リモートコンテンツ検査用の毅联汇业
インターネットコンテンツ適応プロトコル(ICAP)はHTTPメッセージで付加価値変換サービスを実行するためのシンプルで軽量なプロトコルです。典型的なシナリオでは,ICAPクライアントはHTTP要求と応答を1つ以上のICAPサーバーに転送して処理します。ICAPサーバーは,要求に対してコンテンツ変換を実行し,要求または応答に対して実行する適切なアクションで応答を返します。
Citrix ADC ICAP
Citrix ADCセットアップでは,アプライアンスはサードパーティのICAPサーバー(マルウェア対策やデータ損失保護(DLP)など)と相互運用するICAPクライアントとして機能します。アプライアンスが着信网络トラフィックを受信すると,アプライアンスはトラフィックを傍受し,コンテンツ検査ポリシーを使用してHTTP要求にICAP処理が必要かどうかを評価します。”“はいの場合,アプライアンスはメッセージを復号化し,プレーンテキストとしてICAPサーバーに送信します。ICAPサーバーは,要求メッセージに対してコンテンツ変換サービスを実行し,アプライアンスに応答を送り返します。。アプライアンスが複数のICAPサーバーと相互運用している場合,アプライアンスはICAPサーバーの負荷分散を実行します。このシナリオは1つのICAPサーバですべてのトラフィック負荷を処理するのに十分でない場合に発生します。ICAPサーバーが変更されたメッセージを返すと,アプライアンスは変更されたメッセージをバックエンドのオリジンサーバーに転送します。
Citrix ADCアプライアンスは,着信トラフィックがHTTPSタイプの場合,セキュアなICAPサービスを提供します。アプライアンスはSSLベースのTCPサービスを使用して,アプライアンスとICAPサーバー間のセキュアな接続を確立します。
icap (reqmod)
要求変更(REQMOD)モードでは,Citrix ADCアプライアンスはクライアントから受信したHTTP要求をICAPサーバーに転送します。Icap,。
- 変更されたバージョンの要求を返送し,アプライアンスは変更された要求をバックエンドのオリジンサーバーに送信するか,変更された要求を別のICAPサーバーにパイプライン処理します。
- 。
- 。
ICAPレスポンス修正(RESPMOD)の仕組み
応答変更(RESPMOD)モードでは,Citrix ADCアプライアンスはICAPサーバーにHTTP応答を送信します(アプライアンスによって送信される応答は通常,オリジンサーバーによって送信される応答です)。Icap,。
- 応答の変更バージョンを送信し,アプライアンスは応答をユーザーに送信するか,応答を別のICAPサーバーにパイプラインします。
- 。
- 。
我知道了
ICAP機能は,Citrix ADCスタンドアロンまたはCitrix ADC溢价ライセンスエディションまたは先进ライセンスエディションを使用した高可用性セットアップで動作します。
コンテンツ変換サービス用のICAPの構成
コンテンツ変換サービスにICAPを使用するには,まずコンテンツ検査機能と負荷分散機能を有効にする必要があります。★★★★★★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
コンテンツ検査を有効にするには
Citrix ADCアプライアンスをICAPクライアントとして動作させる場合は,まずコンテンツ検査および負荷分散機能を有効にする必要があります。
。
启用ns feature contentInspection LoadBalancing 我知道了
Citrix ADCアプライアンスのICAP構成は,ICAPプロファイルと呼ばれるエンティティで指定されます。。設定には,毅联汇业要求を動的に生成し,ICAP応答を受信し,コンテンツ検査データをログに記録するためのパラメーターが含まれます。
ICAPサーバーへの毅联汇业要求を動的に生成するために,新しいパラメーター“insertHTTPRequestがICAPプロファイルに追加されます。このパラメータが設定されている場合,アプライアンスは設定された値をポリシー式として受け取り,式を評価し,結果をカプセル化されたHTTP要求または応答として含め,ICAPサーバーに送信します。また,新しいパラメータinsertICAPHeadersは,ICAPヘッダーを動的に評価して含めるように構成できます。
アプライアンスが毅联汇业要求を送信し,ICAPサーバーに応答を受信しない場合,接続は応答しなくなります。。我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是。。構成済みの要求タイムアウト内にCitrix ADCアプライアンスが応答を受信しない場合,要求タイムアウトアクションが実行されます。
ReqTimeout:。旁路:これは,リモートICAPサーバーの応答を無視し,クライアント/サーバーに要求/応答を送信します。重置(。下降:ユーザーに応答を送信せずにリクエストを削除する
中文:1 .中文:1 .中文:1 .中文:1 .中文毅联汇业。RES。? ?HTTP_CALLOUTのHTTP。RES“”“”“”。
たとえば,Citrix ADCアプライアンスが,Citrix ADC仮想IPアドレスの背後にホストされるサービスに対するHTTPリクエストを受信した場合,アプライアンスは外部サーバーとのクライアントの認証をチェックし,アクションを実行しなければならない場合があります。
。
add ns icapProfile
例:
add icapprofile reqmod-profile -mode RESPMOD -uri " /req_scan " -hostHeader " Webroot。“NS_SWG-Proxy”
add ns icapProfile icap_prof1 -uri "/example" -Mode REQMOD -reqtimeout 4 -reqtimeoutaction BYPASS
> add icapProfile reqmode-profile -uri '/example' -mode REQMOD -insertHTTPRequest q{HTTP.REQ。方法+ " " + HTTP.REQ.URL +“HTTP / 1.1 \ r \ n”+“主持人:”+ HTTP.REQ.HOSTNAME + " \ r \ n \ r \ n "}
ICAPコンテンツ検査アクションの記録
コンテンツ検査ログストリームレコードまたはSYSLOGログを動的に生成するには,ICAP応答で毅联汇业。re。このパラメータは,ICAPプロファイルで構成して,動的ログレコードを生成するポリシー式を構成できます。
。
add audit messageaction icap_log_expr INFORMATIONAL icap.res.full_header
设置icapProfile reqmode-profile -logAction messageaction
Icap、TCP、TCP、TCP、ssl_tcp、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP、TCP
コンテンツ検査機能を有効にした後,負荷分散セットアップの一部となるICAPサーバーにICAPサービスを追加する必要があります。追加するサービスによって,Citrix ADCアプライアンスと負荷分散仮想サーバー間のICAP接続が提供されます。
注:管理者は,ICAPサービスを追加し,コンテンツ検査アクションでICAPサーバーのIPアドレスを直接構成できます。
。
添加服务 例:
add service icapsv1 10.10.10.10 SSL_TCP 1345
add service icapsv2 10.10.10.11 SSL_TCP 1345
ssl_tcp
ICAPサービスを作成したら,ICAPトラフィックを受け入れ,ICAPサーバーの負荷分散を行う仮想サーバーを作成する必要があります。
注:
また,SSLベースのTCPサービスを,セキュリティで保護されたチャネル経由で使用することもできます。。
。
添加lb vserver 例:
添加lb vserver vicap SSL_TCP 0.0.0.0 -persistenceType NONE -cltTimeout 9000——NeedCopy >負荷分散仮想サーバーにICAPサービスをバインドする
ICAPサービスと仮想サーバーを作成したら,ICAPサービスを仮想サーバーにバインドする必要があります。
。
绑定lb vserver 例:
绑定lb vserver vicap icapsv1 コンテンツ検査アクションの追加
コンテンツ検査機能を有効にしたら,ICAPリクエスト情報を処理するためのICAPアクションを追加する必要があります。作成されたICAPプロファイルとサービス,または負荷分散仮想サーバーは,ICAPアクションにバインドされます。icapifserverdown。
继续:リモートサーバーがダウンしているときにユーザーがコンテンツ検査をバイパスしたい場合は,デフォルトで“继续”アクションを選択できます。重置(デフォルト):このアクションは,RSTとの接続を閉じることによってクライアントに応答します。drop:。
。
add contentInspection action -type ICAP - servername - icapprofilename - name> -type ICAP -serverip - serverport - icapprofilename 注:
負荷分散仮想サーバーの代わりにICAPサービスを構成できる場合は,
\ < -serverip >。コンテンツ検査アクションを追加すると、TCP サービスはポート 1344 の指定された IP アドレスに対して自動的に作成され、ICAP 通信に使用されます。
例:
add ContentInspection动作ci_act_lb -type ICAP - servername vicap - icapprofilename icap_reqmod add ContentInspection动作ci_act_svc -type ICAP - servername icapsv1 - icapprofilename icap_reqmod add ContentInspection动作ci_act_svc -type ICAP -serverip 1.1.1.1 - serverport 1344 - icapprofilename icap_reqmod コンテンツ検査ポリシーの追加
コンテンツ検査アクションを作成したら,コンテンツ検査ポリシーを作成して,ICAP処理と監査ロギングの要求を評価する必要があります。ポリシーは1つ以上の式で構成される規則に基づいています。ルールは,要求がルールに一致した場合に関連付けられるコンテンツインスペクションアクションに関連付けられます。
。
添加contentInspection policy -rule -action 例:
添加内容检查策略ci_pol_basic -rule true -action ci_act_svc添加内容检查策略ci_pol_HTTP -rule HTTP.REQ.URL.CONTAINS(" html ") -action ci_act_svc コンテンツ検査ポリシーをコンテンツスイッチングまたは負荷分散仮想サーバーにバインドする
ICAPポリシーを有効にするには,ICAPポリシーをグローバルにバインドするか,アプリケーションのフロントエンドである内容切换または負荷分散仮想サーバーにバインドする必要があります。。。
注:
。
コンテンツ変換後にトラフィックをバックエンドオリジンサーバーに転送するための負荷分散設定の構成については,”負荷分散”(英文)。
【翻译
Citrix ADCアプライアンスとICAP Webサーバー間のセキュアな接続を確立するために,アプライアンスはSSLベースのTCPサービスまたはICAPアクションにバインドされた負荷分散仮想サーバーを使用します。
★★★★★★★★★★★★★★★★★★★★★★★
- SSL TCP。
- SSLベースのTCPサービスを,TCPまたはSSL_TCPタイプの仮想サーバの負荷分散にバインドします。
- SSLベースのTCPサービスまたは負荷分散仮想サーバーをコンテンツ検査アクションにバインドします。
ssl
Citrix ADCアプライアンスとICAP Webサーバー間のセキュアな接続を確立するために,アプライアンスはSSLベースのTCPサービスまたはICAPアクションにバインドされた負荷分散仮想サーバーを使用します。
★★★★★★★★★★★★★★★★★★★★★★★
- SSL TCP。
- SSLベースのTCPサービスを,TCPまたはSSL_TCPタイプの仮想サーバの負荷分散にバインドします。
SSL TCP
ssl
コンテンツ検査機能を有効にした後,負荷分散セットアップの一部となるセキュリティで保護されたICAPサービスを追加する必要があります。追加するサービスにより,Citrix ADCアプライアンスと負荷分散仮想サーバー間のセキュアなICAP接続が提供されます。
。
添加服务 例:
add service icapsv2 10.102.29.200 SSL_TCP 1344 -gslb NONE -maxclient 0 -maxReq 0 -cip DISABLED -usip NO -useproxport YES -sp ON -cltTimeout 9000 -svrTimeout 9000 -CKA NO -TCPB NO -CMP NO SSL_TCPまたはTCP負荷分散仮想サーバーにSSL_TCPベースのTCPサービスをバインドします
保護されたICAPサービスを作成したら,サービスを負荷分散仮想サーバーにバインドする必要があります。。
。
绑定lb vserver 例:
绑定lb vserver vicap icapsv2 SSLベースのTCPサービスまたは負荷分散仮想サーバーをコンテンツ検査アクションにバインドする
毅联汇业要求情報を処理するためのICAPアクションを追加し,SSLベースのTCPサービスをアクションにバインドします。
。
add contentInspection action -type ICAP -serverName -icapProfileName 例:
add ContentInspection动作ci_act_svc -type ICAP -serverName icapsv2 -icapProfileName icap_reqmod add ContentInspection动作ci_act_svc -type ICAP -serverName vicap -icapProfileName icap_reqmod GUIを使用してICAPプロトコルを構成する
- [負荷分散] > [乙:乙:乙[英文]追加[au:]
- [乙:乙:乙[中文],,,,,,,,,
- [負荷分散] > [仮想サーバー[中文]Http / ssl。【中文】:∕∕∕∕∕∕∕∕∕∕∕∕∕編集[au:]。
- , [继续[au:]
- [詳細設定], [ポリシー[au:]
- [ポリシー[au:] [au:]鉛筆。
- [gm66nd], [コンテンツ検査[au:][続行]。
- [ポリシーのバインド[au:]+[中文]。
- 我很高兴。
- [アクション[+]。
- 「ICAPアクションの作成“。
- 。
- [服务器名称[中文]:。
- 「caps“。
- 「icap“ページで,プロファイル名,URI,およびモードを入力します。
- [作成]。
- 「icap“,”作成“哇!哇!哇!”
- 我很高兴,式エディター“真的”、“真的”、作成“哇!哇!哇!”
- []。
- コンテンツ検査機能を有効にするかどうかを確認するメッセージが表示されたら,(はい[au:]
- [完了]。
コンテンツ変換後にトラフィックをバックエンドオリジンサーバーに負荷分散および転送するためのCitrix ADC GUI構成の詳細については,”負荷分散”(英文)。
GUIを使用してセキュリティで保護されたICAPプロトコルを構成する
- [負荷分散] > [乙:乙:乙[英文]追加[au:]
- [乙:乙:乙[中文],,,,,,,,,
- [負荷分散] > [仮想サーバー[中文]Http / ssl。【中文】:∕∕∕∕∕∕∕∕∕∕∕∕∕編集[au:]。
- , [继续[au:]
- [詳細設定], [ポリシー[au:]
- [ポリシー[au:] [au:]鉛筆。
- [gm66nd], [コンテンツ検査[au:][続行]。
- [ポリシーのバインド[au:]+[中文]。
- 我很高兴。
- [アクション[+]。
- 「ICAPアクションの作成“。
- 。
- 「サーバー名”。
- 「caps“。
- 「icap“ページで,プロファイル名,URI,およびモードを入力します。
- [作成]。
- 「icap“,”作成“哇!哇!哇!”
- 我很高兴,式エディター“真的”、“真的”、作成“哇!哇!哇!”
- []。
- コンテンツ検査機能を有効にするかどうかを確認するメッセージが表示されたら,(はい[au:]
- [完了]。
リモートコンテンツ検査の監査ログサポート
着信要求または発信応答がコンテンツ検査された場合,Citrix ADCアプライアンスはICAPの詳細を記録します。。
(1)、(1)、(1)、(1)、(1)、(1)、(1)、(1)、(1)。
<源IP><目的IP><域><服务URI> <策略动作>< !——NeedCopy > コンテンツ検査要求ログメッセージの例:
Apr 18 14:45:41 10.106.97.104 04/18/2018:14:45:41 GMT 0- pep -0: default CI ICAP_LOG 788 0:源10.102.1.98:39048 -目的10.106.97.89:8011 -域10.106.97.89 - Content-Type application/x-网址-form-urlencoded - ICAP Server 10.106.97.99:1344 - Mode REQMOD - Service /example - Response 204 - Action FORWARD コンテンツ検査された応答ログメッセージの例:
04/18/2018:12:34:08 GMT 0- ppe -0: default CI ICAP_LOG 71 0:源10.106.97.105:18552 -目的10.106.97.99:80 -域NA -内容类型NA - ICAP服务器10.106.97.99:1344 -模式RESPMOD -服务/示例-响应400 -动作内部错误