集成Citrix ADC与被动安全设备(入侵检测系统)
Citrix ADC设备现在与入侵检测系统(IDS)等被动安全设备集成在一起。这些被动设备存储日志,并在检测到不良或不合规的流量时触发警报。它还为遵从性目的生成报告。如果Citrix ADC设备与两个或多个IDS设备集成,并且当存在大量流量时,该设备可以通过在虚拟服务器级别克隆流量来平衡设备的负载。
对于高级安全保护,Citrix ADC设备与被动安全设备(如IDS)集成在一起,以仅检测模式部署。这些设备存储日志,并在看到不良或不合规的流量时触发警报。它还为遵从性目的生成报告。以下是将Citrix ADC与IDS设备集成的一些好处。
- 检查加密流量.大多数安全设备绕过加密流量,从而使服务器容易受到攻击。Citrix ADC设备可以解密流量并将其发送到IDS设备,以增强客户的网络安全性。
- 从TLS/SSL处理中卸载内联设备.TLS/SSL处理开销较大,如果对数据流进行解密,会导致入侵检测设备占用大量系统CPU。随着加密流量的快速增长,这些系统无法对加密流量进行解密和检测。Citrix ADC有助于将流量从TLS/SSL处理转移到IDS设备。这种卸载数据的方式导致IDS设备支持大量的流量检查。
- 负载平衡IDS设备.当存在大量流量时,Citrix ADC设备通过在虚拟服务器级别克隆流量来平衡多个IDS设备的负载。
- 将流量复制到被动设备.可以将流入设备的流量复制到其他被动设备,以生成遵从性报告。例如,很少有政府机构强制要求在某些被动设备上记录每笔交易。
- 将流量分流到多个无源设备.一些客户更喜欢将传入流量分散或复制到多个被动设备上。
- 明智地选择交通.流入设备的每个数据包不一定都必须经过内容检查,例如文本文件的下载。用户可以配置Citrix ADC设备,选择特定的流量(例如。exe文件)进行检测,并将流量发送到IDS设备进行数据处理。
Citrix ADC如何与具有L2连接的IDS设备集成
下图显示了IDS如何与Citrix ADC设备集成。
组件交互如下:
- 客户端向Citrix ADC设备发送HTTP/HTTPS请求。
- 设备拦截流量,并根据内容检查策略评估将其复制到IDS设备。
- 如果流量是加密的,设备将解密数据并将其作为纯文本发送。
- 根据策略评估,设备应用“MIRROR”类型的内容检查操作。
- 该操作在其中配置了IDS服务或负载平衡服务(用于多个IDS设备集成)。
IDS设备在设备上配置为内容检查服务类型“Any”。然后,将内容检查服务关联到类型为“MIRROR”的内容检查配置文件,该配置文件指定了必须将数据转发到IDS设备的出口接口。您还可以选择在内容检查配置文件中配置VLAN标记。
注意:
- IDS服务或服务器使用的ip地址为假地址。
- Citrix ADC设备不支持出口接口的LA-Channel。
- 然后,设备通过出口接口将数据复制到一个或多个IDS设备。
- 类似地,当后端服务器向Citrix ADC发送响应时,设备复制数据并将其转发到IDS设备。
- 如果您的设备集成到一个或多个IDS设备,并且您希望对设备进行负载平衡,那么您可以使用负载平衡虚拟服务器。
软件许可
要部署内联设备集成,您的Citrix ADC设备必须配备以下许可证之一:
- ADC的溢价
- ADC先进
- 电信先进
- 电信的溢价
配置入侵检测系统集成
您可以通过两种不同的方式将IDS设备与Citrix ADC集成。
场景1:与单个IDS设备集成
以下是使用命令行界面必须配置的步骤。
- 启用内容检查
- 为代表IDS设备的服务添加镜像类型的内容检测配置文件。
- 添加类型为ANY的IDS服务
- 增加“MIRROR”类型的内容检查动作
- 添加IDS巡检的内容巡检策略
- 将内容检测策略绑定到HTTP/SSL类型的内容交换或负载均衡虚拟服务
启用内容检查
如果希望Citrix ADC设备将要检查的内容发送到IDS设备,那么无论是否执行解密,都必须启用content inspection和负载平衡特性。
在命令提示符下,输入:
启用ns feature contentInspection LoadBalancing
添加类型为“MIRROR”的内容检查配置文件
类型为“MIRROR”的内容检查配置文件解释了如何连接到IDS设备。在命令提示符下,输入。
add contentInspection profile
例子:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN
添加IDS服务
您必须为与设备集成的每个IDS设备配置类型为“ANY”的服务。该服务具有IDS设备配置的详细信息。服务代表IDS设备。
在命令提示符下,输入:
add service
例子:
添加服务IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor关闭
为IDS服务增加MIRROR类型的内容检测动作
启用Content Inspection特性并添加IDS配置文件和服务后,必须添加Content Inspection操作来处理请求。根据内容检查操作,设备可以丢弃、重置、阻止或向IDS设备发送数据。
在命令提示符下,输入:
add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>
例子:
add ContentInspection action IDS_action -type MIRROR -serverName IDS_service
添加IDS巡检的内容巡检策略
创建Content Inspection操作后,必须添加Content Inspection策略来评估检查请求。该策略基于由一个或多个表达式组成的规则。策略根据规则对流量进行评估,选择需要进行检测的流量。
在命令提示符下,输入以下命令:
add contentInspection policy < policy_name > -rule <规则> -action
例子:
add contentInspection policy IDS_pol1 -rule true -action IDS_action
将内容检测策略绑定到HTTP/SSL类型的内容交换或负载均衡虚拟服务
为了接收web流量,必须添加负载均衡虚拟服务器。在命令提示符下,输入:
添加lb vserver
例子:
添加lb vserver HTTP_vserver HTTP 1.1.1.3 8080
将内容检测策略绑定到HTTP/SSL类型的内容交换虚拟服务器或负载均衡虚拟服务器上
必须将HTTP/SSL类型的负载均衡虚拟服务器或内容交换虚拟服务器绑定到内容检测策略上。
在命令提示符下,输入以下命令:
bind lb vserver
例子:
bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
场景2:多台IDS设备负载均衡
如果使用两个或更多IDS设备,则必须使用不同的内容检查服务对设备进行负载平衡。在这种情况下,Citrix ADC设备在向每个设备发送流量子集的基础上对设备进行负载平衡。基本配置步骤请参考场景1。
以下是使用命令行界面必须配置的步骤。
- 为IDS服务1添加类型为MIRROR的内容检测配置文件1
- 为IDS服务2添加类型为MIRROR的内容检测配置文件2
- 为IDS设备1添加类型为ANY的IDS业务1
- 为IDS设备2添加类型为ANY的IDS业务2
- 添加ANY类型的负载均衡虚拟服务器
- 将IDS服务1绑定到负载均衡虚拟服务器
- 将IDS服务2绑定到负载均衡虚拟服务器
- 添加IDS设备负载均衡的内容检测动作。
- 添加内容巡检策略进行巡检
- 添加HTTP/SSL类型的内容交换或负载均衡虚拟服务器
- 为HTTP/SSL类型的负载均衡虚拟服务器绑定内容检测策略
为IDS服务1添加类型为MIRROR的内容检测配置文件1
IDS配置可以在名为Content Inspection配置文件的实体中指定。该配置文件有一组设备设置。内容检查配置文件1是为IDS服务1创建的。
在命令提示符下,输入:
add contentInspection profile
例子:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1
为IDS服务2添加类型为MIRROR的内容检测配置文件2
为服务2添加了内容检查配置文件2,并且内联设备通过出口1/1接口与设备通信。
在命令提示符下,输入:
add contentInspection profile
例子:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1
为IDS设备1添加类型为ANY的IDS业务1
启用内容检查功能并添加内联配置文件后,必须为内联设备1添加内联服务1,使其成为负载平衡设置的一部分。您添加的服务提供了所有内联配置详细信息。
在命令提示符下,输入:
add service
例子:
添加服务IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF
请注意
示例中提到的IP地址为虚拟IP地址。
为IDS设备2添加类型为ANY的IDS业务2
启用内容检测特性并添加内联配置文件后,需要为内联设备2添加内联业务2。您添加的服务提供了所有内联配置详细信息。
在命令提示符下,输入:
add service
例子:
1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2 . add service IDS_service 1
请注意
示例中提到的IP地址为虚拟IP地址。
添加负载均衡虚拟服务器
在添加了内联配置文件和服务后,必须添加负载均衡虚拟服务器来对服务进行负载均衡。
在命令提示符下,输入:
add lb vserver
例子:
添加lb vserver lb- ids_vserver ANY 1.1.1.2
将IDS服务1绑定到负载均衡虚拟服务器
添加负载平衡虚拟服务器之后,现在将负载平衡虚拟服务器绑定到第一个服务。
在命令提示符下,输入:
bind lb vserver
例子:
绑定lb vserver lb- ids_vserver IDS_service1
将IDS服务2绑定到负载均衡虚拟服务器
添加负载平衡虚拟服务器之后,现在将服务器绑定到第二个服务。
在命令提示符下,输入:
bind lb vserver
例子:
绑定lb vserver lb- ids_vserver IDS_service2
为IDS服务添加内容检查操作
启用Content Inspection特性后,必须添加Content Inspection操作来处理内联请求信息。根据所选择的操作,设备会丢弃、重置、阻止或将流量发送到IDS设备。
在命令提示符下,输入:
添加内容检查动作
例子:
add ContentInspection action IDS_action -type MIRROR -serverName lb-IDS_vserver
添加内容巡检策略进行巡检
创建Content Inspection操作后,必须添加Content Inspection策略来评估服务请求。
在命令提示符下,输入以下命令:
add contentInspection policy
例子:
add contentInspection policy IDS_pol1 -rule true -action IDS_action
添加HTTP/SSL类型的内容交换或负载均衡虚拟服务器
添加一个内容交换或负载平衡虚拟服务器来接受web流量。此外,您必须在虚拟服务器上启用layer2连接。
有关负载平衡的更多信息,请参见负载均衡如何工作的话题。
在命令提示符下,输入:
添加lb vserver
例子:
添加lb vserver http_vserver HTTP 1.1.1.1 8080
将内容检测策略绑定到HTTP/SSL类型的负载均衡虚拟服务器
必须将HTTP/SSL类型的内容交换或负载均衡虚拟服务器绑定到内容检测策略上。
在命令提示符下,输入以下命令:
bind lb vserver
例子:
bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
使用Citrix ADC GUI配置内联服务集成
- 导航到安全>内容检查>内容检查概况.
- 在内容检查概况页面,点击添加.
- 在创建内容检查配置文件界面,设置如下参数。
- 配置文件名称。IDS的内容检测配置文件名称。
- 类型。选择配置文件类型为MIRROR。
- 出口接口。Citrix ADC向IDS设备发送流量的接口。
- 出口VLAN(可选)。发送到IDS设备的接口VLAN ID。
点击创建.
- 导航到交通管理>负载平衡>服务并点击添加.
- 在负载均衡服务页面,输入内容巡检服务详情。
- 在高级设置部分中,点击配置文件.
- 去配置文件节,然后单击铅笔图标,用于添加内容检查配置文件。
点击好吧.
- 导航到负载平衡>服务器.添加HTTP或SSL类型的虚拟服务器。
- 输入服务器详细信息后,单击好吧一次又一次好吧.
- 在高级设置部分中,点击政策.
- 去政策节,然后单击铅笔图标,用于配置内容巡检策略。
- 在选择政策页面,选择内容检查.点击继续.
- 在政策约束力部分,单击“+”添加内容检查策略。
- 在创建CI策略页面,输入内联内容检查策略的名称。
- 在行动字段,单击“+”号,创建类型为MIRROR的IDS内容检查操作。
在创建CI操作界面,设置如下参数。
- 名字内容巡检内联策略名称。
- 类型。选择类型为MIRROR。
- 服务器名称。选择服务器/服务名称为Inline devices。
- 如果服务器Down。如果服务器宕机,请选择操作。
- 请求超时。选择一个超时值。可以使用默认值。
- 请求超时动作。选择一个超时动作。可以使用默认值。
点击创建.
- 在创建CI策略页,输入其他详细信息。
- 点击好吧和关闭.
有关用于负载均衡和将流量复制到IDS设备的Citrix ADC GUI配置的信息,请参见负载均衡。
有关Citrix ADC GUI配置的负载均衡和内容转换后将流量转发到后端源服务器的信息,请参见负载平衡的话题。