Integrieren von NetScaler mit passiven Sicherheitsgeräten (Intrusion Detection System)
Eine NetScaler-Appliance ist jetzt in passive Sicherheitsgeräte wie das Intrusion Detection System (IDS) integriert. Diese passiven Geräte speichern Protokolle und lösen Warnungen aus, wenn sie einen schlechten oder nicht konformen Datenverkehr erkennen. Es generiert auch Berichte für den Compliance-Zweck. Wenn die NetScaler-Appliance in zwei oder mehr IDS-Geräte integriert ist und wenn ein hohes Verkehrsaufkommen vorhanden ist, kann die Appliance die Geräte ausgleichen, indem der Datenverkehr auf virtueller Serverebene geklont wird.
毛皮erweiterten Sicherheitsschutz这NetScaler-Appliance in passive Sicherheitsgeräte wie IDS integriert, die im Nur-Erkennungsmodus bereitgestellt werden. Diese Geräte speichern Protokolle und lösen Warnungen aus, wenn ein schlechter oder nicht konformer Datenverkehr festgestellt wird. Es generiert auch Berichte für den Compliance-Zweck. Im Folgenden sind einige der Vorteile der Integration des NetScaler in ein IDS-Gerät aufgeführt.
- Überprüfung des verschlüsselten Datenverkehrs. Die meisten Sicherheitsgeräte Bypass den verschlüsselten Datenverkehr, wodurch Server anfällig für Angriffe sind. Eine NetScaler-Appliance kann den Datenverkehr entschlüsseln und an IDS-Geräte senden, um die Netzwerksicherheit des Kunden zu verbessern.
- Entladen von Inline-Geräten von der TLS/SSL-Verarbeitung. Die TLS/SSL-Verarbeitung ist teuer und führt zu einer hohen System-CPU in Intrusion-Detection-Geräten, wenn sie den Datenverkehr entschlüsseln. Da der verschlüsselte Datenverkehr schnell zunimmt, können diese Systeme den verschlüsselten Datenverkehr nicht entschlüsseln und überprüfen. NetScaler hilft beim Auslagern des Datenverkehrs von der TLS/SSL-Verarbeitung auf IDS-Geräte. Diese Art der Datenauslagerung führt dazu, dass ein IDS-Gerät ein hohes Verkehrsaufkommen unterstützt.
- Laden ausgleichender IDS-Geräte. Die NetScaler-Appliance gleicht mehrere IDS-Geräte aus, wenn ein hohes Verkehrsaufkommen besteht, indem der Datenverkehr auf virtueller Serverebene geklont wird.
- Replikation des Datenverkehrs auf passive Geräte. Der in die Appliance fließende Datenverkehr kann auf andere passive Geräte repliziert werden, um Konformitätsberichte zu erstellen. Zum Beispiel schreiben nur wenige Regierungsbehörden vor, dass jede Transaktion in einigen passiven Geräten protokolliert wird.
- Fächern des Datenverkehrs zu mehreren passiven Geräten. Einige Kunden ziehen es vor, eingehenden Datenverkehr auf mehrere passive Geräte aufzufächern oder zu replizieren.
- Intelligente Auswahl des Verkehrs. Jedes Paket, das in die Appliance fließt, muss möglicherweise nicht inhaltlich geprüft werden, z. B. Der Benutzer kann die NetScaler-Appliance so konfigurieren, dass ein bestimmter Datenverkehr (z. B. EXE-Dateien) zur Überprüfung ausgewählt und der Datenverkehr zur Datenverarbeitung an IDS-Geräte gesendet wird.
Wie NetScaler in ein IDS-Gerät mit L2-Konnektivität integriert ist
Das folgende Diagramm zeigt, wie IDS in eine NetScaler-Appliance integriert ist.
Die Wechselwirkung der Komponenten ist wie folgt gegeben:
- Ein Client sendet eine HTTP/HTTPS-Anforderung an die NetScaler-Appliance.
- Die Appliance fängt den Datenverkehr ab und repliziert ihn auf ein IDS-Gerät basierend auf der Bewertung der Inhaltsüberprüfungsrichtlinie.
- Wenn der Datenverkehr verschlüsselt ist, entschlüsselt die Appliance die Daten und sendet sie als Nur-Text.
- Basierend auf der Bewertung der Richtlinien wendet die Appliance eine Inhaltsinspektionsaktion vom Typ “MIRROR” an
- In der Aktion ist der IDS-Dienst oder der Lastausgleichsdienst (für mehrere IDS-Geräteintegrationen) konfiguriert.
Das IDS-Gerät ist auf der Appliance als Content-Inspection-Diensttyp “Beliebig” konfiguriert. Der Inhaltsinspektionsdienst wird dann dem Inhaltsinspektionsprofil vom Typ “MIRROR” zugeordnet, das die Ausgangsschnittstelle angibt, über die die Daten an das IDS-Gerät weitergeleitet werden müssen. Optional können Sie auch ein VLAN-Tag im Inhaltsüberprüfungsprofil konfigurieren.
Hinweis:
- Die für den IDS-Dienst oder -Server verwendete IP-Adresse ist eine Dummy-Adresse.
- Die NetScaler-Appliance unterstützt keinen LA-Kanal für die Ausgangsschnittstelle.
- Die Appliance repliziert dann die Daten über die Ausgangsschnittstelle auf ein oder mehrere IDS-Geräte.
- Wenn der Back-End-Server eine Antwort an den NetScaler sendet, repliziert die Appliance die Daten und leitet sie an das IDS-Gerät weiter.
- Wenn Ihre Appliance in ein oder mehrere IDS-Geräte integriert ist und Sie den Lastausgleich der Geräte bevorzugen, können Sie den virtuellen Lastausgleichsserver verwenden.
Softwarelizenzierung
Um die Inline-Gerätintegration bereitzustellen, muss Ihre NetScaler-Appliance mit einer der folgenden Lizenzen ausgestattet sein:
- ADC Premium
- ADC Advanced
- Telco Fortgeschrittene
- Telco Premium
Konfigurieren der Einbruchmelde-Systemintegration
Sie können das IDS-Gerät auf zwei verschiedene Arten in den NetScaler integrieren.
Szenario 1: Integration mit einem einzigen IDS-Gerät
Im Folgenden sind die Schritte aufgeführt, die Sie mithilfe der Befehlszeilenschnittstelle konfigurieren müssen.
- Inhaltsüberprüfung aktivieren
- Inhaltsüberprüfungsprofil vom Typ MIRROR für den Dienst, der das IDS-Gerät
- IDS-Dienst vom Typ “ANY” hinzufügen
- Inhaltsüberprüfungsaktion vom Typ “MIRROR” hinzugefügt
- Inhaltsüberprüfungsrichtlinie für die IDS-Überprüfung hinzufügen
- Binden Sie die Inhaltsüberprüfungsrichtlinie an den virtuellen Content Switching- oder Lastausgleichsdienst des Typs HTTP/SSL
Inhaltsüberprüfung aktivieren
Wenn Sie möchten, dass die NetScaler-Appliance den Inhalt zur Überprüfung an die IDS-Geräte sendet, müssen Sie die Funktionen Inhaltsüberprüfung und den Lastausgleich unabhängig von der Entschlüsselung aktivieren.
Geben Sie in der Befehlszeile Folgendes ein:
enable ns feature contentInspection LoadBalancing
Inhaltsinspektionsprofil vom Typ “MIRROR”
Das Inhaltsinspektionsprofil vom Typ “MIRROR” erklärt, wie Sie eine Verbindung zum IDS-Gerät herstellen können. Geben Sie an der Eingabeaufforderung ein.
add contentInspection profile
Beispiel:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10
IDS-Dienst hinzufügen
Sie müssen einen Dienst vom Typ “ANY” für jedes IDS-Gerät konfigurieren, das in die Appliance integriert ist. Der Dienst hat die IDS-Gerätekonfigurationsdetails. Der Dienst stellt das IDS-Gerät dar.
Geben Sie in der Befehlszeile Folgendes ein:
add service
Beispiel:
add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF
Inhaltsüberprüfungsaktion vom Typ MIRROR für IDS-Dienst hinzufügen
Nachdem Sie die Funktion Inhaltsüberprüfung aktiviert und anschließend das IDS-Profil und den Dienst hinzugefügt haben, müssen Sie die Aktion Inhaltsüberprüfung für die Bearbeitung der Anforderung hinzufügen. Basierend auf der Inhaltsüberprüfungsaktion kann die Appliance Daten löschen, zurücksetzen, blockieren oder an das IDS-Gerät senden.
Geben Sie in der Befehlszeile Folgendes ein:
add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>
Beispiel:
add ContentInspection action IDS_action -type MIRROR –serverName IDS_service
Inhaltsüberprüfungsrichtlinie für die IDS-Überprüfung hinzufügen
Nachdem您一张Inhaltsuberprufungsaktion erstellt haben, müssen Sie Richtlinien für die Inhaltsüberprüfung hinzufügen, um Überprüfungsanfragen zu bewerten. Die Richtlinie basiert auf einer Regel, die aus einem oder mehreren Ausdrücken besteht. Die Richtlinie bewertet und wählt den zu überprüfenden Verkehr basierend auf der Regel aus.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection policy < policy_name > –rule
Beispiel:
add contentInspection policy IDS_pol1 –rule true –action IDS_action
Binden Sie die Inhaltsüberprüfungsrichtlinie an den virtuellen Content Switching- oder Lastausgleichsdienst des Typs HTTP/SSL
Um den Webverkehr zu empfangen, müssen Sie einen virtuellen Lastausgleichsserver hinzufügen. Geben Sie in der Befehlszeile Folgendes ein:
add lb vserver
Beispiel:
add lb vserver HTTP_vserver HTTP 1.1.1.3 8080
Binden der Richtlinie zur Inhaltsüberprüfung an den virtuellen Server mit Content Switching oder den virtuellen Lastausgleichsserver vom Typ
Sie müssen den virtuellen Load Balancing-Server oder den virtuellen Content Switching-Server vom Typ HTTP/SSL an die Inhaltsüberprüfungsrichtlinie binden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver
Beispiel:
bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
Szenario 2: Lastenausgleich für mehrere IDS-Geräte
Wenn Sie zwei oder mehr IDS-Geräte verwenden, müssen Sie die Last der Geräte mithilfe verschiedener Inhaltsüberprüfungsdienste ausgleichen. In diesem Fall gleicht die NetScaler-Appliance die Geräte aus, zusätzlich zum Senden einer Teilmenge des Datenverkehrs an jedes Gerät. Grundlegende Konfigurationsschritte finden Sie in Szenario 1.
Im Folgenden sind die Schritte aufgeführt, die Sie mithilfe der Befehlszeilenschnittstelle konfigurieren müssen.
- Inhaltsüberprüfungsprofil 1 vom Typ MIRROR für IDS-Dienst 1 hinzufügen
- Inhaltsüberprüfungsprofil 2 vom Typ MIRROR für IDS-Dienst 2 hinzufügen
- IDS-Dienst 1 vom Typ ANY für IDS-Gerät 1 hinzufügen
- IDS-Dienst 2 vom Typ ANY für IDS-Gerät 2 hinzufügen
- Hinzufügen eines virtuellen Lastausgleichsservers vom Typ ANY
- IDS-Dienst 1 an den virtuellen Lastausgleichsserver binden
- IDS-Dienst 2 an den virtuellen Lastausgleichsserver binden
- Fügen Sie eine Inhaltsüberprüfungsaktion für den Lastausgleich von IDS-Geräten hinzu.
- Inhaltsüberprüfungsrichtlinie zur Überprüfung hinzufügen
- Hinzufügen eines virtuellen Content Switching- oder Lastausgleichsservers vom Typ HTTP/SSL
- Richtlinie这苏珥是我nhaltsüberprüfung an einen virtuellen Lastausgleichsserver vom Typ HTTP/SSL binden
Inhaltsüberprüfungsprofil 1 vom Typ MIRROR für IDS-Dienst 1 hinzufügen
Die IDS-Konfiguration kann in einer Entität angegeben werden, die als Inhaltsprüfprofil bezeichnet wird. Das Profil hat eine Sammlung von Geräteeinstellungen. Das Inhaltsüberprüfungsprofil1 wird für den IDS-Dienst 1 erstellt.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection profile
Beispiel:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1
Inhaltsüberprüfungsprofil 2 für den Typ MIRROR für IDS-Dienst 2
Das Inhaltsinspektionsprofil 2 wird für Dienst 2 hinzugefügt, und das Inline-Gerät kommuniziert mit der Appliance über die Ausgangsschnittstelle 1/1.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection profile
Beispiel:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1
IDS-Dienst 1 vom Typ ANY für IDS-Gerät 1 hinzufügen
Nachdem Sie die Funktion Inhaltsüberprüfung aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 1 für das Inline-Gerät 1 hinzufügen, um Teil des Lastausgleichs-Setups zu sein. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
Geben Sie in der Befehlszeile Folgendes ein:
add service
Beispiel:
add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF
Hinweis
Bei der im Beispiel genannten IP-Adresse handelt es sich um eine Scheinadresse.
IDS-Dienst 2 vom Typ ANY für IDS-Gerät 2 hinzufügen
Nachdem Sie die Inhaltsinspektionsfunktion aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 2 für das Inline-Gerät 2 hinzufügen. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
Geben Sie in der Befehlszeile Folgendes ein:
add service
Beispiel:
add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2
Hinweis
Bei der im Beispiel genannten IP-Adresse handelt es sich um eine Scheinadresse.
Virtuellen Lastausgleichsserver hinzufügen
Nachdem Sie das Inline-Profil und die Dienste hinzugefügt haben, müssen Sie einen virtuellen Lastausgleichsserver für den Lastenausgleich der Dienste hinzufügen.
Geben Sie in der Befehlszeile Folgendes ein:
add lb vserver
Beispiel:
add lb vserver lb-IDS_vserver ANY 1.1.1.2
IDS-Dienst 1 an den virtuellen Lastausgleichsserver binden
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie nun den virtuellen Lastausgleichsserver an den ersten Dienst.
Geben Sie in der Befehlszeile Folgendes ein:
bind lb vserver
Beispiel:
bind lb vserver lb-IDS_vserver IDS_service1
IDS-Dienst 2 an den virtuellen Lastausgleichsserver binden
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie den Server nun an den zweiten Dienst.
Geben Sie in der Befehlszeile Folgendes ein:
bind lb vserver
Beispiel:
bind lb vserver lb-IDS_vserver IDS_service2
Inhaltsüberprüfungsaktion für den IDS-Dienst hinzufügen
Nachdem Sie die Funktion Inhaltsüberprüfung aktiviert haben, müssen Sie die Aktion Inhaltsüberprüfung für die Verarbeitung der Inline-Anforderungsinformationen hinzufügen. Basierend auf der ausgewählten Aktion verwirft, setzt die Appliance den Datenverkehr zurück, blockiert oder sendet ihn an das IDS-Gerät.
Geben Sie in der Befehlszeile Folgendes ein:
add contentInspection action
Beispiel:
add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver
Inhaltsüberprüfungsrichtlinie zur Überprüfung hinzufügen
Nachdem您一张Inhaltsuberprufungsaktion erstellt haben, müssen Sie eine Inhaltsüberprüfungsrichtlinie hinzufügen, um Serviceanfragen zu bewerten.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection policy
Beispiel:
add contentInspection policy IDS_pol1 –rule true –action IDS_action
Hinzufügen eines virtuellen Content Switching- oder Lastausgleichsservers vom Typ HTTP/SSL
Fügen Sie einen virtuellen Content Switching- oder Lastausgleichsserver hinzu, um Webverkehr zu akzeptieren Außerdem müssen Sie die Layer2-Verbindung auf dem virtuellen Server aktivieren.
Weitere Informationen zum Lastenausgleich finden Sie unterFunktionsweise des Lastenausgleichs.
Geben Sie in der Befehlszeile Folgendes ein:
add lb vserver
Beispiel:
add lb vserver http_vserver HTTP 1.1.1.1 8080
Richtlinie这苏珥是我nhaltsüberprüfung an einen virtuellen Lastausgleichsserver vom Typ HTTP/SSL binden
Sie müssen den virtuellen Content Switching- oder Load Balancing-Server vom Typ HTTP/SSL an die Richtlinie zur Inhaltsüberprüfung binden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver
Beispiel:
bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
Konfigurieren der Inline-Serviceintegration mithilfe der NetScaler GUI
- Navigieren Sie zuSicherheit>Inhaltsüberprüfung>Inhaltsüberprüfungsprofile.
- Klicken Sie auf derSeite InhaltsüberprüfungsprofilaufHinzufügen.
- Legen Sie auf der SeiteInhaltsüberprüfungsprofil erstellendie folgenden Parameter fest.
- Name des Profils. Name des Inhaltsinspektionsprofils für IDS.
- Typ. Wählen Sie die Profiltypen als MIRROR aus.
- Ausgangsschnittstelle. Die Schnittstelle, über die der Datenverkehr vom NetScaler zum IDS-Gerät gesendet wird.
- Ausgang-VLAN (optional). Die Schnittstellen-VLAN-ID, über die der Datenverkehr an das IDS-Gerät gesendet wird.
Klicken Sie aufErstellen.
- Navigieren Sie zuTraffic Management>Load Balancing>Servicesund klicken Sie aufHinzufügen
- Geben Sie auf der SeiteLoad Balancing Servicedie Details des Inhaltsüberprüfungsdienstes ein.
- Klicken Sie im Abschnitt“Erweiterte Einstellungen“ auf “Profile”.
- Gehen Sie zum AbschnittProfileund klicken Sie auf dasBleistiftsymbol, um das Inhaltsüberprüfungsprofil hinzuzufügen.
Klicken Sie aufOK.
- Navigieren Sie zuLoad Balancing>Server. Fügen Sie einen virtuellen Server vom Typ HTTP oder SSL hinzu.
- Nachdem Sie die Serverdetails eingegeben haben, klicken Sie aufOKund erneut aufOK.
- Klicken Sie im Abschnitt“Erweiterte Einstellungen“ aufRichtlinien.
- Gehen Sie zum AbschnittRichtlinienund klicken Sie auf dasStiftsymbol, um die Inhaltsüberprüfungsrichtlinie zu konfigurieren.
- Wählen Sie auf der SeiteRichtlinie auswählendie OptionInhaltsübersichtaus. Klicken Sie aufWeiter.
- Klicken Sie im AbschnittRichtlinienbindungauf “+”, um eine Richtlinie zur Inhaltsüberprüfung hinzuzufügen.
- Geben Sie auf der SeiteCI-Richtlinie erstelleneinen Namen für die Richtlinie zur Inline-Inhaltsüberprüfung ein.
- Klicken Sie im FeldAktionauf das “+” -Zeichen, um eine IDS-Inhaltsüberprüfungsaktion vom Typ MIRROR zu erstellen.
Stellen Sie auf der SeiteCI-Aktion erstellendie folgenden Parameter ein.
- Name. Name der Inline-Richtlinie zur Inhaltsüberprüfung.
- Typ. Wählen Sie den Typ als MIRROR.
- Servername. Wählen Sie den Server-/Dienstnamen als Inline-Geräte aus.
- Wenn Server ausgefallen ist. Wählen Sie einen Vorgang aus, wenn der Server ausfällt.
- Zeitüberschreitung anfragen. Wählen Sie einen Timeoutwert aus. Standardwerte können verwendet werden.
- Timeout-Aktion anfordern. Wählen Sie eine Zeitüberschreitungsaktion aus. Standardwerte können verwendet werden.
Klicken Sie aufErstellen.
- GebenSie auf der Seite CI-Richtlinie erstellenweitere Details ein.
- Klicken Sie aufOKund aufSchließen.
Informationen zur NetScaler GUI-Konfiguration für den Lastenausgleich und das Replizieren des Datenverkehrs auf IDS-Geräte finden Sie unter Load Balancing.
Informationen zur NetScaler GUI-Konfiguration für den Lastenausgleich und das Weiterleiten des Datenverkehrs nach der Inhaltstransformation an den Back-End-Ursprungsserver finden Sie unter ThemaLoad Balancing.