产品文档
Citrix ADC
当前版本 13.0 12.1
查看PDF

集成Citrix ADC层3与被动安全设备(入侵检测系统)

2021年1月7日
由:
C 年代

Citrix ADC设备现在集成了被动安全设备,如入侵检测系统(IDS)。在此设置中,设备将原始流量的副本安全地发送到远程IDS设备。这些被动设备存储日志,并在检测到不良或不合规流量时触发警报。它还为遵从性目的生成报告。如果Citrix ADC设备集成了两个或多个IDS设备,并且当流量很大时,该设备可以通过在虚拟服务器级别克隆流量来对设备进行负载平衡。

对于高级安全保护,Citrix ADC设备集成了以检测模式部署的IDS等被动安全设备。这些设备存储日志,并在看到坏的或不合规的流量时触发警报。它还为遵从性目的生成报告。以下是集成Citrix ADC与IDS设备的一些好处。

  • 检查加密流量.大多数安全设备都会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC设备可以解密流量并将其发送到IDS设备,以增强客户的网络安全性。
  • 从TLS/SSL处理中卸载内联设备.TLS/SSL处理是昂贵的,如果入侵检测设备解密流量,它会导致高系统CPU。由于加密流量正在快速增长,这些系统无法解密和检查加密流量。Citrix ADC有助于将流量从TLS/SSL处理中卸载到IDS设备。这种卸载数据的方式导致IDS设备支持大量的流量检查。
  • 负载均衡IDS设备.当有大量流量时,Citrix ADC设备通过在虚拟服务器级别克隆流量来负载平衡多个IDS设备。
  • 复制流量到无源设备.流入设备的流量可以复制到其他被动设备,以生成遵从性报告。例如,很少有政府机构要求每笔交易都要在一些被动设备上登录。
  • 将流量分散到多个被动设备.一些客户更喜欢将传入的流量分散或复制到多个被动设备中。
  • 明智的交通选择.流入设备的每个包可能都必须进行内容检查,例如文本文件的下载。用户可以配置Citrix ADC设备,以选择特定的流量(例如.exe文件)进行检查,并将流量发送到IDS设备进行数据处理。

思杰ADC如何通过L3连接与IDS设备集成

下图显示了IDS如何与Citrix ADC设备集成。

IDS的集成

组件交互如下:

  1. 客户端向Citrix ADC设备发送HTTP/HTTPS请求。
  2. 该设备拦截流量并将数据发送到跨不同数据中心甚至云中的远程IDS设备。这种集成是通过IP隧道层3完成的。有关Citrix ADC设备中的IP隧道的详细信息,请参阅IP隧道主题。
  3. 如果流量是加密的,设备将解密数据并将其作为纯文本发送。
  4. 基于策略评估,设备应用“MIRROR”类型的内容检查操作。
  5. 动作中配置了IDS服务或负载平衡服务(用于多个IDS设备集成)。
  6. IDS设备在设备上配置为内容检查服务类型“Any”。然后,内容检测服务与类型为“MIRROR”的内容检测配置文件和隧道参数相关联,隧道参数指定IP隧道三层接口,数据通过该接口转发到IDS设备。

请注意也可以在内容检测配置文件中配置VLAN tag。

  1. 类似地,当后端服务器向Citrix ADC发送响应时,设备复制数据并将其转发给IDS设备。
  2. 如果您的设备集成到一个或多个IDS设备,并且希望对这些设备进行负载平衡,那么可以使用负载平衡虚拟服务器。

软件许可

要部署IDS集成,您的Citrix ADC设备必须提供以下许可之一:

  1. ADC的溢价
  2. ADC先进

配置入侵检测系统集成

您可以通过两种不同的方式将IDS设备与Citrix ADC集成。

场景1:与单个IDS设备集成

以下是必须使用命令行接口进行配置的步骤。

  1. 启用内容检查
  2. 为表示IDS设备的服务添加MIRROR类型的内容检测配置文件。
  3. 添加类型为“ANY”的IDS服务
  4. 添加类型为“MIRROR”的内容检查动作
  5. 增加IDS检测的内容检测策略
  6. 将内容检测策略绑定到HTTP/SSL类型的内容切换或负载均衡虚拟服务上

启用内容检查

如果希望Citrix ADC设备将内容发送到IDS设备进行检查,则无论是否执行解密,都必须启用内容检查和负载平衡特性。

在命令提示符下,输入:

enable ns feature contentInspection LoadBalancing

添加内容检查配置文件类型为“MIRROR”

类型为“MIRROR”的内容检查配置文件解释了如何连接IDS设备。在命令提示符下,键入。

请注意IP tunnel参数只能在IDS三层拓扑下使用。否则,必须使用带有egress VLAN选项的出接口。

add contentInspection profile -type MIRROR -ipTunnel . add

例子:

add contentInspection profile IDS_profile1 -type MIRROR -ipTunnel ipsection -tunnel1 .使用实例

添加IDS服务

您必须为与设备集成的每个IDS设备配置类型为“ANY”的服务。服务具有IDS设备配置详细信息。服务表示IDS设备。

在命令提示符下,输入:

add service ANY - contentinspectionProfileName - healthmonitor OFF -usip ON - useproxyport OFF

例子

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

为IDS服务增加MIRROR类型的内容检测动作

在启用Content Inspection特性并添加IDS配置文件和服务之后,必须添加Content Inspection动作以处理请求。根据内容检查操作,设备可以删除、重置、阻塞或向IDS设备发送数据。

在命令提示符下,输入:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name> . add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name> . sh

例子

add ContentInspection action IDS_action -type MIRROR -serverName IDS_service . add ContentInspection action IDS_action

增加IDS检测的内容检测策略

创建内容检查操作后,必须添加内容检查策略以评估检查请求。策略基于由一个或多个表达式组成的规则。策略根据规则评估并选择需要检测的流量。

在命令提示符下,输入以下命令:

add contentInspection policy < policy_name > -rule -action . add contentInspection policy < policy_name > -rule -action . add contentInspection policy

例子

add contentInspection policy IDS_pol1 -rule true -action IDS_action

将内容检测策略绑定到HTTP/SSL类型的内容切换或负载均衡虚拟服务上

为了接收web流量,必须添加负载均衡虚拟服务器。在命令提示符下,输入:

添加lb vserver

例子

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

将内容检测策略绑定到HTTP/SSL类型的内容交换虚拟服务器或负载均衡虚拟服务器上

必须将HTTP/SSL类型的负载均衡虚拟服务器或内容切换虚拟服务器与“内容检测”策略绑定。

在命令提示符下,输入以下命令:

bind lb vserver -policyName < policy_name > -priority < priority > -type . bind > -policyName < policy_name > . bind lb vserver -policyName < policy_name > -priority

例子

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

场景2:多台IDS设备负载分担

如果您正在使用两台或两台以上的IDS设备,则必须对使用不同内容检测服务的IDS设备进行负载均衡。在这种情况下,Citrix ADC设备在向每个设备发送流量子集的基础上对设备进行负载平衡。基本配置步骤请参见场景1。

负载分担多个IDS设备

以下是必须使用命令行接口进行配置的步骤。

  1. 为IDS服务1添加类型为MIRROR的内容检测配置文件1
  2. 为IDS服务2添加类型为MIRROR的内容检测配置文件2
  3. 为IDS设备1添加类型为ANY的IDS服务1
  4. 为IDS设备2添加类型为ANY的IDS服务2
  5. 添加类型为ANY的负载均衡虚拟服务器
  6. 绑定IDS服务1到负载均衡虚拟服务器
  7. 绑定IDS服务2到负载均衡虚拟服务器
  8. 增加IDS设备负载均衡的内容检测动作。
  9. 增加内容巡检策略,用于巡检
  10. 添加HTTP/SSL类型的内容切换或负载均衡虚拟服务器
  11. 将内容检测策略绑定到HTTP/SSL类型的负载均衡虚拟服务器

为IDS服务1添加类型为MIRROR的内容检测profile1

IDS配置可以在名为Content Inspection配置文件的实体中指定。概要文件包含设备设置的集合。为IDS服务1创建内容检查概要文件1。

请注意: IP隧道参数仅在三层IDS拓扑下使用。否则,必须使用带有egress VLAN选项的出接口。

在命令提示符下,输入:

add contentInspection profile -type ANY - ipTunnel . add contentInspection profile -type ANY - ipTunnel

例子:

add contentInspection profile IDS_profile1 -type MIRROR - ipTunnel ipsect_tunnel1

为IDS服务2的MIRROR类型添加内容检测配置文件2

为服务2添加内容检查配置文件2,内联设备通过出口1/1接口与设备通信。

在命令提示符下,输入:

add contentInspection profile -type ANY - ipTunnel . add contentInspection profile -type ANY - ipTunnel

例子:

add contentInspection profile IDS_profile2 -type ANY - ipTunnel ipsect_tunnel2

为IDS设备1添加类型为ANY的IDS服务1

在启用Content Inspection特性并添加内联配置文件之后,必须为内联设备1添加内联服务1,使其成为负载均衡设置的一部分。您添加的服务提供所有内联配置细节。

在命令提示符下,输入:

add service ANY -contentInspectionProfileName -usip ON -useproxyport OFF

例子:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

请注意

本例中的IP地址为虚拟IP地址。

为IDS设备2添加类型为ANY的IDS服务2

启用内容检查功能并添加内联配置文件后,必须为内联设备2添加内联服务2。您添加的服务提供所有内联配置细节。

在命令提示符下,输入:

add service ANY -contentInspectionProfileName -healthmonitor OFF -usip ON -useproxyport OFF

例子:

1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2 . add service IDS_service 1

请注意

本例中的IP地址为虚拟IP地址。

添加负载均衡虚拟服务器

添加了内联概要文件和服务之后,必须添加负载均衡虚拟服务器以实现服务的负载均衡。

在命令提示符下,输入:

add lb vserver ANY <端口>

例子:

add lb vserver lb- ids_vserver ANY 1.1.1.2

绑定IDS服务1到负载均衡虚拟服务器

添加负载均衡虚拟服务器之后,现在将负载均衡虚拟服务器绑定到第一个服务。

在命令提示符下,输入:

bind lb vserver .使用实例

例子:

bind lb vserver lb- ids_vserver IDS_service1 .使用实例

绑定IDS服务2到负载均衡虚拟服务器

添加负载均衡虚拟服务器后,现在将该服务器绑定到第二个服务。

在命令提示符下,输入:

bind lb vserver .使用实例

例子:

绑定lb vserver lb- ids_vserver IDS_service2

为IDS服务添加内容检查动作

启用内容检查功能后,必须添加内容检查操作以处理内联请求信息。根据所选择的动作,设备将丢弃、重置、阻塞或将流量发送到IDS设备。

在命令提示符下,输入:

add contentInspection action -type (-serverName [-ifserverdown ]

例子:

add ContentInspection action IDS_action -type MIRROR -serverName lb-IDS_vserver . add ContentInspection action IDS_action

增加内容巡检策略,用于巡检

创建内容检查操作后,必须添加内容检查策略以评估服务请求。

在命令提示符下,输入以下命令:

add contentInspection policy -rule -action . add contentInspection policy -rule -action . add contentInspection policy

例子:

add contentInspection policy IDS_pol1 -rule true -action IDS_action

添加HTTP/SSL类型的内容切换或负载均衡虚拟服务器

添加一个内容切换或负载均衡虚拟服务器来接受web流量。此外,您必须在虚拟服务器上启用二层连接。

有关负载均衡的更多信息,请参见负载平衡的工作原理的话题。

在命令提示符下,输入:

添加lb vserver

例子:

添加lb vserver http_vserver HTTP 1.1.1.1 8080

将内容检测策略绑定到HTTP/SSL类型的负载均衡虚拟服务器

必须将HTTP/SSL类型的内容交换或负载均衡虚拟服务器与“内容检测”策略绑定。

在命令提示符下,输入以下命令:

bind lb vserver -policyName < policy_name > -priority <> -type . bind lb vserver -policyName < policy_name > -priority <> . type

例子:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

使用Citrix ADC GUI配置内联服务集成

  1. 导航到安全>内容检查>ContentInspection概要文件
  2. ContentInspection概要页面,点击添加
  3. 创建ContentInspectionProfile页,设置以下参数。
    1. 配置文件名称。IDS内容检测配置文件的名称。
    2. 类型。选择配置文件类型为MIRROR。
    3. 连通性。二层或三层接口。
    4. IP隧道。选择两个网络之间的网络通信通道。

  4. 点击创建

    创建内容检查配置文件

  5. 导航到交通管理>负载平衡>服务并点击添加
  6. 负载均衡业务页,输入内容巡检服务详情。
  7. 高级设置部分中,点击配置文件
  8. 配置文件部分,并单击铅笔图标,添加内容检查配置文件。

  9. 点击好吧

    创建内容检查配置文件

  10. 导航到负载平衡>服务器.添加HTTP或SSL类型的虚拟服务器。
  11. 输入服务器详细信息后,单击好吧一次又一次好吧
  12. 高级设置部分中,点击政策
  13. 政策部分,并单击铅笔图标,配置内容检测策略。
  14. 选择政策页面,选择内容检查.点击继续
  15. 政策约束力节中,单击“+”添加内容检查策略。
  16. 创建CI策略页中,输入内联内容检查策略的名称。
  17. 行动字段,单击“+”号创建一个类型为MIRROR的IDS内容检查动作。
  18. 创建CI行动页,设置以下参数。
    1. 的名字。内容检测名称内联策略。
    2. 类型。选择类型为MIRROR。
    3. 服务器名称。选择服务器/服务名称为内联设备。
    4. 如果服务器关闭。如果服务器宕机,请选择操作。
    5. 请求超时。选择一个超时值。可以使用默认值。
    6. 请求超时操作。选择一个超时操作。可以使用默认值。

  19. 点击创建

    创建内容检查动作

  20. 创建CI策略页,输入其他详细信息。
  21. 点击好吧而且关闭

有关用于负载均衡和将流量复制到IDS设备的Citrix ADC GUI配置的信息,请参见负载平衡

创建内容检查策略

有关Citrix ADC GUI配置的信息,用于负载均衡,并在内容转换后将流量转发到后端源服务器,请参见负载均衡。

集成Citrix ADC层3与被动安全设备(入侵检测系统)
2021年1月7日
由:
C 年代
2021年1月7日
由:
C 年代

在本文中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -云软件集团有限公司版权所有。