Citrix网关的速率限制
Citrix Gateway的速率限制功能使您能够定义Citrix Gateway设备上给定网络实体或虚拟实体的最大负载。由于Citrix Gateway设备消耗所有未经验证的流量,因此该设备经常以高速率处理请求。速率限制功能使您能够配置Citrix网关设备以监控与实体关联的流量速率,并根据流量实时采取预防措施。有关速率限制在Citrix ADC设备中如何工作的更多信息,请参阅速率限制.
Citrix ADC具有速率限制功能,可为后端服务器提供意外速率保护。由于Citrix ADC的功能不支持Citrix Gateway处理的未经验证的流量,Citrix Gateway需要自己的速率限制功能。这是检查Citrix网关设备暴露于各种来源的请求的意外率所必需的。例如,未经身份验证/登录/控制请求以及为最终用户或设备验证而公开的某些API。
速率限制的常见用例
限制每秒来自URL的请求数。
如果请求超过速率限制,则根据从特定主机收到的请求中的cookie删除连接。
限制来自同一主机(具有特定子网掩码)且具有相同目标IP地址的HTTP请求数。
配置Citrix网关的速率限制
先决条件
已配置的身份验证虚拟服务器。
注意事项
在配置步骤中,配置了样本限制标识符。可以使用所有支持的参数(如流选择器、模式)配置相同的参数。有关速率限制功能的详细说明,请参阅速率限制.
该政策还可以如下绑定到VPN虚拟服务器。您需要配置的VPN虚拟服务器使用以下命令绑定的策略。
绑定VPN虚拟服务器-policy denylogin -pri 1型aaa_request <! - NeedCopy - >AAA_请求是新引入的响应程序策略绑定点。在此绑定点配置的策略将应用于指定虚拟服务器上的所有传入请求。在任何其他处理之前,将首先对未经验证/控制的流量处理这些策略。
将策略绑定到Citrix Gateway虚拟服务器可在AAA_请求绑定点对Citrix Gateway消耗的所有流量(包括未经验证的请求)进行速率限制。
该策略绑定到一个认证虚拟服务器率限制未经身份验证/控制请求击中认证虚拟服务器。
配置速率通过使用命令行界面,在命令提示限制性的,键入以下命令:
添加limitIdentifier-阈值<正整数>-时间片<正整数>-模式<模式类型>--需要复制--> 示例:添加限制标识符限制一次登录-阈值10-时间片4294967290-模式请求速率<--需要复制-->添加responderaction denylogin respondwith“‘HTTP / 1.1 200 OK \ r \ n \ r \ n’+‘请求被拒绝,由于不寻常的速度’” <! - NeedCopy - >添加响应政策denylogin 'sys.check_limit( “limit_one_login”)' denylogin <! - NeedCopy - >绑定身份验证vserver-策略denylogin–pri 1–键入aaa_请求<!--NeedCopy--> 例如:绑定认证vServer authvserver -policy denylogin -pri 1型aaa_request <! - NeedCopy - >参数描述
有限标识符-速率限制标识符的名称。必须以ASCII字母或下划线(_)字符开头,并且只能由ASCII字母数字或下划线字符组成。不得使用保留字。这是一个强制参数。最大长度:31
临界点 -当每个时间片跟踪请求(模式设置为REQUEST_RATE)时,给定时间片中允许的最大请求数。跟踪连接(模式设置为连接)时,将允许通过的连接总数。默认值:1最小值:1最大值:4294967295
时间片-时间间隔(毫秒),以10的倍数指定,在此期间跟踪请求以检查它们是否超过阈值。仅当模式设置为“请求速率”时才需要此参数。默认值:1000最小值:10最大值:4294967295
模式 -定义要跟踪的通信量的类型。
- REQUEST_RATE -跟踪请求/时间片。
- CONNECTION - 跟踪交易活跃。
要使用Citrix ADC GUI配置速率限制:
引导到AppExpert>速率限制>限制标识符, 点击添加并且在CLI部分指定指定有关细节。
![创建限制标识]()
.引导到的AppExpert>响应>策略.上响应政策第页,单击添加.
上创建响应策略页,创建带有具有限制标识符的响应器操作的响应器策略。
要创建响应程序操作,请单击添加旁边行动并输入响应程序操作的名称。
选择类型为回应从下拉菜单中,指定以下表达式,“HTTP/1.1 200 OK\r\n\r\n”+“由于异常速率,请求被拒绝”,然后单击创造.
![创建响应程序操作]()
要创建一个响应政策,对创建响应策略页面中,输入响应程序策略的名称,指定以下表达式“sys.check_limit(“limit_one_login”)”,然后单击创造.
![创建响应程序策略]()
将响应程序策略绑定到身份验证虚拟服务器。
- 一种。去安全性>AAA应用程序流量>虚拟服务器.
- 湾选择虚拟服务器。
- C。添加策略。
- D选择要绑定到服务器的响应程序策略,设置优先级。
- E选择类型为AAA请求然后点击继续.
![绑定政策]()
.
注:您还可以在VPN虚拟服务器的AAA_请求绑定点启用速率限制。
用于将速率限制应用到Citrix Gateway的常用用例的配置
下面是配置常用的用例的命令的例子。
限制每秒来自URL的请求数。
添加流选择器ipStreamSelector http.req.url“client.ip.src”添加ns限制标识符ipLimitIdentifier–阈值4–时间片1000–模式请求速率–限制类型平滑–选择名称ip流选择器添加响应程序策略ipLimitResponderPolicy“http.req.url.contains(\'myasp.asp\”)&&sys.check\u limit(“ipLimitIdentifier\”)myWebSiteRedirectAction绑定身份验证虚拟服务器authvserver-策略denylogin–pri 1–键入aaa\u请求<!--NeedCopy-->如果请求超过速率限制丢弃基于来自www.yourcompany.com请求收到饼干的连接。
添加流选择器cacheStreamSelector“http.req.cookie.value(\“mycookie\”)”client.ip.src.subnet(24)“添加ns限制标识符myLimitIdentifier–阈值2–时间片3000–选择名称reqCookieStreamSelector添加响应程序操作sendRedirectURL redirect`”http://www.mycompany.com\"`+http.req.url“添加响应程序策略速率限制CookiePolicy”http.req.url.contains(\www.yourcompany.com\)和&sys.check\u limit(\“myLimitIdentifier\”)sendRedirectUrl<!--NeedCopy-->限制来自同一主机(子网掩码为32)且具有相同目标IP地址的HTTP请求数。
添加流选择ipv6_sel“CLIENT.IPv6.src.subnet(32)” CLIENT.IPv6.dst Q.URL添加纳秒limitIdentifier ipv6_id -imeSlice 20000 -selectorName ipv6_sel添加磅虚拟服务器ipv6_vip HTTP为3ffe :: 209 80 -persistenceType NONE -cltTime附加响应行动redirect_page重定向“\”`HTTP://redirectpage.com/ \”“`添加响应政策ipv6_resp_pol‘SYS.CHECK_LIMIT(\’ipv6_id \”)” redirect_page绑定响应全球ipv6_resp_pol 5 END型DEFAULT < -NeedCopy - >