产品文档
Citrix ADC
当前版本 13.0 12.1
查看PDF

集成Citrix ADC与被动安全设备(入侵检测系统)

2021年12月20日
由:
年代 年代 C

Citrix ADC设备现在与入侵检测系统(IDS)等被动安全设备集成在一起。这些被动设备存储日志,并在检测到不良或不合规的流量时触发警报。它还为遵从性目的生成报告。如果Citrix ADC设备与两个或多个IDS设备集成,并且当存在大量流量时,该设备可以通过在虚拟服务器级别克隆流量来平衡设备的负载。

对于高级安全保护,Citrix ADC设备与被动安全设备(如IDS)集成在一起,以仅检测模式部署。这些设备存储日志,并在看到不良或不合规的流量时触发警报。它还为遵从性目的生成报告。以下是将Citrix ADC与IDS设备集成的一些好处。

  • 检查加密流量.大多数安全设备绕过加密流量,从而使服务器容易受到攻击。Citrix ADC设备可以解密流量并将其发送到IDS设备,以增强客户的网络安全性。
  • 从TLS/SSL处理中卸载内联设备.TLS/SSL处理开销较大,如果对数据流进行解密,会导致入侵检测设备占用大量系统CPU。随着加密流量的快速增长,这些系统无法对加密流量进行解密和检测。Citrix ADC有助于将流量从TLS/SSL处理转移到IDS设备。这种卸载数据的方式导致IDS设备支持大量的流量检查。
  • 负载平衡IDS设备.当存在大量流量时,Citrix ADC设备通过在虚拟服务器级别克隆流量来平衡多个IDS设备的负载。
  • 将流量复制到被动设备.可以将流入设备的流量复制到其他被动设备,以生成遵从性报告。例如,很少有政府机构强制要求在某些被动设备上记录每笔交易。
  • 将流量分流到多个无源设备.一些客户更喜欢将传入流量分散或复制到多个被动设备上。
  • 明智地选择交通.流入设备的每个数据包不一定都必须经过内容检查,例如文本文件的下载。用户可以配置Citrix ADC设备,选择特定的流量(例如。exe文件)进行检测,并将流量发送到IDS设备进行数据处理。

Citrix ADC如何与具有L2连接的IDS设备集成

下图显示了IDS如何与Citrix ADC设备集成。

IDS的集成

组件交互如下:

  1. 客户端向Citrix ADC设备发送HTTP/HTTPS请求。
  2. 设备拦截流量,并根据内容检查策略评估将其复制到IDS设备。
  3. 如果流量是加密的,设备将解密数据并将其作为纯文本发送。
  4. 根据策略评估,设备应用“MIRROR”类型的内容检查操作。
  5. 该操作在其中配置了IDS服务或负载平衡服务(用于多个IDS设备集成)。

  6. IDS设备在设备上配置为内容检查服务类型“Any”。然后,将内容检查服务关联到类型为“MIRROR”的内容检查配置文件,该配置文件指定了必须将数据转发到IDS设备的出口接口。您还可以选择在内容检查配置文件中配置VLAN标记。

    注意:

    • IDS服务或服务器使用的ip地址为假地址。
    • Citrix ADC设备不支持出口接口的LA-Channel。
  7. 然后,设备通过出口接口将数据复制到一个或多个IDS设备。
  8. 类似地,当后端服务器向Citrix ADC发送响应时,设备复制数据并将其转发到IDS设备。
  9. 如果您的设备集成到一个或多个IDS设备,并且您希望对设备进行负载平衡,那么您可以使用负载平衡虚拟服务器。

软件许可

要部署内联设备集成,您的Citrix ADC设备必须配备以下许可证之一:

  1. ADC的溢价
  2. ADC先进
  3. 电信先进
  4. 电信的溢价

配置入侵检测系统集成

您可以通过两种不同的方式将IDS设备与Citrix ADC集成。

场景1:与单个IDS设备集成

以下是使用命令行界面必须配置的步骤。

  1. 启用内容检查
  2. 为代表IDS设备的服务添加镜像类型的内容检测配置文件。
  3. 添加类型为ANY的IDS服务
  4. 增加“MIRROR”类型的内容检查动作
  5. 添加IDS巡检的内容巡检策略
  6. 将内容检测策略绑定到HTTP/SSL类型的内容交换或负载均衡虚拟服务

启用内容检查

如果希望Citrix ADC设备将要检查的内容发送到IDS设备,那么无论是否执行解密,都必须启用content inspection和负载平衡特性。

在命令提示符下,输入:

启用ns feature contentInspection LoadBalancing

添加类型为“MIRROR”的内容检查配置文件

类型为“MIRROR”的内容检查配置文件解释了如何连接到IDS设备。在命令提示符下,输入。

add contentInspection profile -type MIRROR -egressInterface [-egressVlan ]

例子:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN

添加IDS服务

您必须为与设备集成的每个IDS设备配置类型为“ANY”的服务。该服务具有IDS设备配置的详细信息。服务代表IDS设备。

在命令提示符下,输入:

add service ANY <端口> - contentinspectionProfileName - healthmonitor OFF -usip ON - useproxyport OFF

例子

添加服务IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor关闭

为IDS服务增加MIRROR类型的内容检测动作

启用Content Inspection特性并添加IDS配置文件和服务后,必须添加Content Inspection操作来处理请求。根据内容检查操作,设备可以丢弃、重置、阻止或向IDS设备发送数据。

在命令提示符下,输入:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>

例子

add ContentInspection action IDS_action -type MIRROR -serverName IDS_service

添加IDS巡检的内容巡检策略

创建Content Inspection操作后,必须添加Content Inspection策略来评估检查请求。该策略基于由一个或多个表达式组成的规则。策略根据规则对流量进行评估,选择需要进行检测的流量。

在命令提示符下,输入以下命令:

add contentInspection policy < policy_name > -rule <规则> -action . add contentInspection policy < policy_name > -rule

例子

add contentInspection policy IDS_pol1 -rule true -action IDS_action

将内容检测策略绑定到HTTP/SSL类型的内容交换或负载均衡虚拟服务

为了接收web流量,必须添加负载均衡虚拟服务器。在命令提示符下,输入:

添加lb vserver

例子

添加lb vserver HTTP_vserver HTTP 1.1.1.3 8080

将内容检测策略绑定到HTTP/SSL类型的内容交换虚拟服务器或负载均衡虚拟服务器上

必须将HTTP/SSL类型的负载均衡虚拟服务器或内容交换虚拟服务器绑定到内容检测策略上。

在命令提示符下,输入以下命令:

bind lb vserver -policyName < policy_name > -priority < priority > -type

例子

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

场景2:多台IDS设备负载均衡

如果使用两个或更多IDS设备,则必须使用不同的内容检查服务对设备进行负载平衡。在这种情况下,Citrix ADC设备在向每个设备发送流量子集的基础上对设备进行负载平衡。基本配置步骤请参考场景1。

负载均衡多个IDS设备

以下是使用命令行界面必须配置的步骤。

  1. 为IDS服务1添加类型为MIRROR的内容检测配置文件1
  2. 为IDS服务2添加类型为MIRROR的内容检测配置文件2
  3. 为IDS设备1添加类型为ANY的IDS业务1
  4. 为IDS设备2添加类型为ANY的IDS业务2
  5. 添加ANY类型的负载均衡虚拟服务器
  6. 将IDS服务1绑定到负载均衡虚拟服务器
  7. 将IDS服务2绑定到负载均衡虚拟服务器
  8. 添加IDS设备负载均衡的内容检测动作。
  9. 添加内容巡检策略进行巡检
  10. 添加HTTP/SSL类型的内容交换或负载均衡虚拟服务器
  11. 为HTTP/SSL类型的负载均衡虚拟服务器绑定内容检测策略

为IDS服务1添加类型为MIRROR的内容检测配置文件1

IDS配置可以在名为Content Inspection配置文件的实体中指定。该配置文件有一组设备设置。内容检查配置文件1是为IDS服务1创建的。

在命令提示符下,输入:

add contentInspection profile -type ANY -egressInterface [-egressVlan ]

例子:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为IDS服务2添加类型为MIRROR的内容检测配置文件2

为服务2添加了内容检查配置文件2,并且内联设备通过出口1/1接口与设备通信。

在命令提示符下,输入:

add contentInspection profile -type MIRROR -egressInterface -egressVlan ]

例子:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1

为IDS设备1添加类型为ANY的IDS业务1

启用内容检查功能并添加内联配置文件后,必须为内联设备1添加内联服务1,使其成为负载平衡设置的一部分。您添加的服务提供了所有内联配置详细信息。

在命令提示符下,输入:

add service ANY <端口> -contentInspectionProfileName -usip ON -useproxyport OFF

例子:

添加服务IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

请注意

示例中提到的IP地址为虚拟IP地址。

为IDS设备2添加类型为ANY的IDS业务2

启用内容检测特性并添加内联配置文件后,需要为内联设备2添加内联业务2。您添加的服务提供了所有内联配置详细信息。

在命令提示符下,输入:

add service ANY -contentInspectionProfileName -healthmonitor OFF -usip ON -useproxyport OFF

例子:

1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2 . add service IDS_service 1

请注意

示例中提到的IP地址为虚拟IP地址。

添加负载均衡虚拟服务器

在添加了内联配置文件和服务后,必须添加负载均衡虚拟服务器来对服务进行负载均衡。

在命令提示符下,输入:

add lb vserver ANY <端口>

例子:

添加lb vserver lb- ids_vserver ANY 1.1.1.2

将IDS服务1绑定到负载均衡虚拟服务器

添加负载平衡虚拟服务器之后,现在将负载平衡虚拟服务器绑定到第一个服务。

在命令提示符下,输入:

bind lb vserver

例子:

绑定lb vserver lb- ids_vserver IDS_service1

将IDS服务2绑定到负载均衡虚拟服务器

添加负载平衡虚拟服务器之后,现在将服务器绑定到第二个服务。

在命令提示符下,输入:

bind lb vserver

例子:

绑定lb vserver lb- ids_vserver IDS_service2

为IDS服务添加内容检查操作

启用Content Inspection特性后,必须添加Content Inspection操作来处理内联请求信息。根据所选择的操作,设备会丢弃、重置、阻止或将流量发送到IDS设备。

在命令提示符下,输入:

添加内容检查动作 -type (-serverName [-ifserverdown ])

例子:

add ContentInspection action IDS_action -type MIRROR -serverName lb-IDS_vserver

添加内容巡检策略进行巡检

创建Content Inspection操作后,必须添加Content Inspection策略来评估服务请求。

在命令提示符下,输入以下命令:

add contentInspection policy -rule <规则> -action . add contentInspection policy -rule

例子:

add contentInspection policy IDS_pol1 -rule true -action IDS_action

添加HTTP/SSL类型的内容交换或负载均衡虚拟服务器

添加一个内容交换或负载平衡虚拟服务器来接受web流量。此外,您必须在虚拟服务器上启用layer2连接。

有关负载平衡的更多信息,请参见负载均衡如何工作的话题。

在命令提示符下,输入:

添加lb vserver

例子:

添加lb vserver http_vserver HTTP 1.1.1.1 8080

将内容检测策略绑定到HTTP/SSL类型的负载均衡虚拟服务器

必须将HTTP/SSL类型的内容交换或负载均衡虚拟服务器绑定到内容检测策略上。

在命令提示符下,输入以下命令:

bind lb vserver -policyName < policy_name > -priority <> -type

例子:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

使用Citrix ADC GUI配置内联服务集成

  1. 导航到安全>内容检查>内容检查概况
  2. 内容检查概况页面,点击添加
  3. 创建内容检查配置文件界面,设置如下参数。
    1. 配置文件名称。IDS的内容检测配置文件名称。
    2. 类型。选择配置文件类型为MIRROR。
    3. 出口接口。Citrix ADC向IDS设备发送流量的接口。
    4. 出口VLAN(可选)。发送到IDS设备的接口VLAN ID。

  4. 点击创建

    创建内容检查配置文件

  5. 导航到交通管理>负载平衡>服务并点击添加
  6. 负载均衡服务页面,输入内容巡检服务详情。
  7. 高级设置部分中,点击配置文件
  8. 配置文件节,然后单击铅笔图标,用于添加内容检查配置文件。

  9. 点击好吧

    创建内容检查配置文件

  10. 导航到负载平衡>服务器.添加HTTP或SSL类型的虚拟服务器。
  11. 输入服务器详细信息后,单击好吧一次又一次好吧
  12. 高级设置部分中,点击政策
  13. 政策节,然后单击铅笔图标,用于配置内容巡检策略。
  14. 选择政策页面,选择内容检查.点击继续
  15. 政策约束力部分,单击“+”添加内容检查策略。
  16. 创建CI策略页面,输入内联内容检查策略的名称。
  17. 行动字段,单击“+”号,创建类型为MIRROR的IDS内容检查操作。

  18. 创建CI操作界面,设置如下参数。

    1. 名字内容巡检内联策略名称。
    2. 类型。选择类型为MIRROR。
    3. 服务器名称。选择服务器/服务名称为Inline devices。
    4. 如果服务器Down。如果服务器宕机,请选择操作。
    5. 请求超时。选择一个超时值。可以使用默认值。
    6. 请求超时动作。选择一个超时动作。可以使用默认值。

  19. 点击创建

    创建内容检查操作

  20. 创建CI策略页,输入其他详细信息。
  21. 点击好吧关闭

有关用于负载均衡和将流量复制到IDS设备的Citrix ADC GUI配置的信息,请参见负载均衡。

创建内容检查策略

有关Citrix ADC GUI配置的负载均衡和内容转换后将流量转发到后端源服务器的信息,请参见负载平衡的话题。

集成Citrix ADC与被动安全设备(入侵检测系统)
2021年12月20日
由:
年代 年代 C
2021年12月20日
由:
年代 年代 C

在本文中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -云软件集团有限公司版权所有。