使用高级策略创建VPN策略
经典策略引擎(PE)和高级策略基础架构(PI)是Citrix ADC目前支持的两种不同的策略配置和评估框架。
高级策略基础设施由强大的表达式语言组成。表达式语言可用于定义策略中的规则、定义Action的各个部分以及支持的其他实体。表达式语言可以解析请求或响应的任何部分,并使您能够深入查看头部和负载。相同的表达式语言扩展和工作于Citrix ADC支持的每个逻辑模块。
注意:建议使用高级策略创建策略。
为什么从经典政策转向高级政策?
高级策略具有丰富的表达式集,并提供比经典策略更大的灵活性。由于Citrix ADC可扩展并满足各种客户的需求,因此必须支持远远超过高级策略的表达式。有关更多信息,请参阅政策和表达式.
以下是高级策略的新增功能。
- 能够访问消息的主体。
- 支持许多其他协议。
- 访问系统的许多其他特性。
- 具有更多的基本函数、操作符和数据类型。
- 迎合HTML、JSON和XML文件的解析。
- 有助于快速并行多字符串匹配(
patsets等等)。
现在可以使用“高级策略”配置以下VPN策略。
- 会话策略
- 授权策略
- 交通政策
- 隧道的政策
- 审计政策
此外,端点分析(EPA)可以配置为用于身份验证特性的nFactor。EPA被用作试图连接到Gateway设备的端点设备的把关人。在终端设备上显示网关登录页面之前,将根据网关管理员配置的资格标准检查设备的最低硬件和软件要求。对Gateway的访问权是根据所执行的检查的结果授予的。以前,EPA被配置为会话策略的一部分。现在它可以链接到nFactor,提供更多的灵活性,比如何时可以执行它。有关EPA的更多信息,请参见端点策略如何工作的话题。有关nFactor的更多信息,请参见nFactor身份验证的话题。
用例:
使用Advanced EPA进行预认证EPA
认证前EPA扫描发生在用户提供登录凭据之前。有关将认证前EPA扫描作为认证因素之一的Citrix Gateway配置为nFactor认证的信息,请参见CTX224268的话题。
使用Advanced EPA后认证EPA
认证后EPA扫描发生在验证用户凭证之后。在经典策略基础架构下,认证后EPA被配置为会话策略或会话操作的一部分。在高级策略基础架构下,将EPA扫描配置为nFactor身份验证中的EPA因子。有关将Citrix Gateway配置为nFactor身份验证,并将认证后EPA扫描作为身份验证因素之一的信息,请参见CTX224303的话题。
使用高级策略的预认证和后认证EPA
EPA可以在认证前和认证后执行。有关使用认证前和认证后EPA扫描为nFactor认证配置Citrix Gateway的信息,请参见CTX231362的话题。
定期EPA扫描作为nFactor认证中的一个因素
在经典策略基础架构下,定期的EPA扫描被配置为会话策略操作的一部分。在高级策略基础架构下,可以将其配置为nFactor身份验证中的EPA因素的一部分。
有关在nFactor身份验证中将定期EPA扫描配置为因子的详细信息,请单击CTX231361的话题。
故障排除:
在进行故障排除时,请记住以下几点。
- 同一类型的经典策略和高级策略(例如,会话策略)不能绑定到同一实体/绑定点。
- 优先级对于所有PI策略都是强制性的。
- VPN的“高级策略”可以绑定所有绑定点。
- 具有相同优先级的高级策略可以绑定到单个绑定点。
- 如果未选择任何已配置的授权策略,则将应用VPN参数中配置的全局授权操作。
- 在授权策略中,如果授权规则失败,则不会撤消授权操作。
经典策略常用的高级策略等效表达式:
| 经典的策略表达式 | 推进策略表达式 |
|---|---|
| ns_true | 真正的 |
| 不假 | 错误的 |
| 要求的事情。HTTP | HTTP.REQ |
| RES.HTTP | HTTP.RES |
| 头“foo” | 头(" foo ") |
| 包含“酒吧” | .CONTAINS(" bar ")[注意" .. "的用法] |
| 要求的事情。知识产权 | 客户端。知识产权 |
| RES.IP | 服务器。知识产权 |
| 源IP | SRC |
| 德斯特普 | DST |
| 要求的事情。TCP | 客户端。TCP |
| RES.TCP | 服务器。TCP |
| SOURCEPORT | SRCPORT |
| DESTPORT | 数据传输 |
| STATUSCODE | 状态 |
| REQ.SSL.CLIENT.CERT | CLIENT.SSL.CLIENT\u证书 |