与思杰ADC的内联设备集成
IPS (Intrusion Prevention System)、NGFW (Next Generation Firewall)等安全设备可以保护服务器免受网络攻击。这些设备以二层内联模式部署,主要功能是保护服务器免受网络攻击,并报告网络中的安全威胁。
为了防止易受攻击的威胁并提供高级安全保护,Citrix ADC设备与一个或多个内联设备集成在一起。直连设备可以是任意安全设备,如IPS、NGFW等。
以下是将内联设备集成到Citrix ADC设备中受益的一些用例:
- 检查加密流量。大多数IPS和NGFW设备绕过加密流量,使服务器容易受到攻击。Citrix ADC设备可以解密通信并将其发送到内联设备进行检查。增强了客户的网络安全性。
- 从TLS/SSL处理中卸载内联设备。TLS/SSL处理是昂贵的,如果解密流量,可能会导致IPS或NGFW设备的系统CPU占用过高。随着加密流量的快速增长,这些系统无法对加密流量进行解密和检测。Citrix ADC有助于从TLS/SSL处理中卸载内联设备。这使得内联设备能够支持大量的流量检测。
- 负载平衡内联装置。当有大量流量时,Citrix ADC设备可以对多个内联设备进行负载平衡。
- 明智地选择交通。流入设备的每个数据包都可能经过内容检查,例如文本文件的下载。用户可以配置Citrix ADC设备,选择特定的流量(例如。exe文件)进行检测,并将流量发送到内联设备进行数据处理
Citrix ADC如何与内联设备集成
下图显示了Citrix ADC如何与内联安全设备集成。
当您将内联设备与Citrix ADC设备集成时,组件按照以下方式进行交互:
- 客户端向Citrix ADC设备发送请求。
- 设备接收请求并根据策略评估将其发送到内联设备。请注意:如果有两个或两个以上的内联设备,则设备负载平衡设备并发送流量。如果传入的流量是加密的,设备将解密数据并将其作为纯文本发送到内联设备以进行内容检查。
- 内联设备检查数据是否存在威胁,并决定是否丢弃、重置或将数据发送回设备。
- 如果存在安全威胁,设备将修改数据并将其发送到设备。
- 然后,Citrix ADC重新加密数据并将请求转发给后端服务器。
- 后端服务器将响应发送到Citrix ADC设备。
- 设备再次解密数据并将其发送到内联设备进行检查。
- 设备重新加密数据并将响应发送给客户端
软件许可
要部署内联设备集成,您的Citrix ADC设备必须配备以下许可证之一:
- ADC的溢价
- ADC先进
- 电信先进
- 电信的溢价
- SWG许可证
配置内联设备集成
您可以通过三种不同的方式使用内联设备配置Citrix ADC设备。配置场景如下:
使用单个内联设备的场景1
如果要以直插方式集成安全设备(IPS或NGFW),必须首先启用内容检测特性,并在全局模式下启用Citrix ADC的MBF(基于mac的转发)功能。启用这些特性后,还需要添加“内容检测”配置文件,添加“内容检测”动作,对内联设备进行基于检测的流量重置、阻断或丢弃。然后,为设备添加Content Inspection策略,以决定将哪个流量子集发送到内联设备。然后配置负载均衡虚拟服务器,使能二层连接。最后,将内容检查策略绑定到负载均衡虚拟服务器。
启用MBF(基于mac的转发)模式
如果希望将Citrix ADC设备集成到IPS或防火墙等内联设备中,则必须启用此模式。有关MBF的详细信息,请参见配置基于mac的转发主题。
在命令提示符下,输入:
使能ns mode MBF
启用内容检查
如果希望Citrix ADC设备解密,然后将内容发送到内联设备进行检查,则必须启用内容检查和负载平衡功能。
启用ns feature contentInspection LoadBalancing
增加二层连接方式
为了处理内联设备生成的响应,设备使用VLAN通道作为与内联设备通信的第2层方法(L2ConnMethod)。
在命令提示符下,输入:
set l4param -l2ConnMethod
例子set l4param -l2ConnMethod VlanChannel
为服务添加Content Inspection配置文件
Citrix ADC设备的内联设备配置可以在名为Content Inspection配置文件的实体中指定。该配置文件包含一组设置,说明如何与内联设备集成。
在命令提示符下,输入:
add contentInspection profile
例子:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 "
添加IPS-TCP监视器
如果要配置监视器,则需要添加用户定义的监视器。请注意:如果要配置监视器,则必须使用自定义监视器。添加监视器时,必须启用transparent参数。
在命令提示符下,输入:
add lb monitor
例子:
添加lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
添加服务
添加服务。指定一个虚拟IP地址,该地址不属于任何设备,包括内联设备。集使用源IP地址(USIP)到YES。集useproxyport没有。默认情况下,运行状况监视处于ON状态,将服务绑定到运行状况监视器,并将监视器中的TRANSPARENT选项设置为ON。在命令提示符下,输入:
add service
例子:
添加服务ips_service 192.168.10.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof . conf
添加运行状况监控器
默认情况下,运行状况监控器处于打开状态,您还可以选择在必要时禁用它。在命令提示符下,输入:
添加lb monitor
例子:
添加lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
将服务绑定到运行状况监控器
配置运行状况监控器后,必须将服务绑定到运行状况监控器。在命令提示符下,输入:
bind service
例子:
bind service ips_svc -monitorName ips_tcp
为服务添加内容检查操作
在启用Content Inspection特性并添加内联配置文件和服务之后,必须添加Content Inspection操作来处理请求。根据内容检查操作,内联设备可以在检查完数据后删除、重置或阻止操作。
当内联服务器或服务关闭时,可以配置ifserverdown参数,以执行以下操作之一。
CONTINUE:如果用户希望在远程服务器关闭时绕过内容检查,可以选择“CONTINUE”动作,默认为“CONTINUE”。RESET(默认):该动作通过关闭与RST的连接来响应客户端。DROP:该动作静默丢弃报文,不向用户发送响应。
在命令提示符下,输入:
add contentInspection action
add ContentInspection action
例子:
add ContentInspection action
添加内容巡检策略进行巡检
创建Content Inspection操作后,必须添加Content Inspection策略来评估检查请求。该策略基于由一个或多个表达式组成的规则。策略根据规则对流量进行评估,选择需要进行检测的流量。
在命令提示符下,输入以下命令:
add contentInspection policy
例子add contentInspection policy Inline_pol1 -rule true -action Inline_action
添加HTTP/SSL类型的内容交换或负载均衡虚拟服务器
为了接收web流量,必须添加负载均衡虚拟服务器。此外,您必须在虚拟服务器上启用layer2连接。
在命令提示符下,输入:
add lb vserver
例子:
add lb vserver HTTP_vserver HTTP 10.102.29.200 8080 -l2Conn ON
将内容检测策略绑定到HTTP/SSL类型的内容交换虚拟服务器或负载均衡虚拟服务器上
将HTTP/SSL类型的负载均衡虚拟服务器或内容交换虚拟服务器绑定到内容检测策略。在命令提示符下,输入以下命令:
bind lb vserver
例子:
bind lb vserver HTTP_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
场景2:多个内联设备使用专用接口负载均衡
如果使用两个或更多内联设备,则必须在专用VLAN设置中对使用不同内容检查服务的设备进行负载平衡。在这种情况下,Citrix ADC设备在通过专用接口向每个设备发送流量子集的基础上对设备进行负载平衡。基本配置步骤请参考场景1。
为service1添加内容检查配置文件e1
可以在名为Content Inspection配置文件的实体中指定Citrix ADC设备的内联配置。该配置文件有一组设备设置。内容检查配置文件e1是为内联服务1创建的,通信通过1/2和1/3专用接口。
在命令提示符下,输入:
add contentInspection profile
例子:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 "
为service2添加内容检查配置文件e2
为service2添加内容检查配置文件e2,并且内联设备通过该设备与设备通信1/4和1/5专用的接口。在命令提示符下,输入:
add contentInspection profile
例子:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface " 1/4 " -egressInterface " 1/5 "
为内联设备1添加业务1
启用内容检查功能并添加内联配置文件后,必须为内联设备1添加内联服务1,使其成为负载平衡设置的一部分。您添加的服务提供了所有内联配置详细信息。
在命令提示符下,输入:
add service
例子:
add service Inline_service1 10.102.29.200 TCP 80 -contentInspectionProfileName Inline_profile1 -healthmonitor OFF -usip ON -useproxyport OFF
为内联设备2添加业务2
启用内容检测特性并添加内联配置文件后,需要为内联设备2添加内联业务2。您添加的服务提供了所有内联配置详细信息。
在命令提示符下,输入:
add service
例子:
add service Inline_service1 10.29.20.205 TCP 80 -contentInspectionProfileName Inline_profile2 -healthmonitor OFF -usip ON -useproxyport OFF
添加负载均衡虚拟服务器
在添加了内联配置文件和服务后,必须添加负载均衡虚拟服务器来对服务进行负载均衡。
在命令提示符下,输入:
add lb vserver
例子:
添加lb vserver lb- inline_vserver TCP *
绑定业务1和负载均衡虚拟服务器
添加负载平衡虚拟服务器之后,现在将负载平衡虚拟服务器绑定到第一个服务。
在命令提示符下,输入:
绑定lb vserver
例子:
绑定lb vserver lb- inline_vserver Inline_service1
将业务2绑定到负载均衡虚拟服务器
添加负载平衡虚拟服务器之后,现在将服务器绑定到第二个服务。
在命令提示符下,输入:
绑定lb vserver
例子:
绑定lb vserver lb- inline_vserver Inline_service2
为服务添加内容检查操作
启用Content Inspection特性后,必须添加Content Inspection操作来处理内联请求信息。根据选择的操作,内联设备在检查给定的流量子集后丢弃、重置或阻塞。
在命令提示符下,输入:
add contentInspection action
add ContentInspection action < action_name > -type InlineINSPECTION -serverName Service_name/Vserver_name>
例子:
add ContentInspection action Inline_action -type InlineINSPECTION -serverName lb-Inline_vserver
添加内容巡检策略进行巡检
创建Content Inspection操作后,必须添加Content Inspection策略来评估服务请求。该策略基于由一个或多个表达式组成的规则。规则关联到Content Inspection操作,如果请求与规则匹配,则该操作关联。
在命令提示符下,输入以下命令:
add contentInspection policy
例子:
add contentInspection policy Inline_pol1 -rule true -action Inline_action
添加HTTP/SSL类型的内容交换或负载均衡虚拟服务器
添加一个内容交换或负载平衡虚拟服务器来接受web流量。此外,您必须在虚拟服务器上启用layer2连接。有关负载均衡的详细信息,请参见负载均衡如何工作的话题。
在命令提示符下,输入:
add lb vserver
例子:
add lb vserver http_vserver HTTP 10.102.29.200 8080 -l2Conn ON
将内容检测策略绑定到HTTP/SSL类型的负载均衡虚拟服务器
必须将HTTP/SSL类型的内容交换或负载均衡虚拟服务器绑定到内容检测策略上。
在命令提示符下,输入以下命令:
bind lb vserver
例子:
bind lb vserver http_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
场景3:多个内联设备使用共享接口负载均衡
如果您使用多个内联设备,并且希望在共享VLAN接口中使用不同服务的设备进行负载均衡,则可以参考此配置。使用共享VLAN接口的配置类似于用例2。基本配置请参考场景2。
绑定VLAN A并启用共享选项
在命令提示符下,输入以下命令:
绑定vlan
例子:
绑定vlan 100 -ifnum 1/2 tagged
绑定VLAN B并启用共享选项
在命令提示符下,输入以下命令:
绑定vlan
例子:
绑定vlan 200 -ifnum 1/3 tagged
绑定VLAN C并启用共享选项
在命令提示符下,输入以下命令:
绑定vlan
例子:
绑定vlan 300 -ifnum 1/2 tagged
绑定VLAN D并启用共享选项
在命令提示符下,输入以下命令:
绑定vlan
例子:
绑定vlan 400 -ifnum 1/3 tagged
为service1添加内容检查配置文件e1
可以在名为Content Inspection配置文件的实体中指定Citrix ADC设备的内联配置。该配置文件有一组设备设置。内容检查配置文件是为内联服务1创建的,通信通过1/2和1/3专用接口。
在命令提示符下,输入:
add contentInspection profile
例子:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 " -egressVlan 100 -ingressVlan 300 .使用实例
为service2添加内容检查配置文件e2
为service2添加内容检查配置文件e2,并且内联设备通过该设备与设备通信1/2和1/3专用的接口。
在命令提示符下,输入:
add contentInspection profile
例子:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 " -egressVlan 200 -ingressVlan 400 .使用实例
使用Citrix ADC GUI配置内联服务集成
- 登录到Citrix ADC设备并导航到配置选项卡页面。
- 导航到系统>设置>配置模式。
- 在配置模式页面,选择基于Mac的转发。
点击好吧和关闭。
- 导航到系统>设置>配置高级特性。
- 在配置高级特性页面,选择内容检查。
点击好吧和关闭。
- 导航到安全>内容检查>ContentInspection概要文件。
- 在ContentInspection概要文件页面,点击添加。
在创建ContentInspection配置文件界面,设置如下参数。
- 配置文件名称。内容检查配置文件的名称。
- 类型。选择配置文件类型为inlineInspection。
- 出口接口。设备通过该接口将流量从Citrix ADC发送到内联设备。
- 进入界面。设备通过该接口接收来自内联设备到Citrix ADC的流量。
- 出口VLAN。接口发送到内联设备的VLAN ID。
- 入口VLAN。接口VLAN ID,设备通过它接收从Inline到Citrix ADC的流量(如果已配置)。
- 点击创建和关闭。
- 导航到交通管理>负载平衡>服务并点击添加。
在服务界面,设置如下参数:
- 服务名称。负载均衡服务名称。
- IP地址。使用假IP地址。注意:没有设备必须拥有该IP地址。
- 协议。选择“协议类型”为TCP。
- 端口。输入*
- 健康监测。清除此选项,并仅在希望将服务绑定到TCP类型监视器时启用它。如果要将监视器绑定到服务,则使用
透明的选项必须为ON。请参阅步骤14,了解如何添加监视器以及如何将其绑定到服务。 - 点击好吧。
在设置节,编辑下面的内容并单击好吧。
- 使用代理端口:关闭
- 使用源IP地址:打开
- 在高级设置部分中,点击配置文件。
去配置文件节,并添加内联内容检查配置文件,单击好吧。
- 去监控节中,添加绑定>选择监控>添加。
- Name:监视器的名称
- 类型:选择TCP类型
- 目的IP,端口:目的IP地址和端口。
- 透明:开启
请注意:监控报文必须流经内联设备,才能监控内联设备的状态。
点击创建。
- 点击完成。
- 导航到交通管理>负载平衡>虚拟服务器。添加HTTP或SSL类型的虚拟服务器。
- 输入服务器详细信息后,单击好吧一次又一次好吧。
- 在流量设置打开“负载均衡虚拟服务器”的“第二层参数”。
- 在高级设置部分中,点击政策。
- 去政策单击“+”图标,配置内容检查策略。
- 在选择政策页,选择“内容检查”。点击继续。
在政策约束力部分中,点击添加添加Content Inspection策略。
- 在创建ContentInspection策略页面,输入内联内容检查策略的名称。
- 在行动字段中,单击添加创建内联内容检查操作。
在创建CI操作界面,设置如下参数:
- 名字内容巡检内联策略名称。
- 类型。选择类型为inlineInspection。
- 服务器。选择服务器/服务作为内联设备。
- 如果服务器Down。如果服务器宕机,请选择操作。
- 请求超时。选择一个超时值。可以使用默认值。
- 请求超时动作。选择一个超时动作。可以使用默认值。
点击创建。
- 点击创建。
- 在创建CI策略页,输入其他详细信息:
- 点击好吧和关闭。
