Integración de dispositivos en línea con Citrix ADC
Los dispositivos de seguridad como el sistema de prevención de intrusiones (IPS) y el firewall de próxima generación (NGFW) protegen los servidores contra ataques de red. Estos dispositivos se implementan en modo inline de capa 2 y su función principal es proteger los servidores contra ataques de red e informar de amenazas de seguridad en la red.
Para evitar amenazas vulnerables y proporcionar protección de seguridad avanzada, un dispositivo Citrix ADC está integrado con uno o varios dispositivos en línea. Los dispositivos en línea pueden ser cualquier dispositivo de seguridad como IPS, NGFW.
A continuación se presentan algunos de los casos de uso que se benefician de la integración de dispositivos en línea con el dispositivo Citrix ADC:
- Inspeccionando el tráfico cifrado. La mayoría de los dispositivos IPS y NGFW evitan el tráfico cifrado, lo que deja a los servidores vulnerables a los ataques. Un dispositivo Citrix ADC puede descifrar el tráfico y enviarlo a dispositivos en línea para su inspección. Mejora la seguridad de la red del cliente.
- 线del procesamient Descarga de dispositivoso TLS/SSL. El procesamiento TLS/SSL es costoso y el problema puede dar lugar a una CPU del sistema alta en dispositivos IPS o NGFW si descifran el tráfico. Como el tráfico cifrado está creciendo a un ritmo rápido, estos sistemas no logran descifrar e inspeccionar el tráfico cifrado. Citrix ADC ayuda a descargar dispositivos en línea del procesamiento TLS/SSL. El resultado es que el dispositivo en línea admite un alto volumen de inspección de tráfico.
- Carga de dispositivos en línea de equilibrio. La carga del dispositivo Citrix ADC equilibra varios dispositivos en línea cuando hay un gran volumen de tráfico.
- Selección inteligente de tráfico. Es posible que se inspeccione el contenido de cada paquete que entra en el dispositivo, por ejemplo, la descarga de archivos de texto. El usuario puede configurar el dispositivo Citrix ADC para seleccionar tráfico específico (por ejemplo, archivos.exe) para su inspección y enviar el tráfico a dispositivos en línea para procesar los datos
Cómo se integra Citrix ADC con los dispositivos en línea
El siguiente diagrama muestra cómo se integra un dispositivo Citrix ADC con dispositivos de seguridad en línea.
Cuando integra dispositivos en línea con el dispositivo Citrix ADC, el componente interactúa según lo siguiente:
- Un cliente envía una solicitud al dispositivo Citrix ADC.
- El dispositivo recibe la solicitud y la envía a un dispositivo en línea basado en la evaluación de directivas.Nota: Si hay dos o más dispositivos en línea, la carga del dispositivo equilibra los dispositivos y envía el tráfico. Si el tráfico entrante es cifrado, el dispositivo descifra los datos y los envía como texto sin formato al dispositivo en línea para la inspección del contenido.
- El dispositivo en línea inspecciona los datos en busca de amenazas y decide si quiere eliminar, restablecer o enviar los datos al dispositivo.
- Si hay amenazas de seguridad, el dispositivo modifica los datos y los envía al dispositivo.
- El Citrix ADC vuelve a cifrar los datos y reenvía la solicitud al servidor back-end.
- El servidor back-end envía la respuesta al dispositivo Citrix ADC.
- El dispositivo vuelve a descifrar los datos y los envía al dispositivo en línea para su inspección.
- El dispositivo vuelve a cifrar los datos y envía la respuesta al cliente
Licencias de software
Para implementar la integración de dispositivos en línea, el dispositivo Citrix ADC debe aprovisionarse con una de las siguientes licencias:
- ADC Premium
- ADC Avanzado
- Telco avanzado
- Telco Premium
- Licencia SWG
Configuración de la integración de dispositivos en línea
Puede configurar un dispositivo Citrix ADC con un dispositivo en línea de tres maneras diferentes. Los casos de configuración son los siguientes.
Caso 1 para usar un único dispositivo en línea
如果desea integrar联合国dispositivo de seguridad (IPSo NGFW) en modo en línea, primero debe habilitar la función Inspección de contenido y habilitar Citrix ADC en MBF (reenvío basado en Mac) en modo global. Una vez habilitadas las funciones, debe agregar el perfil Inspección de contenido, agregar la acción Inspección de contenido para los dispositivos en línea para restablecer, bloquear o eliminar el tráfico según la inspección. A continuación, agregue la directiva de inspección de contenido para el dispositivo para decidir qué subconjunto de tráfico enviar a los dispositivos en línea. A continuación, configure el servidor virtual de equilibrio de carga con la conexión de capa 2 habilitada en el servidor. Finalmente, vincule la directiva de inspección de contenido al servidor virtual de equilibrio de carga.
Habilitar el modo MBF (reenvío basado en Mac)
Si quiere que el dispositivo Citrix ADC se integre en dispositivos integrados como IPS o firewalls, debe habilitar este modo. Para obtener más información acerca de MBF, vea el tema Configurar reenvío basado en Mac.
En el símbolo del sistema, escriba:
enable ns mode mbf
Habilitar inspección de contenido
Si desea que el dispositivo Citrix ADC descifrado y, a continuación, envíe el contenido para su inspección a los dispositivos en línea, debe habilitar las funciones Inspección de contenido y equilibrio de carga.
enable ns feature contentInspection LoadBalancing
Método de conexión Add Layer 2
Para gestionar la respuesta generada por dispositivos en línea, el dispositivo utiliza el canal VLAN como método de capa 2 (L2ConnMethod) de comunicación con dispositivos en línea.
En el símbolo del sistema, escriba:
set l4param -l2ConnMethod
Ejemploset l4param –l2ConnMethod VlanChannel
Agregar perfil de inspección de contenido para el servicio
La configuración de dispositivos en línea para un dispositivo Citrix ADC se puede especificar en una entidad denominada perfil de inspección de contenido. El perfil tiene una colección de configuraciones que explican cómo integrarse con un dispositivo en línea.
En el símbolo del sistema, escriba:
add contentInspection profile
Ejemplo:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
Agregar monitor IPS-TCP
Si quiere configurar monitores, agregue un monitor definido por el usuario.Nota: Si quiere configurar monitores, debe usar un monitor personalizado. Al agregar un monitor, debe habilitar el parámetro transparente.
En el símbolo del sistema, escriba:
add lb monitor
Ejemplo:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
Agregar un servicio
Agregar un servicio. Especifique una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establezcause source IP address(USIP) en YES. Ajusteuseproxyporten NO. De forma predeterminada, la supervisión del estado está activada, enlaza el servicio a un monitor de estado y también establece la opción TRANSPARENTE en el monitor ON. En el símbolo del sistema, escriba:
add service
Ejemplo:
add service ips_service 192.168.10.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof
Agregar un monitor de estado
De forma predeterminada, el monitor de estado está activado y también tiene la opción de desactivarlo, si es necesario. En el símbolo del sistema, escriba:
add lb monitor
Ejemplo:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
Vincular el servicio al monitor de estado
Después de configurar el monitor de estado, debe vincular el servicio al monitor de estado. En el símbolo del sistema, escriba:
bind service
Ejemplo:
bind service ips_svc -monitorName ips_tcp
Agregar acción de inspección de contenido para el servicio
Después de habilitar la función Inspección de contenido y, a continuación, después de agregar el perfil y el servicio en línea, debe agregar la acción Inspección de contenido para gestionar la solicitud. En función de la acción de inspección de contenido, el dispositivo en línea puede soltar, restablecer o bloquear la acción después de inspeccionar los datos.
Si el servidor o servicio en línea está inactivo, puede configurar elifserverdownparámetro en el dispositivo para realizar cualquiera de las siguientes acciones.
CONTINUAR: Si el usuario quiere omitir la inspección de contenido cuando el servidor remoto está inactivo, puede elegir la acción “CONTINUAR”, como predeterminada. RESET (predeterminado): esta acción responde al cliente cerrando la conexión con RST. DROP: Esta acción deja caer silenciosamente los paquetes sin enviar una respuesta al usuario.
En el símbolo del sistema, escriba:
add contentInspection action
add ContentInspection action
Ejemplo:
add ContentInspection action
Agregar directiva de inspección de contenido para inspección
Después de crear una acción de inspección de contenido, debe agregar directivas de Inspección de contenido para evaluar las solicitudes de inspección. La directiva se basa en una regla que consta de una o más expresiones. La directiva evalúa y selecciona el tráfico para la inspección en función de la regla.
En el símbolo del sistema, escriba lo siguiente:
add contentInspection policy
Ejemploadd contentInspection policy Inline_pol1 –rule true –action Inline_action
Agregar servidor virtual de cambio de contenido o equilibrio de carga de tipo HTTP/SSL
Para recibir el tráfico web, debe agregar un servidor virtual de equilibrio de carga. También debe habilitar la conexión layer2 en el servidor virtual.
En el símbolo del sistema, escriba:
add lb vserver
Ejemplo:
add lb vserver HTTP_vserver HTTP 10.102.29.200 8080 –l2Conn ON
Vincular la directiva de inspección de contenido al servidor virtual de cambio de contenido o al servidor virtual de equilibrio de carga de tipo HTTP/SSL
Enlazar el servidor virtual de equilibrio de carga o el servidor virtual de cambio de contenido de tipo HTTP/SSL a la directiva Inspección de contenido. En el símbolo del sistema, escriba lo siguiente:
绑定磅vserver < vserver名称> -policyName <波利奇y_name > -priority < priority > -type
Ejemplo:
bind lb vserver HTTP_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
Caso 2: Equilibrio de carga de varios dispositivos en línea mediante interfaces dedicadas
Si utiliza dos o más dispositivos en línea, debe equilibrar la carga de los dispositivos mediante diferentes servicios de inspección de contenido en una configuración de VLAN dedicada. En este caso, la carga del dispositivo Citrix ADC equilibra los dispositivos además de enviar un subconjunto de tráfico a cada dispositivo a través de una interfaz dedicada. Para ver los pasos básicos de configuración, consulte el caso 1.
Agregar perfil de inspección de contenido1 para el servicio1
Las configuraciones en línea para un dispositivo Citrix ADC se pueden especificar en una entidad denominada perfil de inspección de contenido. El perfil tiene una colección de configuraciones del dispositivo. El perfil1 de inspección de contenido1 se crea para el servicio en línea 1 y la comunicación se realiza a través de interfaces dedicadas 1/2 y 1/3.
En el símbolo del sistema, escriba:
add contentInspection profile
Ejemplo:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
Agregar perfil de inspección de contenido2 para el servicio2
El perfil de inspección de contenido 2 se agrega para servicio2 y el dispositivo en línea se comunica con el dispositivo a través1/4de interfaces1/5dedicadas. En el símbolo del sistema, escriba:
add contentInspection profile
Ejemplo:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface “1/4” -egressInterface “1/5”
Agregar servicio 1 para el dispositivo en línea 1
Después de habilitar la función Inspección de contenido y agregar el perfil en línea, debe agregar un servicio en línea 1 para que el dispositivo en línea 1 forme parte de la configuración de equilibrio de carga. El servicio que se agrega proporciona todos los detalles de configuración en línea.
En el símbolo del sistema, escriba:
add service
Ejemplo:
add service Inline_service1 10.102.29.200 TCP 80 -contentInspectionProfileName Inline_profile1 -healthmonitor OFF -usip ON -useproxyport OFF
Agregar servicio 2 para el dispositivo en línea 2
Después de habilitar la función Inspección de contenido y agregar el perfil en línea, debe agregar un servicio en línea 2 para el dispositivo en línea 2. El servicio que se agrega proporciona todos los detalles de configuración en línea.
En el símbolo del sistema, escriba:
add service
Ejemplo:
add service Inline_service1 10.29.20.205 TCP 80 -contentInspectionProfileName Inline_profile2 -healthmonitor OFF -usip ON -useproxyport OFF
Agregar servidor virtual de equilibrio de carga
Después de agregar el perfil en línea y los servicios, debe agregar un servidor virtual de equilibrio de carga para equilibrar la carga de los servicios.
En el símbolo del sistema, escriba:
add lb vserver
Ejemplo:
add lb vserver lb-Inline_vserver TCP *
Enlace el servicio 1 al servidor virtual de equilibrio de carga
在需要在el servidor虚拟de equilibrio de carga, ahora vincule el servidor virtual de equilibrio de carga al primer servicio.
En el símbolo del sistema, escriba:
bind lb vserver
Ejemplo:
bind lb vserver lb-Inline_vserver Inline_service1
Enlace el servicio 2 al servidor virtual de equilibrio de carga
在需要在el servidor虚拟de equilibrio de carga, ahora vincule el servidor al segundo servicio.
En el símbolo del sistema, escriba:
bind lb vserver
Ejemplo:
bind lb vserver lb-Inline_vserver Inline_service2
Agregar acción de inspección de contenido para el servicio
Después de habilitar la función Inspección de contenido, debe agregar la acción de inspección de contenido para gestionar la información de solicitud en línea. En función de la acción seleccionada, el dispositivo en línea cae, se restablece o bloquea después de examinar el subconjunto de tráfico dado.
En el símbolo del sistema, escriba:
add contentInspection action
add ContentInspection action < action_name > -type InlineINSPECTION -serverName Service_name/Vserver_name>
Ejemplo:
add ContentInspection action Inline_action -type InlineINSPECTION –serverName lb-Inline_vserver
Agregar directiva de inspección de contenido para inspección
Después de crear una acción Inspección de contenido, debe agregar la directiva Inspección de contenido para evaluar las solicitudes de servicio. La directiva se basa en una regla que consta de una o más expresiones. La regla está asociada a la acción de inspección de contenido asociada si una solicitud coincide con la regla.
En el símbolo del sistema, escriba lo siguiente:
add contentInspection policy
Ejemplo:
add contentInspection policy Inline_pol1 –rule true –action Inline_action
Agregar servidor virtual de cambio de contenido o equilibrio de carga de tipo HTTP/SSL
Agregue un servidor virtual de cambio de contenido o equilibrio de carga para aceptar tráfico web. También debe habilitar la conexión layer2 en el servidor virtual. Para obtener más información sobre el equilibrio de cargas, consulte el temaCómo funciona el equilibriode cargas.
En el símbolo del sistema, escriba:
add lb vserver
Ejemplo:
add lb vserver http_vserver HTTP 10.102.29.200 8080 –l2Conn ON
Vincular directiva de inspección de contenido al servidor virtual de equilibrio de carga de tipo HTTP/SSL
Debe vincular el servidor virtual de cambio de contenido o equilibrio de carga de tipo HTTP/SSL a la directiva de inspección de contenido.
En el símbolo del sistema, escriba lo siguiente:
绑定磅vserver < vserver名称> -policyName <波利奇y_name > -priority <> -type
Ejemplo:
bind lb vserver http_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
Caso 3: Equilibrio de carga de varios dispositivos en línea mediante interfaces compartidas
Puede hacer referencia a esta configuración si está usando varios dispositivos en línea y si quiere equilibrar la carga de los dispositivos mediante diferentes servicios en una interfaz VLAN compartida. Esta configuración mediante interfaces VLAN compartidas es similar al caso 2. Para obtener información sobre la configuración básica, consulte el caso 2.
Vincular VLAN A con opción de uso compartido habilitada
En el símbolo del sistema, escriba lo siguiente:
bind vlan
Ejemplo:
bind vlan 100 –ifnum 1/2 tagged
Vincular VLAN B con opción de uso compartido habilitada
En el símbolo del sistema, escriba lo siguiente:
bind vlan
Ejemplo:
bind vlan 200 –ifnum 1/3 tagged
Vincular VLAN C con opción de uso compartido habilitada
En el símbolo del sistema, escriba lo siguiente:
bind vlan
Ejemplo:
bind vlan 300 –ifnum 1/2 tagged
Vincular VLAN D con opción de uso compartido habilitada
En el símbolo del sistema, escriba lo siguiente:
bind vlan
Ejemplo:
bind vlan 400 –ifnum 1/3 tagged
Agregar perfil de inspección de contenido1 para el servicio1
Las configuraciones en línea para un dispositivo Citrix ADC se pueden especificar en una entidad denominada perfil de inspección de contenido. El perfil tiene una colección de configuraciones del dispositivo. El perfil Inspección de contenido se crea para el servicio en línea 1 y la comunicación se realiza a través de 1/2 y 1/3 interfaces dedicadas.
En el símbolo del sistema, escriba:
add contentInspection profile
Ejemplo:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3” –egressVlan 100 -ingressVlan 300
Agregar perfil de inspección de contenido2 para el servicio2
El perfil de inspección de contenido 2 se agrega para servicio2 y el dispositivo en línea se comunica con el dispositivo a través1/2de interfaces1/3dedicadas.
En el símbolo del sistema, escriba:
add contentInspection profile
Ejemplo:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3” –egressVlan 200 -ingressVlan 400
Configurar la integración de servicios en línea mediante la GUI de Citrix ADC
- Inicie sesión en el dispositivo Citrix ADC y vaya a la páginade la ficha Configuración.
- Vaya aSistema>Configuración>Configurar modos.
- En la páginaConfigurar modos, seleccioneReenvío basado en Mac.
Haga clic enAceptaryCerrar.
- Vaya aSistema>Configuración>Configurar funciones avanzadas.
- En la páginaConfigurar función avanzada, seleccioneInspección de contenido.
Haga clic enAceptaryCerrar.
- Acceda aSeguridad>Inspección de contenido>Perfiles de inspección de contenido.
- En la páginaPerfiles de inspección de contenido, haga clic enAgregar.
En la páginaCrear perfiles de inspección de contenido, defina los siguientes parámetros.
- Nombre del perfil. Nombre del perfil de inspección de contenido.
- Tipo. Seleccione el tipo de perfil como InlineInspection.
- Interfaz de salida. Interfaz a través de la cual el dispositivo envía tráfico desde Citrix ADC al dispositivo en línea.
- Interfaz de entrada. Interfaz a través de la cual el dispositivo recibe tráfico desde el dispositivo en línea al Citrix ADC.
- VLAN de salida. ID de VLAN de interfaz a través del cual se envía el tráfico al dispositivo Inline.
- Entrada de VLAN. ID de VLAN de interfaz a través del cual el dispositivo recibe tráfico de Inline a Citrix ADC (si está configurado).
- Haga clic enCrearycerrar.
- Vaya aAdministración del tráfico>Equilibrio de carga>Serviciosy haga clic enAgregar.
En la páginaServicios, establezca los siguientes parámetros:
- Nombre del servicio. Nombre del servicio de equilibrio de carga.
- Dirección IP. Utilice una dirección IP falsa. Nota: Ningún dispositivo debe poseer la dirección IP.
- Protocolo. Seleccione el tipo de protocolo como TCP.
- Puerto. Introducir *
- Monitorización de la salud. Desactive esta opción y habilite solo si desea enlazar el servicio al monitor de tipo TCP. Si desea enlazar un monitor al servicio, entonces la
TRANSPARENTopción en el monitor debe estar ON. Consulte el paso 14 sobre cómo agregar monitor y cómo vincularlo al servicio. - Haga clic enAceptar.
En la secciónConfiguración, modifique lo siguiente y haga clic enAceptar.
- Usar Puerto Proxy: Desactivar
- Usar dirección IP de origen: Enciéndela
- En la secciónConfiguración avanzada, haga clic enPerfiles.
Vaya a la secciónPerfiles, agregue el perfil de inspección de contenido en línea y haga clic enAceptar.
- Vaya a la secciónMonitores,Agregar enlaces>Seleccione监控>Agregar.
- Nombre: Nombre del monitor
- Tipo: Seleccione el tipo TCP
- IP de destino, PUERTO: Dirección IP de destino y puerto.
- Transparente: Encienda
Nota: Los paquetes del monitor deben fluir a través del dispositivo en línea para supervisar el estado del dispositivo en línea.
Haga clic enCrear.
- Haga clic enDone.
- Vaya aAdministración del tráfico>Equilibrio de carga>Servidores virtuales. Agregue un servidor virtual de tipo HTTP o SSL.
- Después de introducir los detalles del servidor, haga clic enAceptary de nuevo enAceptar.
- En la secciónConfiguración del tráficodel Servidor virtual de equilibrio de carga, active los parámetros de capa 2.
- En la secciónConfiguración avanzada, haga clic enDirectivas.
- Vaya a la secciónDirectivasy haga clic en el icono “+” para configurar la directiva de inspección de contenido.
- En la páginaElegir directiva, seleccione Inspección de contenido. Haga clic enContinuar.
En la secciónEnlace de directivas, haga clic enAgregarpara agregar una directiva de inspección de contenido.
- En la páginaCrear directiva de inspección de contenido, escriba un nombre para la directiva de inspección de contenido en línea.
- En el campoAcción, haga clic enAgregarpara crear una acción de inspección de contenido en línea.
En la páginaCrear Acción de CI, establezca los siguientes parámetros:
- Name. Nombre de la directiva Inline de inspección de contenido.
- Tipo. Seleccione el tipo como InlineInspection.
- Servidor. Seleccione el servidor/servicio como dispositivos Inline.
- Si el servidor está inactivo. Seleccione una operación si el servidor se desactiva.
- Solicite tiempo de espera. Seleccione un valor de tiempo de espera. Puede utilizar valores predeterminados.
- Solicitar acción de tiempo de espera. Seleccione una acción de tiempo de espera. Puede utilizar valores predeterminados.
Haga clic enCrear.
- Haga clic enCrear.
- En la páginaCrear Directiva de CI, introduzca otros detalles:
- Haga clic enAceptaryCerrar.
