アプリケ,ション·アクセス制御の設定
アプリケーション・アクセス制御は,管理アクセス制御とも呼ばれ,ユーザー認証を管理し,アプリケーションおよびデータへのユーザー・アクセスを決定するルールを実装するための統一されたメカニズムを形成します。截取を構成して,管理アプリケ,ションへのアクセスを提供できます。NSIPの管理アクセスはデフォルトで有効になっており、無効にすることはできません。ただし、ACL を使用して制御することはできます。
Aclの使用の詳細にいては,アクセス制御リスト(acl)を参照してください。
Citrix ADCアプラ@ @アンスは,VIPへの管理アクセスをサポ@ @トしていません。
次の表は,管理アクセスとTelnetの特定のサ,ビス設定の間の相互作用をまとめたものです。
管理アクセス | Telnet(Citrix ADCで設定された状態) | Telnet(IPレベルでの有効状態) |
---|---|---|
有効化 | 有効化 | 有効化 |
有効化 | 無効化 | 無効化 |
無効化 | 有効化 | 無効化 |
無効化 | 無効化 | 無効化 |
次の表に,アウトバウンドトラフィックで送信元IPアドレスとして使用されるIPアドレスの概要を示します。
アプリケション/ IP | NSIP | 剪断 | 贵宾 |
---|---|---|---|
ARP | はい | はい | いいえ |
サ,バ,側のトラフィック | いいえ | はい | いいえ |
RNAT | いいえ | はい | はい |
ICMP平 | はい | はい | いいえ |
動的ル,ティング | はい | はい | はい |
次の表に,これらのIPアドレスで使用できるアプリケ,ションの概要を示します。
アプリケション/ IP | NSIP | 剪断 | 贵宾 |
---|---|---|---|
SNMP | はい | はい | はい |
システムアクセス | はい | はい | いいえ |
Telnet、SSH GUI, FTPなどのアプリケーションを使用して,Citrix ADCにアクセスして管理できます。
注:セキュリティ上の理由から,Citrix ADCではTelnetとFTPが無効になっています。有効にするには,カスタマ,サポ,トに連絡してください。アプリケ,ションを有効にしたら,ipレベルでコントロ,ルを適用できます。
これらのアプリケーションに応答するようにCitrix ADCを構成するには,特定の管理アプリケーションを有効にする必要があります。IPアドレスの管理アクセスを無効にすると,そのIPアドレスを使用する既存の接続は終了しませんが,新しい接続を開始することはできません。
また,基盤となるFreeBSDオペレーティングシステムで実行されている非管理アプリケーションはプロトコル攻撃を受けやすく,これらのアプリケーションはCitrix ADCアプライアンスの攻撃防止機能を活用しません。
snipまたはnsip上のこれらの非管理アプリケションへのアクセスをブロックできます。アクセスがブロックされると,剪断またはNSIPを使用してCitrix ADCに接続しているユーザーは,基盤となるオペレーティングシステムで実行されている非管理アプリケーションにアクセスできなくなります。
Cliを使用してIPアドレスの管理アクセスを設定するには、次の手順を実行します。
コマンドプロンプトで入力します。
设置IP
例:
> set ns ip 10.102.29.54 -mgmtAccess enabled -restrictAccess enabled Done
GUIを使用してIPアドレスの管理アクセスを有効にするには,次の手順を実行します。
- 系统>网络>“诱导多能性”>ipv4に移動します。
- IPアドレスエントリを開き,[一覧表示されたアプリケ,ションをサポ,トするために管理アクセス制御を有効にする]オプションを選択します。
サブネットIPアドレス(剪)を使用してCitrix ADC GUIへの安全なアクセスを有効にする
Citrix ADC IP (NSIP)では,Citrix ADC GUIへのセキュアアクセスがデフォルトで有効になっています。アプライアンスのサブネットIPアドレスを使用して,Citrix ADCアプライアンスへの安全なアクセスを有効にすることもできます。
ハイアベイラビリティペアへのセキュアアクセス用の剪アドレスを設定した後,剪断アドレスにアクセスすると,プライマリアプライアンスがセキュアアクセスできるようになります。
Citrix ADC LI手順
CLIを使用してサブネットIPアドレス(剪)を使用してCitrix ADC GUIへの安全なアクセスを有効にするには:
コマンドプロンプトで入力します。
ns IPタescプに設定< SNIP_Address >snp -guiセキュアオンリ,-mgmtAccess有効
例:
> set ns ip 203.0.113.99 -mgmtAccess enabled -restrictAccess enabled Done