Citrix ADCとパッシブセキュリティデバイスの統合(侵入検知システム)
Citrix ADCアプライアンスは,侵入検知システム(IDS)などのパッシブセキュリティデバイスと統合されました。これらのパッシブデバイスはログを保存し,不良または非準拠のトラフィックを検出するとアラートをトリガーします。。Citrix ADCアプライアンスが2つ以上のIDSデバイスに統合されており、トラフィックが多い場合、アプライアンスは仮想サーバーレベルでトラフィックのクローンを作成することでデバイスの負荷を分散できます。
高度なセキュリティ保護のために,Citrix ADCアプライアンスは,検出専用モードで展開されたIDSなどのパッシブセキュリティデバイスと統合されています。これらのデバイスはログを保存し,不良または非準拠のトラフィックを検出するとアラートをトリガーします。。Citrix ADCをIDSデバイスと統合する利点の一部を次に示します。
- 暗号化されたトラフィックを検査する。ほとんどのセキュリティデバイスは暗号化されたトラフィックをバイパスするため,サーバは攻撃に対して脆弱になります。Citrix ADCアプライアンスは、トラフィックを復号化してIDSデバイスに送信し、顧客のネットワークセキュリティを強化できます。
- インラインデバイスをTLS / SSL処理からオフロードする。TLS / SSLの処理にはコストがかかり,侵入検知デバイスがトラフィックを復号化すると,システムCPUが高くなります。暗号化されたトラフィックが急速に増加するにつれて,これらのシステムは暗号化されたトラフィックの復号化と検査に失敗します。Citrix ADCは,TLS / SSL処理からIDSデバイスへのトラフィックをオフロードするのに役立ちます。この方法でデータをオフロードすると,IDSデバイスは大量のトラフィックインスペクションをサポートすることになります。
- idCitrix ADCアプライアンスは,トラフィックが多い場合,仮想サーバーレベルでトラフィックのクローンを作成することにより,複数のIDSデバイスの負荷を分散します。
- トラフィックをパッシブデバイスに複製する。アプライアンスに流入するトラフィックは,コンプライアンスレポートを生成するために,他のパッシブデバイスに複製できます。たとえば,一部のパッシブデバイスにすべてのトランザクションを記録するよう義務付けている政府機関はほとんどありません。
- トラフィックを複数のパッシブデバイスにファンニングする。一部のお客様は,着信トラフィックを複数のパッシブデバイスにファンアウトまたは複製することを好みます。
- トラフィックのスマートな選択。アプライアンスに流入するすべてのパケットは,テキストファイルのダウンロードなど,内容を検査する必要がない場合があります。ユーザーは,特定のトラフィック(. exeファイルなど)を検査用に選択し,そのトラフィックをIDSデバイスに送信してデータを処理するようにCitrix ADCアプライアンスを構成できます。
思杰(Citrix) ADC / L2:通通通、通通通、通通通、通通通、通通通
次の図は,IDSがCitrix ADCアプライアンスとどのように統合されるかを示しています。
。
- 。
- アプライアンスはトラフィックをインターセプトし,コンテンツインスペクションポリシーの評価に基づいてIDSデバイスに複製します。
- トラフィックが暗号化されたものである場合,アプライアンスはデータを復号化し,プレーンテキストとして送信します。
- ポリシー評価に基づいて,アプライアンスは“镜子”タイプのコンテンツ検査アクションを適用します。
- アクションには,IDSサービスまたは負荷分散サービス(複数のIDSデバイス統合用)が設定されています。
IDSデバイスは,アプライアンス上でコンテンツ検査サービスタイプ“任何”として設定されています。コンテンツ検査サービスは、IDS デバイスにデータを転送する必要がある出力インターフェイスを指定する「MIRROR」タイプのコンテンツ検査プロファイルに関連付けられます。オプションで、コンテンツ検査プロファイルに VLAN タグを設定することもできます。
注:
- IP:。
- Citrix ADCアプライアンスは,出力インターフェイスでLAチャネルをサポートしていません。
- その後,アプライアンスは出力インターフェイスを介して1つ以上のIDSデバイスにデータを複製します。
- 同様に,バックエンドサーバーがCitrix ADCに応答を送信すると,アプライアンスはデータを複製してIDSデバイスに転送します。
- アプライアンスが1つ以上のIDSデバイスに統合されていて,デバイスの負荷分散を希望する場合は,負荷分散仮想サーバを使用できます。
ソフトウェアライセンス
インラインデバイス統合を展開するには,Citrix ADCアプライアンスに次のいずれかのライセンスをプロビジョニングする必要があります。
- ADC的溢价
- ADC先进
- 电信先进
- 电信公司
【中文译文
IDSデバイスとCitrix ADCは,2つの異なる方法で統合できます。
シナリオ1:単一のIDSデバイスとの統合
。
- コンテンツ検査を有効にする
- 镜像。
- “任何”(任何)
- “魔镜”的英文怎么说
- id:
- コンテンツ検査ポリシーをHTTP / SSLタイプのコンテンツスイッチングまたは負荷分散仮想サービスにバインドする
コンテンツ検査を有効にする
Citrix ADCアプライアンスが検査のためにコンテンツをIDSデバイスに送信するようにするには,復号化の実行に関係なく,コンテンツ検査と負荷分散機能を有効にする必要があります。
。
启用ns feature contentInspection LoadBalancing
“镜像”
“镜子”タイプのコンテンツ検査プロファイルは,IDSデバイスへの接続方法を説明しています。。
add contentInspection profile
例:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN
我的名字是
アプライアンスと統合されているIDSデバイスごとに,“任何”タイプのサービスを設定する必要があります。。【中文】:。
。
add service
例:
添加服务IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor关闭
中文:镜像、镜像、镜像、镜像、镜像
コンテンツ検査機能を有効にしてIDSプロファイルとサービスを追加したら,要求を処理するための内容检查アクションを追加する必要があります。コンテンツ検査アクションに基づいて,アプライアンスはIDSデバイスにデータをドロップ,リセット,ブロック,または送信できます。
。
add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>
例:
add ContentInspection action IDS_action -type MIRROR -serverName IDS_service
id:
コンテンツ検査アクションを作成したら,コンテンツ検査ポリシーを追加して検査の要求を評価する必要があります。このポリシーは1つ以上の式で構成されるルールに基づいています。ポリシーは、ルールに基づいてインスペクション対象のトラフィックを評価し、選択します。
。
add contentInspection policy < policy_name > -rule <规则> -action
例:
add contentInspection policy IDS_pol1 -rule true -action IDS_action
コンテンツ検査ポリシーをHTTP / SSLタイプのコンテンツスイッチングまたは負荷分散仮想サービスにバインドする
Web。。
添加lb vserver
例:
添加lb vserver HTTP_vserver HTTP 1.1.1.3 8080
コンテンツ検査ポリシーをHTTP / SSLタイプのコンテンツスイッチング仮想サーバーまたは負荷分散仮想サーバーにバインドする
HTTP / SSLタイプの負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーをコンテンツ検査ポリシーにバインドする必要があります。
。
bind lb vserver
例:
bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
シナリオ2:複数のIDSデバイスの負荷分散
2つ以上のIDSデバイスを使用している場合は,異なるコンテンツ検査サービスを使用してデバイスの負荷分散を行う必要があります。この場合,Citrix ADCアプライアンスは,トラフィックのサブセットを各デバイスに送信するだけでなく,デバイスの負荷を分散します。1 .。
。
- 1 .镜像,镜像,镜像,镜像,镜像
- 2、镜像、镜像、镜像、镜像
- IDSデバイス1にタイプ任何のIDSサービス1を追加する
- IDSデバイス2にタイプ任何のIDSサービス2を追加する
- 任何一种都可以
- IDSサービス1を負荷分散仮想サーバーにバインドする
- IDSサービス2を負荷分散仮想サーバーにバインドする
- 。
- 検査用のコンテンツ検査ポリシーを追加する
- Http / ssl
- コンテンツ検査ポリシーをHTTP / SSLタイプの負荷分散仮想サーバーにバインドする
1 .镜像,镜像,镜像,镜像,镜像
IDS設定は,コンテンツ検査プロファイルと呼ばれるエンティティで指定できます。。コンテンツ検査プロファイル1 が IDS サービス 1 用に作成されます。
。
add contentInspection profile
例:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1
中文:http://
サービス2にはコンテンツ検査プロファイル2が追加され,インラインデバイスは出力1/1インターフェイスを介してアプライアンスと通信します。
。
add contentInspection profile
例:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1
IDSデバイス1にタイプ任何のIDSサービス1を追加する
コンテンツ検査機能を有効にしてインラインプロファイルを追加したら,インラインデバイス1のインラインサービス1を負荷分散設定の一部として追加する必要があります。。
。
add service
例:
添加服务IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF
注
IP。
IDSデバイス2にタイプ任何のIDSサービス2を追加する
コンテンツ検査機能を有効にしてインラインプロファイルを追加したら,インラインデバイス2にインラインサービス2を追加する必要があります。。
。
add service
例:
1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2 . add service IDS_service 1
注
IP。
負荷分散仮想サーバの追加
インラインプロファイルとサービスを追加したら,サービスの負荷分散用の負荷分散仮想サーバを追加する必要があります。
。
add lb vserver
例:
添加lb vserver lb- ids_vserver ANY 1.1.1.2
IDSサービス1を負荷分散仮想サーバーにバインドする
。
。
bind lb vserver
例:
绑定lb vserver lb- ids_vserver IDS_service1
IDSサービス2を負荷分散仮想サーバーにバインドする
2 .。
。
bind lb vserver
例:
绑定lb vserver lb- ids_vserver IDS_service2
IDSサービスのコンテンツ検査アクションを追加する
コンテンツ検査機能を有効にしたら,インラインリクエスト情報を処理するための”コンテンツ検査”アクションを追加する必要があります。選択したアクションに基づいて,アプライアンスはIDSデバイスへのトラフィックをドロップ,リセット,ブロック,または送信します。
。
添加内容检查动作
例:
add ContentInspection action IDS_action -type MIRROR -serverName lb-IDS_vserver
検査用のコンテンツ検査ポリシーを追加する
コンテンツ検査アクションを作成したら,サービス要求を評価するコンテンツ検査ポリシーを追加する必要があります。
。
add contentInspection policy
例:
add contentInspection policy IDS_pol1 -rule true -action IDS_action
Http / ssl
Webトラフィックを受け入れるために,コンテンツスイッチングまたは負荷分散仮想サーバーを追加します。また,仮想サーバ上でlayer2接続を有効にする必要があります。
“。
。
添加lb vserver
例:
添加lb vserver http_vserver HTTP 1.1.1.1 8080
コンテンツ検査ポリシーをHTTP / SSLタイプの負荷分散仮想サーバーにバインドする
HTTP / SSLタイプのコンテンツスイッチング仮想サーバーまたは負荷分散仮想サーバーをコンテンツ検査ポリシーにバインドする必要があります。
。
bind lb vserver
例:
bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
Citrix ADC GUI
- [小甜甜] > [コンテンツ検査] > [コンテンツ検査プロファイル[中文]
- [コンテンツ検査プロファイル] [qh]追加[au:]
- [コンテンツ検査プロファイルの作成[中文]:。
- プロファイル名。。
- [gm66nd]。プロファイルタイプを MIRROR として選択します。
- ★★★★★★★Citrix ADCからIDSデバイスにトラフィックが送信されるインターフェイス。
- 出力VLAN(任意)トラフィックがIDSデバイスに送信される際のインターフェイスVLAN ID。
[作成]。
- 【翻译>負荷分散>这就是我的意思、追加をクリックします。
- [中文:太好了[中文]:。
- [詳細設定], [プロファイル[au:]
- [プロファイル[翻译]鉛筆]アイコンをクリックしてコンテンツ検査プロファイルを追加します。
(好的)。
- [負荷分散] > [サーバー[中文]HTTP、SSL、密文、密文、密文、密文。
- ,”OK”をクリックし,もう一度”OK”。
- [詳細設定], [ポリシー[au:]
- [ポリシー[翻译]鉛筆[中文]。
- [gm66nd], [コンテンツ検査[au:][続行]。
- [汪汪汪汪汪汪[+]。
- [词[中文]:。
- [行动[+]]フィールドで記号をクリックし,镜子タイプのIDSコンテンツ検査アクションを作成します。
[中文][中文]:。
a.名称:。
b。。c。サーバー名:サーバ/サービス名を[インラインデバイス]として選択します。
D.。E.。。。
。。。
[作成]。
- [中文][中文],,,,,,,,,,
- [好吧]をクリックして閉じます。
負荷分散およびIDSデバイスへのトラフィックのレプリケーションに関するCitrix ADC GUI構成の詳細については,“負荷分散”を参照してください。
コンテンツ変換後にトラフィックをバックエンドオリジンサーバーに負荷分散および転送するためのCitrix ADC GUI構成の詳細については,”負荷分散”(英文)。