdem Sie die Inhaltsinspektion aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 2 für Inline-Gerät 2 hinzufügen. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
您一个der Eingabeaufforderung Folgendes静脉:
add service
Beispiel:
添加服务IDS_service 80 -contentIns 1.1.2任何pectionProfileName IDS_profile2
Hinweis:
Die im Beispiel erwähnte IP-Adresse ist eine Dummy-Adresse.
Hinzufügen eines virtuellen Lastausgleichsservers
Nachdem Sie das Inline-Profil und die Dienste hinzugefügt haben, müssen Sie einen virtuellen Lastausgleichsserver für den Lastenausgleich der Dienste hinzufügen.
您一个der Eingabeaufforderung Folgendes静脉:
add lb vserver
Beispiel:
add lb vserver lb-IDS_vserver ANY 1.1.1.2
IDS-Dienst 1 zum Lastenausgleich eines virtuellen Servers binden
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie nun den virtuellen Lastausgleichsserver an den ersten Dienst.
您一个der Eingabeaufforderung Folgendes静脉:
bind lb vserver
Beispiel:
bind lb vserver lb-IDS_vserver IDS_service1
IDS-Dienst 2 zum Lastenausgleich eines virtuellen Servers binden
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie den Server nun an den zweiten Dienst.
您一个der Eingabeaufforderung Folgendes静脉:
bind lb vserver
Beispiel:
bind lb vserver lb-IDS_vserver IDS_service2
Hinzufügen von Inhaltsüberprüfungsaktion für den IDS-Dienst
Nachdem您死Funktion异烟肼altsüberprüfung aktiviert haben, müssen Sie die Aktion Inhaltsüberprüfung für die Verarbeitung der Inline-Anforderungsinformationen hinzufügen. Basierend auf der ausgewählten Aktion lässt die Appliance den Datenverkehr senkt, zurücksetzt, blockiert oder sendet ihn an das IDS-Gerät.
您一个der Eingabeaufforderung Folgendes静脉:
add contentInspection action
Beispiel:
add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver
Inhaltsüberprüfungsrichtlinie für die Inspektion hinzufügen
Nachdem Sie eine Aktion zur Inhaltsüberwachung erstellt haben, müssen Sie die Inhaltsinspektionsrichtlinie hinzufügen, um Serviceanfragen zu bewerten.
您一个der Eingabeaufforderung Folgendes静脉:
add contentInspection policy
Beispiel:
add contentInspection policy IDS_pol1 –rule true –action IDS_action
Hinzufügen von virtuellem Content Switching- oder Lastausgleichsserver vom Typ HTTP/SSL
Fügen Sie einen virtuellen Content Switching-Server oder zum Lastenausgleich hinzu, um Webdatenverkehr zu akzeptieren. Außerdem müssen Sie die Layer2-Verbindung auf dem virtuellen Server aktivieren.
Weitere Informationen zum Lastenausgleich finden Sie unterFunktionsweise des Lastenausgleichs.
您一个der Eingabeaufforderung Folgendes静脉:
add lb vserver
Beispiel:
add lb vserver http_vserver HTTP 1.1.1.1 8080
Bind Content Inspection Policy für den Lastenausgleich virtueller Server vom Typ HTTP/SSL
Sie müssen den virtuellen Content Switching- oder Lastausgleichsserver des Typs HTTP/SSL an die Inhaltsüberprüfungsrichtlinie binden.
您一个der Eingabeaufforderung Folgendes静脉:
bind lb vserver
Beispiel:
bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
Konfigurieren der Inline-Dienstintegration über die Citrix ADC GUI
- Navigieren Sie zuSicherheit>Inhaltsinspektion>ContentInspection-Profile.
- Klicken Sie auf der SeiteContentInspection-ProfilaufHinzufügen.
- Legen Sie auf der Seite ContentInspectionProfile erstellendie folgenden Parameter fest.
- Profilname Name des Content-Inspektionsprofils für IDS.
- Geben Sie ein. Wählen Sie die Profiltypen als MIRROR aus.
- Konnektivität. Layer-2- oder Layer-3-Schnittstelle.
- IP-Tunnel. Wählen Sie den Netzwerkkommunikationskanal zwischen den beiden Netzwerken aus.
Klicken Sie aufErstellen.
- Navigieren Sie zuTraffic Management>Load Balancing>Services, und klicken Sie aufHinzufügen.
- Geben Sie auf der SeiteLoad Balancing Servicedie Details des Content-Inspektionsdienstes ein.
- Klicken Sie im AbschnittErweiterte EinstellungenaufProfile.
- Gehen Sie zum AbschnittProfileund klicken Sie auf dasBleistiftsymbol, um das Content-Inspektionsprofil hinzuzufügen.
Klicken Sie aufOK.
- Navigieren Sie zuLastenausgleich>Server. Fügen Sie einen virtuellen Server vom Typ HTTP oder SSL hinzu.
- Nachdem Sie die Serverdetails eingegeben haben, klicken Sie aufOKund erneut aufOK.
- Klicken Sie im AbschnittErweiterte EinstellungenaufRichtlinien.
- Gehen Sie in den AbschnittRichtlinienund klicken Sie auf dasBleistift-Symbol, um die Richtlinie zur Inhaltsüberprüfung zu konfigurieren
- Wählen Sie auf der SeiteRichtlinie auswählendie OptionInhaltsübersichtaus. Klicken Sie aufWeiter.
- Klicken Sie im AbschnittRichtlinienbindungauf +, um eine Richtlinie zur Inhaltsüberwachung hinzuzufügen.
- GebenSie auf der Seite CI-Richtlinie erstelleneinen Namen für die Inline-Inhaltsüberprüfungsrichtlinie ein.
- Klicken Sie im FeldAktionauf das Zeichen +, um eine IDS-Inhaltsprüfung vom Typ MIRROR zu erstellen.
- Legen Sie auf der Seite CI-Aktion erstellendie folgenden Parameter fest.
- Name. Name der Inhaltsüberprüfung Inline-Richtlinie.
- Geben Sie ein. Wählen Sie den Typ als MIRROR aus.
- Servername: Wählen Sie den Server-/Dienstnamen als Inline-Geräte aus.
- Wenn Server heruntergefahren ist. Wählen Sie einen Vorgang aus, wenn der Server ausfällt.
- Zeitüberschreitung der Anforderung. Wählen Sie einen Zeitüberschreitungswert aus. Standardwerte können verwendet werden.
- Zeitüberschreitungsaktion anfordern. Wählen Sie eine Zeitüberschreitungsaktion aus. Standardwerte können verwendet werden.
Klicken Sie aufErstellen.
- GebenSie auf der Seite CI-Richtlinie erstellenweitere Details ein.
- Klicken Sie aufOKundschließen.
Informationen zur Citrix ADC GUI-Konfiguration für den Lastenausgleich und das Replizieren des Datenverkehrs auf IDS-Geräte finden Sie unterLoad Balancing.
Informationen zur Citrix ADC GUI-Konfiguration für den Lastenausgleich und Weiterleiten des Datenverkehrs an den Back-End-Ursprungsserver nach der Content-Transformation finden Sie unter Load Balancing.