思杰ADCとパッシブセキュリティデバイスの統合(侵入検知システム)
Citrix ADCアプライアンスは,侵入検知システム(IDS)などのパッシブセキュリティデバイスと統合されました。これらのパッシブデバイスはログを保存し,不良または非準拠のトラフィックを検出するとアラートをトリガーします。また,コンプライアンスのためのレポートも生成します。Citrix ADCアプライアンスが2つ以上のIDSデバイスに統合されており、トラフィックが多い場合、アプライアンスは仮想サーバーレベルでトラフィックのクローンを作成することでデバイスの負荷を分散できます。
高度なセキュリティ保護のために,Citrix ADCアプライアンスは,検出専用モードで展開されたIDSなどのパッシブセキュリティデバイスと統合されています。これらのデバイスはログを保存し,不良または非準拠のトラフィックを検出するとアラートをトリガーします。また,コンプライアンスのためのレポートも生成します。Citrix ADCをIDSデバイスと統合する利点の一部を次に示します。
- 暗号化されたトラフィックを検査する。ほとんどのセキュリティデバイスは暗号化されたトラフィックをバイパスするため,サーバは攻撃に対して脆弱になります。Citrix ADCアプライアンスは、トラフィックを復号化してIDSデバイスに送信し、顧客のネットワークセキュリティを強化できます。
- インラインデバイスをtls / ssl処理からオフロードする。TLS / SSLの処理にはコストがかかり,侵入検知デバイスがトラフィックを復号化すると,システムCPUが高くなります。暗号化されたトラフィックが急速に増加するにつれて,これらのシステムは暗号化されたトラフィックの復号化と検査に失敗します。Citrix ADCは,TLS / SSL処理からIDSデバイスへのトラフィックをオフロードするのに役立ちます。この方法でデータをオフロードすると,IDSデバイスは大量のトラフィックインスペクションをサポートすることになります。
- idデバイスの負荷分散Citrix ADCアプライアンスは,トラフィックが多い場合,仮想サーバーレベルでトラフィックのクローンを作成することにより,複数のIDSデバイスの負荷を分散します。
- トラフィックをパッシブデバイスに複製する。アプライアンスに流入するトラフィックは,コンプライアンスレポートを生成するために,他のパッシブデバイスに複製できます。たとえば,一部のパッシブデバイスにすべてのトランザクションを記録するよう義務付けている政府機関はほとんどありません。
- トラフィックを複数のパッシブデバイスにファンニングする。一部のお客様は,着信トラフィックを複数のパッシブデバイスにファンアウトまたは複製することを好みます。
- トラフィックのスマートな選択。アプライアンスに流入するすべてのパケットは,テキストファイルのダウンロードなど,内容を検査する必要がない場合があります。ユーザーは,特定のトラフィック(. exeファイルなど)を検査用に選択し,そのトラフィックをIDSデバイスに送信してデータを処理するようにCitrix ADCアプライアンスを構成できます。
Citrix ADCがL2接続を備えたIDSデバイスとどのように統合されるか
次の図は,IDSがCitrix ADCアプライアンスとどのように統合されるかを示しています。
コンポーネントの相互作用は次のように与えられます。
- クライアントは,HTTP/HTTPS要求をCitrix ADCアプライアンスに送信します。
- アプライアンスはトラフィックをインターセプトし,コンテンツインスペクションポリシーの評価に基づいてIDSデバイスに複製します。
- トラフィックが暗号化されたものである場合,アプライアンスはデータを復号化し,プレーンテキストとして送信します。
- ポリシー評価に基づいて,アプライアンスは“镜子”タイプのコンテンツ検査アクションを適用します。
- アクションには,IDSサービスまたは負荷分散サービス(複数のIDSデバイス統合用)が設定されています。
IDSデバイスは,アプライアンス上でコンテンツ検査サービスタイプ“任何”として設定されています。コンテンツ検査サービスは、IDS デバイスにデータを転送する必要がある出力インターフェイスを指定する「MIRROR」タイプのコンテンツ検査プロファイルに関連付けられます。オプションで、コンテンツ検査プロファイルに VLAN タグを設定することもできます。
注:
- idサービスまたはサーバに使用されるIPアドレスはダミーアドレスです。
- Citrix ADCアプライアンスは,出力インターフェイスでLAチャネルをサポートしていません。
- その後,アプライアンスは出力インターフェイスを介して1つ以上のIDSデバイスにデータを複製します。
- 同様に,バックエンドサーバーがCitrix ADCに応答を送信すると,アプライアンスはデータを複製してIDSデバイスに転送します。
- アプライアンスが1つ以上のIDSデバイスに統合されていて,デバイスの負荷分散を希望する場合は,負荷分散仮想サーバを使用できます。
ソフトウェアライセンス
インラインデバイス統合を展開するには,Citrix ADCアプライアンスに次のいずれかのライセンスをプロビジョニングする必要があります。
- ADC的溢价
- ADC先进
- 电信先进
- Telcoプレミアム
侵入検知システム統合の設定
IDSデバイスとCitrix ADCは,2つの異なる方法で統合できます。
シナリオ1:単一のidsデバイスとの統合
コマンドラインインターフェイスを使用して設定する必要がある手順を次に示します。
- コンテンツ検査を有効にする
- idデバイスを表すサービス用に,镜像タイプのコンテンツ検査プロファイルを追加します。
- タイプ" any "のidsサービスを追加する
- タイプ“镜像”のコンテンツ検査アクションを追加する
- id検査のコンテンツ検査ポリシーを追加する
- コンテンツ検査ポリシーをHTTP / SSLタイプのコンテンツスイッチングまたは負荷分散仮想サービスにバインドする
コンテンツ検査を有効にする
Citrix ADCアプライアンスが検査のためにコンテンツをIDSデバイスに送信するようにするには,復号化の実行に関係なく,コンテンツ検査と負荷分散機能を有効にする必要があります。
コマンドプロンプトで入力します。
enable ns feature contentInspection LoadBalancing
タイプ“镜像”のコンテンツ検査プロファイルの追加
“镜子”タイプのコンテンツ検査プロファイルは,IDSデバイスへの接続方法を説明しています。コマンドプロンプトで," "と入力します。
add contentInspection profile
例:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10
idサービスの追加
アプライアンスと統合されているIDSデバイスごとに,“任何”タイプのサービスを設定する必要があります。このサービスにはidsデバイス設定の詳細が含まれています。このサービスはidsデバイスを表します。
コマンドプロンプトで入力します。
add service
例:
add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF
idサービスのmirrorタイプのコンテンツ検査アクションを追加する
コンテンツ検査機能を有効にしてIDSプロファイルとサービスを追加したら,要求を処理するための内容检查アクションを追加する必要があります。コンテンツ検査アクションに基づいて,アプライアンスはIDSデバイスにデータをドロップ,リセット,ブロック,または送信できます。
コマンドプロンプトで入力します。
添加ContentInspection动作< action_name > -type MIRROR -serverName Service_name/Vserver_name>
例:
add ContentInspection动作IDS_action -type MIRROR -serverName IDS_service
id検査のコンテンツ検査ポリシーを追加する
コンテンツ検査アクションを作成したら,コンテンツ検査ポリシーを追加して検査の要求を評価する必要があります。このポリシーは,1つ以上の式で構成されるルールに基づいています。ポリシーは、ルールに基づいてインスペクション対象のトラフィックを評価し、選択します。
コマンドプロンプトで,次のように入力します。
添加contentInspection policy < policy_name > -rule
例:
add contentInspection policy IDS_pol1 -rule true -action IDS_action
コンテンツ検査ポリシーをHTTP / SSLタイプのコンテンツスイッチングまたは負荷分散仮想サービスにバインドする
网站トラフィックを受信するには,負荷分散仮想サーバーを追加する必要があります。コマンドプロンプトで入力します。
添加lb vserver
例:
add lb vserver HTTP_vserver HTTP 1.1.1.3 8080
コンテンツ検査ポリシーをHTTP / SSLタイプのコンテンツスイッチング仮想サーバーまたは負荷分散仮想サーバーにバインドする
HTTP / SSLタイプの負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーをコンテンツ検査ポリシーにバインドする必要があります。
コマンドプロンプトで,次のように入力します。
bind lb vserver
例:
bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
シナリオ2:複数のidsデバイスの負荷分散
2つ以上のIDSデバイスを使用している場合は,異なるコンテンツ検査サービスを使用してデバイスの負荷分散を行う必要があります。この場合,Citrix ADCアプライアンスは,トラフィックのサブセットを各デバイスに送信するだけでなく,デバイスの負荷を分散します。基本的な設定手順については,シナリオ1を参照してください。
コマンドラインインターフェイスを使用して設定する必要がある手順を次に示します。
- idサービス1のmirrorタイプのコンテンツ検査プロファイル1を追加します。
- idサービス2のmirrorタイプのコンテンツ検査プロファイル2を追加する
- idデバイス1にタイプanyのIdsサービス1を追加する
- idデバイス2にタイプanyのIdsサービス2を追加する
- 任何タイプの負荷分散仮想サーバを追加する
- idサービス1を負荷分散仮想サーバーにバインドする
- idサービス2を負荷分散仮想サーバーにバインドする
- idデバイスの負荷分散のためのコンテンツ検査アクションを追加します。
- 検査用のコンテンツ検査ポリシーを追加する
- Http / sslタイプのコンテンツスイッチングまたは負荷分散仮想サーバーを追加する
- コンテンツ検査ポリシーをhttp / sslタイプの負荷分散仮想サーバーにバインドする
idサービス1のmirrorタイプのコンテンツ検査プロファイル1を追加します
id設定は,コンテンツ検査プロファイルと呼ばれるエンティティで指定できます。プロファイルにはデバイス設定のコレクションがあります。コンテンツ検査プロファイル1 が IDS サービス 1 用に作成されます。
コマンドプロンプトで入力します。
add contentInspection profile
例:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 - egressvlan1
idサービス2のタイプmirrorのコンテンツ検査プロファイル2を追加する
サービス2にはコンテンツ検査プロファイル2が追加され,インラインデバイスは出力1/1インターフェイスを介してアプライアンスと通信します。
コマンドプロンプトで入力します。
添加contentInspection profile
例:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 - egressvlan1
idデバイス1にタイプanyのIdsサービス1を追加する
コンテンツ検査機能を有効にしてインラインプロファイルを追加したら,インラインデバイス1のインラインサービス1を負荷分散設定の一部として追加する必要があります。追加したサービスによって,インライン構成の詳細がすべて提供されます。
コマンドプロンプトで入力します。
添加service
例:
add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF
注
この例で示されているIPアドレスはダミーのIPアドレスです。
idデバイス2にタイプanyのIdsサービス2を追加する
コンテンツ検査機能を有効にしてインラインプロファイルを追加したら,インラインデバイス2にインラインサービス2を追加する必要があります。追加したサービスによって,インライン構成の詳細がすべて提供されます。
コマンドプロンプトで入力します。
add service
例:
1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2
注
この例で示されているIPアドレスはダミーのIPアドレスです。
負荷分散仮想サーバの追加
インラインプロファイルとサービスを追加したら,サービスの負荷分散用の負荷分散仮想サーバを追加する必要があります。
コマンドプロンプトで入力します。
添加lb vserver
例:
添加lb vserver lb- ids_vserver ANY 1.1.1.2
idサービス1を負荷分散仮想サーバーにバインドする
負荷分散仮想サーバーを追加したら,負荷分散仮想サーバーを最初のサービスにバインドします。
コマンドプロンプトで入力します。
bind lb vserver
例:
bind lb vserver lb- ids_vserver IDS_service1
idサービス2を負荷分散仮想サーバーにバインドする
負荷分散仮想サーバーを追加したら,そのサーバーを2番目のサービスにバインドします。
コマンドプロンプトで入力します。
bind lb vserver
例:
bind lb vserver lb- ids_vserver IDS_service2
idサービスのコンテンツ検査アクションを追加する
コンテンツ検査機能を有効にしたら,インラインリクエスト情報を処理するための”コンテンツ検査”アクションを追加する必要があります。選択したアクションに基づいて,アプライアンスはIDSデバイスへのトラフィックをドロップ,リセット,ブロック,または送信します。
コマンドプロンプトで入力します。
添加contentInspection动作
例:
add ContentInspection动作IDS_action -type MIRROR -serverName lb-IDS_vserver
検査用のコンテンツ検査ポリシーを追加する
コンテンツ検査アクションを作成したら,サービス要求を評価するコンテンツ検査ポリシーを追加する必要があります。
コマンドプロンプトで,次のように入力します。
添加contentInspection policy
例:
add contentInspection policy IDS_pol1 -rule true -action IDS_action
Http / sslタイプのコンテンツスイッチングまたは負荷分散仮想サーバーを追加する
Webトラフィックを受け入れるために,コンテンツスイッチングまたは負荷分散仮想サーバーを追加します。また,仮想サーバ上でlayer2接続を有効にする必要があります。
負荷分散の詳細については,”負荷分散の仕組みトピックを参照してください。
コマンドプロンプトで入力します。
添加lb vserver
例:
add lb vserver http_vserver HTTP 1.1.1.1 8080
コンテンツ検査ポリシーをhttp / sslタイプの負荷分散仮想サーバーにバインドする
HTTP / SSLタイプのコンテンツスイッチング仮想サーバーまたは負荷分散仮想サーバーをコンテンツ検査ポリシーにバインドする必要があります。
コマンドプロンプトで,次のように入力します。
bind lb vserver
例:
bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
Citrix ADC GUIを使用してインラインサービス統合を構成する
- [セキュリティ] > [コンテンツ検査] > [コンテンツ検査プロファイルに移動します。
- [コンテンツ検査プロファイル[]ページで,[追加をクリックします。
- [コンテンツ検査プロファイルの作成.]ページで,次のパラメータを設定します。
- プロファイル名。idのコンテンツ検査プロファイルの名前。
- [タイプ]。プロファイルタイプを MIRROR として選択します。
- 出力インターフェイス。Citrix ADCからIDSデバイスにトラフィックが送信されるインターフェイス。
- 出力VLAN(任意)トラフィックがIDSデバイスに送信される際のインターフェイスVLAN ID。
[作成]をクリックします。
- トラフィック管理>負荷分散>サービスに移動し、追加をクリックします。
- [負荷分散サービス]ページで,コンテンツ検査サービスの詳細を入力します。
- [詳細設定]セクションで,[プロファイルをクリックします。
- [プロファイル[]セクションに移動し,[鉛筆アイコンをクリックしてコンテンツ検査プロファイルを追加します。
(好的)をクリックします。
- [負荷分散] > [サーバーに移動します。HTTPまたはSSLタイプの仮想サーバを追加します。
- サーバーの詳細を入力したら,”OK”をクリックし,もう一度”OK”をクリックします。
- [詳細設定]セクションで,[ポリシーをクリックします。
- [ポリシー[]セクションに移動し,[鉛筆アイコンをクリックしてコンテンツ検査ポリシーを設定します。
- [ポリシーの選択]ページで,[コンテンツ検査を選択します。[続行]をクリックします。
- [ポリシーバインド[+]をクリックしてコンテンツ検査ポリシーを追加します。
- [Ciポリシーの作成]ページで,インラインコンテンツ検査ポリシーの名前を入力します。
- [行动[+]]フィールドで記号をクリックし,镜子タイプのIDSコンテンツ検査アクションを作成します。
[ciアクションの作成.]ページで,次のパラメータを設定します。
- 名称:コンテンツ検査インラインポリシーの名前。
- [タイプ]。タイプとしてmirrorを選択します。
- サーバー名:サーバ/サービス名を[インラインデバイス]として選択します。
- サーバーがダウンした場合。サーバがダウンした場合のオペレーションを選択します。
- リクエストのタイムアウト。タイムアウト値を選択します。デフォルト値を使用できます。
- タイムアウトアクションの要求。タイムアウトアクションを選択します。デフォルト値を使用できます。
[作成]をクリックします。
- [ciポリシーの作成.]ページで,その他の詳細を入力します。
- [好吧]をクリックして閉じます。
負荷分散およびIDSデバイスへのトラフィックのレプリケーションに関するCitrix ADC GUI構成の詳細については,“負荷分散”を参照してください。
コンテンツ変換後にトラフィックをバックエンドオリジンサーバーに負荷分散および転送するためのCitrix ADC GUI構成の詳細については,”負荷分散を参照してください。