Citrix ADCとのインラインデバイス統合
侵入防止システム(IPS)や次世代ファイアウォール(NGFW)などのセキュリティデバイスは、ネットワーク攻撃からサーバーを保護します。これらのデバイスはレイヤ 2 インラインモードで展開され、その主な機能は、ネットワーク攻撃からサーバを保護し、ネットワーク上のセキュリティ上の脅威を報告することです。
脆弱な脅威を防ぎ、高度なセキュリティ保護を提供するために、Citrix ADCアプライアンスは1つ以上のインラインデバイスと統合されています。インラインデバイスには、IPS、NGFW などの任意のセキュリティデバイスを使用できます。
以下は、Citrix ADCアプライアンスとのインラインデバイス統合を使用することでメリットが得られるいくつかの使用例です。
- 暗号化されたトラフィックの検査。ほとんどの IPS および NGFW アプライアンスは、暗号化されたトラフィックをバイパスするため、サーバは攻撃に対して脆弱になります。Citrix ADCアプライアンスは、トラフィックを復号化し、検査のためにインラインデバイスに送信できます。これにより、お客様のネットワークセキュリティが強化されます。
- TLS/SSL 処理からのインラインデバイスのオフロード。TLS/SSL 処理にはコストがかかり、トラフィックを復号化すると、IPSまたはNGFWアプライアンスのシステムCPUが高くなる可能性があります。暗号化されたトラフィックが急速に増加するにつれて、これらのシステムは暗号化されたトラフィックの復号化と検査に失敗します。Citrix ADCは、インラインデバイスをTLS/SSL処理からオフロードするのに役立ちます。その結果、大量のトラフィック検査をサポートするインラインデバイスが実現します。
- 負荷分散インラインデバイス。Citrix ADCアプライアンスは、大量のトラフィックがある場合、複数のインラインデバイスの負荷分散を行います。
- トラフィックのスマートな選択。アプライアンスに流れるすべてのパケットは、テキストファイルのダウンロードなど、コンテンツ検査が行われる場合があります。Citrix ADCアプライアンスを構成して、検査用に特定のトラフィック(.exeファイルなど)を選択し、データを処理するためにトラフィックをインラインデバイスに送信できます。
Citrix ADCをインラインデバイスと統合する方法
次の図は、Citrix ADCがインラインセキュリティデバイスとどのように統合されているかを示しています。
インラインデバイスをCitrix ADCアプライアンスと統合すると、コンポーネントは次のように相互作用します。
- クライアントがCitrix ADCアプライアンスに要求を送信します。
- アプライアンスは要求を受信し、ポリシー評価に基づいてインラインデバイスに送信します。注:複数のインラインデバイスがある場合、アプライアンスはデバイスの負荷分散を行い、トラフィックを送信します。 着信トラフィックが暗号化されたトラフィックの場合、アプライアンスはデータを復号化し、コンテンツ検査のためにプレーンテキストとしてインラインデバイスに送信します。
- インラインデバイスは、データの脅威を検査し、データをドロップ、リセット、またはアプライアンスに戻すかどうかを決定します。
- セキュリティ上の脅威がある場合、デバイスはデータを修正してアプライアンスに送信します。
- Citrix ADCはデータを再暗号化し、要求をバックエンドサーバーに転送します。
- バックエンドサーバーは、Citrix ADCアプライアンスにレスポンスを送信します。
- アプライアンスは再びデータを復号化し、検査のためにインラインデバイスに送信します。
- アプライアンスがデータを再暗号化し、応答をクライアントに送信する
ソフトウェアライセンス
インラインデバイス統合を展開するには、Citrix ADCアプライアンスに次のいずれかのライセンスをプロビジョニングする必要があります。
- ADC Premium
- ADC Advanced
- Telco Advanced
- Telco Premium
- SWG license
インラインデバイス統合の設定
インラインデバイスを使用してCitrix ADCアプライアンスを構成するには、3つの方法があります。構成シナリオは次のとおりです。
単一のインラインデバイスを使用する場合のシナリオ 1
セキュリティデバイス(IPSまたはNGFW)をインラインモードで統合する場合は、最初にコンテンツ検査機能を有効にし、グローバルモードでMBF(MACベースの転送)でCitrix ADCを有効にすることから始める必要があります。機能を有効にしたら、コンテンツ検査プロファイルを追加し、インラインデバイスのコンテンツ検査アクションを追加して、検査に基づいてトラフィックをリセット、ブロック、またはドロップする必要があります。次に、アプライアンスのコンテンツ検査ポリシーを追加して、インラインデバイスに送信するトラフィックのサブセットを決定します。次に、サーバー上でレイヤ 2 接続を有効にして負荷分散仮想サーバーを構成します。最後に、コンテンツ検査ポリシーを負荷分散仮想サーバにバインドします。
MBF(MAC ベースフォワーディング)モードを有効にする
Citrix ADCアプライアンスをIPSやファイアウォールなどのインラインデバイスに統合する場合は、このモードを有効にする必要があります。MBF の詳細については、「MAC ベースフォワーディングを設定する」を参照してください。
コマンドプロンプトで入力します。
enable ns mode mbf
コンテンツ検査を有効にする
Citrix ADCアプライアンスでコンテンツを復号化してから、検査用のコンテンツをインラインデバイスに送信する場合は、コンテンツ検査と負荷分散機能を有効にする必要があります。
enable ns feature contentInspection LoadBalancing
レイヤ 2 接続方法の追加
インラインデバイスによって生成された応答を処理するために、アプライアンスはVLANチャネルをインラインデバイスとの通信のレイヤー2メソッド(L2ConnMethod)として使用します。
コマンドプロンプトで入力します。
set l4param -l2ConnMethod
例set l4param –l2ConnMethod VlanChannel
サービスのコンテンツ検査プロファイルを追加
Citrix ADCアプライアンスのインラインデバイス構成は、コンテンツ検査プロファイルと呼ばれるエンティティで指定できます。プロファイルには、インラインデバイスとの統合方法を説明する設定のコレクションがあります。
コマンドプロンプトで入力します。
add contentInspection profile
例:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
IPS-TCP モニタの追加
モニターを構成する場合は、ユーザー定義モニターを追加します。注: モニターを構成する場合は、カスタムモニターを使用する必要があります。モニタを追加するときは、transparent パラメータを有効にする必要があります。
コマンドプロンプトで入力します。
add lb monitor
例:
加磅监控ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
サービスを追加する
サービスを追加します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。use source IP address(USIP)を YES に設定します。useproxyportをNOに設定します。デフォルトでは、ヘルスモニタリングは ON で、サービスをヘルスモニタにバインドし、モニタの [トランスペアレント] オプションも設定します。コマンドプロンプトで入力します。
添加服务<服务公司ice_name>
例:
add service ips_service 192.168.10.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof
ヘルスモニターを追加する
デフォルトでは、ヘルスモニターはオンになっており、必要に応じて無効にするオプションもあります。コマンドプロンプトで入力します。
add lb monitor
例:
加磅监控ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
サービスをヘルスモニターにバインドする
ヘルスモニターを構成したら、サービスをヘルスモニターにバインドする必要があります。コマンドプロンプトで入力します。
bind service
例:
bind service ips_svc -monitorName ips_tcp
サービスの内容検査アクションを追加
コンテンツ検査機能を有効にした後、インラインプロファイルとサービスを追加した後、要求を処理するためのコンテンツ検査アクションを追加する必要があります。コンテンツ検査アクションに基づいて、インラインデバイスは、データを検査した後、アクションをドロップ、リセット、またはブロックできます。
インラインサーバーまたはサービスがダウンしている場合は、アプライアンスのifserverdownパラメーターを構成して、次のいずれかのアクションを実行できます。
CONTINUE:リモートサーバーがダウンしているときにユーザーがコンテンツ検査をバイパスしたい場合は、デフォルトで「CONTINUE」アクションを選択できます。 RESET(デフォルト):このアクションは、RSTとの接続を閉じることによってクライアントに応答します。 DROP:このアクションは、ユーザーに応答を送信せずにパケットをサイレントにドロップします。
コマンドプロンプトで入力します。
add contentInspection action
add ContentInspection action
例:
add ContentInspection action
検査用のコンテンツ検査ポリシーの追加
コンテンツ検査アクションを作成したら、コンテンツ検査ポリシーを追加して、検査要求を評価する必要があります。ポリシーは、1 つ以上の式で構成される規則に基づいています。ポリシーは、ルールに基づいて検査対象のトラフィックを評価し、選択します。
コマンドプロンプトで、次のように入力します。
add contentInspection policy
例add contentInspection policy Inline_pol1 –rule true –action Inline_action
HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サーバーの追加
Webトラフィックを受信するには,負荷分散仮想サーバーを追加する必要があります。また,仮想サーバ上で layer2 接続を有効にする必要があります。
コマンドプロンプトで入力します。
add lb vserver
例:
add lb vserver HTTP_vserver HTTP 10.102.29.200 8080 –l2Conn ON
コンテンツ検査ポリシーをコンテンツスイッチング仮想サーバーまたはHTTP/SSLタイプの負荷分散仮想サーバーにバインド
タイプの負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーをバインドします HTTP/SSL コンテンツ検査ポリシーに。 コマンドプロンプトで、次のように入力します。
bind lb vserver
例:
bind lb vserver HTTP_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
シナリオ 2:専用インターフェイスを使用した複数のインラインデバイスの負荷分散
2 つ以上のインラインデバイスを使用している場合は、専用 VLAN 設定で、異なるコンテンツインスペクションサービスを使用してデバイスを負荷分散する必要があります。この場合、Citrix ADCアプライアンスは、専用のインターフェイスを介して各デバイスにトラフィックのサブセットを送信する上でデバイスの負荷分散を行います。 基本的な設定手順については、シナリオ 1 を参照してください。
サービス 1 のコンテンツ検査プロファイル 1 の追加
Citrix ADCアプライアンスのインライン構成は、コンテンツ検査プロファイルと呼ばれるエンティティで指定できます。プロファイルには、デバイス設定のコレクションがあります。コンテンツ検査プロファイル 1 はインラインサービス 1 用に作成され、通信は 1/2 および 1/3 専用インターフェイスを介して行われます。
コマンドプロンプトで入力します。
add contentInspection profile
例:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
サービス 2 のコンテンツ検査プロファイル 2 の追加
コンテンツインスペクションプロファイル2がservice2に追加され、インラインデバイスは1/4および1/5専用インターフェイスを介してアプライアンスと通信します。 コマンドプロンプトで入力します。
add contentInspection profile
例:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface “1/4” -egressInterface “1/5”
インラインデバイス1 のサービス 1 の追加
コンテンツ検査機能を有効にしてインラインプロファイルを追加したら、インラインデバイス 1 のインラインサービス 1 を負荷分散設定の一部として追加する必要があります。追加するサービスは、すべてのインライン構成の詳細を提供します。
コマンドプロンプトで入力します。
添加服务<服务公司ice_name_1>
例:
add service Inline_service1 10.102.29.200 TCP 80 -contentInspectionProfileName Inline_profile1 -healthmonitor OFF -usip ON -useproxyport OFF
インラインデバイス2 のサービス 2 の追加
コンテンツ検査機能を有効にしてインラインプロファイルを追加したら、インラインデバイス 2 のインラインサービス 2 を追加する必要があります。追加するサービスは、すべてのインライン構成の詳細を提供します。
コマンドプロンプトで入力します。
添加服务<服务公司ice_name_1>
例:
add service Inline_service1 10.29.20.205 TCP 80 -contentInspectionProfileName Inline_profile2 -healthmonitor OFF -usip ON -useproxyport OFF
負荷分散仮想サーバの追加
インラインプロファイルおよびサービスを追加したら、サービスの負荷分散用の負荷分散仮想サーバーを追加する必要があります。
コマンドプロンプトで入力します。
add lb vserver
例:
add lb vserver lb-Inline_vserver TCP *
サービス 1 を負荷分散仮想サーバにバインド
負荷分散仮想サーバーを追加した後、負荷分散仮想サーバーを最初のサービスにバインドします。
コマンドプロンプトで入力します。
bind lb vserver
例:
bind lb vserver lb-Inline_vserver Inline_service1
サービス2を負荷分散仮想サーバーにバインドする
負荷分散仮想サーバーを追加した後、サーバーを 2 番目のサービスにバインドします。
コマンドプロンプトで入力します。
bind lb vserver
例:
bind lb vserver lb-Inline_vserver Inline_service2
サービスのコンテンツ検査アクションを追加する
コンテンツ検査機能を有効にしたら、インライン要求情報を処理するための Content Inspection アクションを追加する必要があります。選択されたアクションに基づいて、インラインデバイスは、指定されたトラフィックのサブセットを検査した後、ドロップ、リセット、またはブロックします。
コマンドプロンプトで入力します。
add contentInspection action
add ContentInspection action < action_name > -type InlineINSPECTION -serverName Service_name/Vserver_name>
例:
add ContentInspection action Inline_action -type InlineINSPECTION –serverName lb-Inline_vserver
検査用のコンテンツ検査ポリシーの追加
コンテンツ検査アクションを作成した後、サービスの要求を評価するためにコンテンツ検査ポリシーを追加する必要があります。ポリシーは、1 つ以上の式で構成される規則に基づいています。ルールは、リクエストがルールに一致した場合に関連付けられるコンテンツ検査アクションに関連付けられます。
コマンドプロンプトで、次のように入力します。
add contentInspection policy
例:
add contentInspection policy Inline_pol1 –rule true –action Inline_action
HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サーバーの追加
Web トラフィックを受け入れるために、コンテンツスイッチングまたは負荷分散仮想サーバーを追加します。また、仮想サーバ上で layer2 接続を有効にする必要があります。 ロードバランシングの詳細については、「負荷分散の仕組み」トピックを参照してください。
コマンドプロンプトで入力します。
add lb vserver
例:
add lb vserver http_vserver HTTP 10.102.29.200 8080 –l2Conn ON
コンテンツ検査ポリシーを HTTP/SSL タイプの仮想サーバーの負荷分散にバインドする
HTTP/SSL タイプのコンテンツスイッチングまたは負荷分散仮想サーバーを、コンテンツ検査ポリシーにバインドする必要があります。
コマンドプロンプトで、次のように入力します。
bind lb vserver
例:
bind lb vserver http_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
シナリオ 3:共有インターフェイスを使用した複数のインラインデバイスの負荷分散
複数のインラインデバイスを使用していて、共有 VLAN インターフェイスで異なるサービスを使用してデバイスを負荷分散する場合は、この設定を参照できます。共有 VLAN インターフェイスを使用したこの設定は、ユースケース 2 に似ています。基本的な設定については、シナリオ 2 を参照してください。
共有オプションが有効になっている状態で VLAN A をバインド
コマンドプロンプトで、次のように入力します。
bind vlan
例:
绑定vlan 100 -ifnum 1/2tagged
共有オプションが有効になっている状態で VLAN B をバインド
コマンドプロンプトで、次のように入力します。
bind vlan
例:
bind vlan 200 –ifnum 1/3 tagged
共有オプションを有効にして VLAN C をバインド
コマンドプロンプトで、次のように入力します。
bind vlan
例:
bind vlan 300 –ifnum 1/2 tagged
共有オプションが有効になっている状態で VLAN D をバインド
コマンドプロンプトで、次のように入力します。
bind vlan
例:
bind vlan 400 –ifnum 1/3 tagged
サービス 1 のコンテンツ検査プロファイル 1 の追加
Citrix ADCアプライアンスのインライン構成は、コンテンツ検査プロファイルと呼ばれるエンティティで指定できます。プロファイルには、デバイス設定のコレクションがあります。コンテンツ検査プロファイルはインラインサービス1用に作成され、通信は 1/2 そして 1/3 専用インターフェース。
コマンドプロンプトで入力します。
add contentInspection profile
例:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3” –egressVlan 100 -ingressVlan 300
サービス 2 のコンテンツ検査プロファイル 2 の追加
コンテンツインスペクションプロファイル2がservice2に追加され、インラインデバイスは1/2および1/3専用インターフェイスを介してアプライアンスと通信します。
コマンドプロンプトで入力します。
add contentInspection profile
例:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3” –egressVlan 200 -ingressVlan 400
Citrix ADC GUIを使用したインラインサービス統合の構成
- Citrix ADCアプライアンスにログオンし、[構成]タブページに移動します。
- [システム] >[設定] > [モードの設定] に移動します。
- [モードの設定] ページで、[Macベースの転送] を選択します。
[OK]をクリックして[閉じる]をクリックします。
- [システム] >[設定] > [拡張機能の設定] に移動します。
- [拡張機能の設定] ページで、[コンテンツ検査] を選択します。
[OK]をクリックして[閉じる]をクリックします。
- [セキュリティ] > [コンテンツ検査] > [コンテンツ検査プロファイル] に移動します。
- 「コンテンツ検査プロファイル」ページで、「追加」をクリックします。
「コンテンツ検査プロファイルの作成」ページで、次のパラメータを設定します。
- プロファイル名。コンテンツ検査プロファイルの名前。
- タイプ。プロファイルタイプを [インライン検査] として選択します。
- 出力インターフェイス。アプライアンスがCitrix ADCからインラインデバイスにトラフィックを送信するためのインターフェイス。
- 入力インターフェイス。アプライアンスがインラインデバイスからCitrix ADCへのトラフィックを受信するためのインターフェイス。
- 出力 VLAN。トラフィックがインラインデバイスに送信されるインターフェイス VLAN ID。
- 入力 VLAN。アプライアンスがインラインからCitrix ADCへのトラフィックを受信するインターフェイスVLAN ID(設定されている場合)。
- [作成]して[閉じる]をクリックします。
- [トラフィック管理] > [負荷分散] > [サービス] に移動し、[追加] をクリックします。
[サービス] ページで、次のパラメータを設定します。
- サービス名。負荷分散サービスの名前。
- IP アドレス。ダミーの IP アドレスを使用します。注:どのデバイスもIPアドレスを所有してはなりません。
- プロトコル。プロトコルの種類を TCP として選択します。
- ポート。* と入力します。
- ヘルスモニタリング。このオプションをクリアし、サービスをTCPタイプモニターにバインドする場合にのみ有効にします。モニターをサービスにバインドする場合は、モニターの
TRANSPARENTオプションをオンにする必要があります。モニターを追加する方法とサービスにバインドする方法については、手順 14 を参照してください。 - [OK]をクリックします。
[設定] セクションで、次の項目を編集し、[OK] をクリックします。
- プロキシポートを使用:オフ
- 送信元 IP アドレスを使用:オン
- [詳細設定]セクションで、[プロファイル] をクリックします。
[プロファイル] セクションに移動し、インラインコンテンツ検査プロファイルを追加して [OK] をクリックします。
- [モニター] セクション、[バインドの追加]>[モニター]> [追加] の順に選択します。
- 名前:モニタの名前
- タイプ:TCP タイプの選択
- 宛先 IP、ポート:宛先 IP アドレスおよびポート。
- 透明:オン
注意: インラインデバイスのステータスを監視するには、監視パケットがインラインデバイスを通過する必要があります。
[作成]をクリックします。
- [完了]をクリックします。
- [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動します。HTTP または SSL タイプの仮想サーバーを追加します。
- サーバの詳細を入力したら、[OK] をクリックし、もう一度 [OK] をクリックします。
- [負荷分散仮想サーバー]の [トラフィック設定]セクションで、[レイヤ 2 パラメータ] をオンにします。
- [詳細設定]セクションで、[ポリシー] をクリックします。
- [ポリシー]セクションに移動し、[ “+” アイコンを使用して、コンテンツ検査ポリシーを構成します。
- [ポリシーの選択]ページで、[コンテンツ検査]を選択します。[続行]をクリックします。
[ポリシーのバインド] セクションで、[追加] をクリックしてコンテンツ検査ポリシーを追加します。
- [コンテンツ検査ポリシーの作成]ページで、インラインコンテンツ検査ポリシーの名前を入力します。
- [アクション] フィールドで、[追加] をクリックして、インラインコンテンツインスペクションアクションを作成します。
[CI アクションの作成]ページで、次のパラメータを設定します。
- Name:コンテンツ検査インラインポリシーの名前。
- タイプ。タイプを「 インライン検査」として選択します。
- サーバー。サーバー/サービスをインラインデバイスとして選択します。
- サーバがダウンしている場合。サーバーがダウンした場合の操作を選択します。
- 要求タイムアウト。タイムアウト値を選択します。デフォルト値を使用できます。
- 要求タイムアウトアクション。タイムアウト処理を選択します。デフォルト値を使用できます。
[作成]をクリックします。
- [作成]をクリックします。
- [CI ポリシーの作成]ページで、その他の詳細を入力します。
- [OK]をクリックして[閉じる]をクリックします。
