与Citrix ADC的内联器件集成
入侵防护系统(ips)和下一代防火墙(ngfw)等安全设备可保护服务器免受网络攻击。这些设备部署在第 2 层内联模式中,其主要功能是保护服务器免受网络攻击,并报告网络上的安全威胁。
为了防止易受威胁并提供高级安全保护,Citrix ADC设备与一个或多个内联设备集成。内联设备可以是任何安全设备,如ips, ngfw。
以下是将内联设备集成与Citrix ADC设备有益的一些用例:
- 检查加密流量。大多数ips和NGFW设备都会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC设备可以解密流量并将其发送到内联设备以进行检查。它增强了客户的网络安全性。
- 从tls / ssl处理中卸载内联设备。TLS / SSL处理费用昂贵,如果IPS或NGFW设备解密流量,该问题可能会导致IPS或NGFW设备中的系统CPU过高。随着加密流量的快速增长,这些系统无法解密和检查加密流量。Citrix ADC有助于从 TLS/SSL 处理中卸载内联设备。这导致在线设备支持大量的交通检查。
- 加载平衡内联设备。Citrix ADC 设备在存在大量流量时负载平衡多个内联设备。
- 智能选择流量。流入设备的每个数据包都可能会被检查内容,例如文本文件的下载。用户可以将Citrix ADC设备配置为选择要检查的特定流量(例如. exe文件),并将流量发送到内联设备以处理数据
Citrix ADC如何与内联设备集成
下图显示了Citrix ADC如何与内联安全设备集成。
当您将内联设备与Citrix ADC设备集成时,组件会按照以下内容进行交互:
- 客户端向Citrix ADC设备发送请求。
- 设备接收请求并根据策略评估将其发送到内联设备。注意:如果有两个或多个内联设备,则设备负载均衡设备并发送流量。如果传入流量是加密流量,则设备将解密数据并将其作为纯文本发送到内联设备以进行内容检查。
- 内联设备检查数据是否存在威胁,并决定是删除、重置或将数据发回设备。
- 如果存在安全威胁,设备将修改数据并将其发送到设备。
- Citrix ADC反过来会重新加密数据并将请求转发到后端服务器。
- 后端服务器将响应发送到Citrix ADC设备。
- 设备再次解密数据并将其发送到内联设备进行检查。
- 设备重新加密数据并将响应发送到客户端
軟體許可證
要部署内联设备集成,必须为Citrix ADC设备配置以下许可证之一:
- Adc高级版
- 高级adc
- 電信高級公司
- 電信高级版
- SWG许可证
配置内联设备集成
您可以通过三种不同的方式使用内联设备配置Citrix ADC设备。配置方案如下。
使用单个内联设备的方案 1
如果要在内联模式下集成安全设备(IPS或NGFW),必须首先启用内容检查功能,然后在全局模式下在兆(基于Mac的转发)中启用Citrix ADC。启用这些功能后,必须添加内容检查配置文件,为内联设备添加内容检查操作,以根据检查重置、阻止或丢弃流量。然后,为设备添加“内容检查”策略,以确定要向内联设备发送的流量子集。然后,在服务器上启用了第 2 层连接的情况下配置负载平衡虚拟服务器。最后,将内容检查策略绑定到负载平衡虚拟服务器。
启用mbf(基于MAC的转发)模式
如果希望Citrix ADC设备集成到内联设备(如IPS或防火墙),则必须启用此模式。有关MBF的详细信息,请参阅配置基于MAC的转发主题。
在命令提示符下,键入:
开启ns模式MBF功能
启用内容检查
如果希望Citrix ADC设备解密然后将内容发送到内联设备进行检查,则必须启用内容检查和负载平衡功能。
enable ns feature contentInspection LoadBalancing
添加第 2 层连接方法
为了处理内联设备产生的响,应设备使用VLAN通道作为与内联设备进行通信的第2层方法(L2ConnMethod)。
在命令提示符下,键入:
set l4param -l2ConnMethod
示例set l4param -l2ConnMethod VlanChannel
为服务添加内容检查配置文件
Citrix ADC设备的内联设备配置可以在名为"内容检查"配置文件的实体中指定。配置文件包含一系列设置,用于说明如何与内联设备集成。
在命令提示符下,键入:
add contentInspection profile
例如:
Inline_profile1 -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 "
添加ips-tcp监视器
如果要配置监视器,请添加用户定义的监视器。注意:如果要配置监视器,则必须使用自定义监视器。添加监视器时,必须启用透明参数。
在命令提示符下,键入:
add lb monitor
例如:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
添加服务
添加服务.指定不属于任何设备(包括内联设备)所拥有的虚拟IP地址地址。将使用源IP地址(usip)设置为是。设置useproxyport为否。默认情况下,运行状况监视为开,将服务绑定到运行状况监视器,并将监视器中的透明选项设置为开。在命令提示符下,键入:
add service
例如:
add service ips_service 192.168.10.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof . add service ips_service 192.168.10.2 TCP * -healthMonitor YES -usip YES -useproxyport NO
添加运行状况监视器
默认情况下,运行状况监视器处于打开状态,您还可以选择将其禁用(如有必要)。在命令提示符下,键入:
加磅监控<名称> TCP -destIP < ip地址> -destPort 80透明没有> <是的,
示例:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
将服务绑定到运行状况监视器
配置运行状况监视器后,必须将服务绑定到运行状况监视器。在命令提示符下,键入:
绑定服务
示例:
绑定服务ips_svc -monitorName ips_tcp
为服务添加内容检查操作
启用“内容检查“功能后,然后在添加内联配置文件和服务之后,必须添加“内容检查“操作来处理请求。根据内容检查操作,内联设备可以在检查数据后删除、重置或阻止操作。
如果内联服务器或服务关闭,则可以在设备中配置ifserverdown参数以执行以下任一操作。
继续:如果用户想在远程服务器关闭时绕过内容检查,则可以选择默认的“继续”操作。Reset(默认):此操作通过关闭与RST的连接来响应客户端。drop:此操作以静默方式丢弃数据包,而不向用户发送响应。
在命令提示符下,键入:
add contentInspection action
add ContentInspection action
例如:
添加ContentInspection行动< Inline_action >类型InlineSPECTION servername Inline_service1
为检查添加内容检查策略
创建内容检查操作后,必须添加内容检查策略以评估检查请求。策略基于由一个或多个表达式组成的规则。策略根据规则评估并选择要检查的流量。
在命令提示符下,键入以下内容:
add contentInspection policy
示例add contentInspection policy Inline_pol1 -rule true -action Inline_action
添加http / ssl类型的内容交换或负载平衡虚拟服务器
要接收网页流量,您必须添加负载平衡虚拟服务器。此外,您必须在虚拟服务器上启用layer2连接。
在命令提示符下,键入:
add lb vserver
例如:
add lb vserver HTTP_vserver HTTP 10.102.29.200 8080 -l2Conn ON
将内容检查策略绑定到http / ssl类型的内容交换虚拟服务器或负载平衡虚拟服务器
您将http / ssl类型的负载平衡虚拟服务器或内容交换虚拟服务器绑定到内容检查策略。在命令提示符下,键入以下内容:
bind lb vserver
例如:
bind lb vserver HTTP_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
场景 2:使用专用接口对多个内联设备进行负载平衡
如果使用两个或多个内联设备,则必须在专用vlan设置中使用不同内容检查服务对设备进行负载平衡。在这种情况下,Citrix ADC 设备在通过专用接口向每个设备发送流量子集之上对设备进行负载平衡。 有关基本配置步骤,请参阅方案 1。
为服务 1 添加内容检查配置文件 1
Citrix ADC设备的内联配置可以在名为"内容检查"配置文件的实体中指定。配置文件包含设备设置的集合。内容检查配置文件1 是针对内联服务 1 创建的,通信是通过 1/2 和 1/3 专用接口进行的。
在命令提示符下,键入:
add contentInspection profile
例如:
Inline_profile1 -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 "
为服务 2 添加内容检查配置文件 2
内容检查配置文件2是为service2添加的,内联设备通过1/4和1/5专用接口与设备进行通信。在命令提示符下,键入:
add contentInspection profile
例如:
Inline_profile2 -type InlineInspection -ingressinterface " 1/4 " -egressInterface " 1/5 "
为内联设备 1 添加服务 1
启用内容检查功能并添加内联配置文件后,您必须为内联设备 1 添加内联服务 1,才能成为负载平衡设置的一部分。您添加的服务提供了所有内联配置详细信息。
在命令提示符下,键入:
add service
例如:
add service Inline_service1 10.102.29.200 TCP 80 -contentInspectionProfileName Inline_profile1 -healthmonitor OFF -usip ON -useproxyport OFF
为内联设备 2 添加服务 2
启用内容检查功能并添加内联配置文件后,您必须为内联设备 2 添加内联服务 2。您添加的服务提供了所有内联配置详细信息。
在命令提示符下,键入:
add service
例如:
add service Inline_service1 10.29.20.205 TCP 80 -contentInspectionProfileName Inline_profile2 -healthmonitor OFF -usip ON -useproxyport OFF
添加负载平衡虚拟服务器
添加内联配置文件和服务后,必须添加负载平衡虚拟服务器来平衡服务。
在命令提示符下,键入:
add lb vserver
例如:
add lb vserver lb- inline_vserver TCP * .使用实例
将服务 1 绑定到负载平衡虚拟服务器
添加负载平衡虚拟服务器后,现在将负载平衡虚拟服务器绑定到第一个服务。
在命令提示符下,键入:
bind lb vserver
例如:
bind lb vserver lb- inline_vserver Inline_service1 .使用实例
将服务 2 绑定到负载平衡虚拟服务器
添加负载平衡虚拟服务器后,现在将服务器绑定到第二个服务。
在命令提示符下,键入:
bind lb vserver
例如:
bind lb vserver lb- inline_vserver Inline_service2 .使用实例
为服务添加内容检查操作
启用内容检查功能后,必须添加用于处理内联请求信息的内容检查操作。根据所选操作,内联设备在检查给定的流量子集后删除、重置或阻止。
在命令提示符下,键入:
add contentInspection action
add ContentInspection action < action_name > -type InlineINSPECTION -serverName Service_name/Vserver_name> . add ContentInspection action < action_name > -type InlineINSPECTION -serverName Service_name/Vserver_name> . add ContentInspection action
例如:
add ContentInspection action Inline_action -type InlineINSPECTION -serverName lb-Inline_vserver . add ContentInspection action Inline_action -type InlineINSPECTION -serverName lb-Inline_vserver . add ContentInspection action Inline_action
为检查添加内容检查策略
创建“内容检查”操作后,必须添加“内容检查”策略来评估服务请求。策略基于由一个或多个表达式组成的规则。该规则与内容检查操作相关联,如果请求与规则匹配,则该操作相关联。
在命令提示符下,键入以下内容:
add contentInspection policy
例如:
add contentInspection policy Inline_pol1 -rule true -action Inline_action
添加http / ssl类型的内容交换或负载平衡虚拟服务器
添加内容交换或负载平衡虚拟服务器以接受Web流量。此外,您必须在虚拟服务器上启用layer2连接。有关负载平衡的更多信息,请参阅负载平衡如何工作主题。
在命令提示符下,键入:
add lb vserver
例如:
add lb vserver http_vserver HTTP 10.102.29.200 8080 -l2Conn ON
将内容检查策略绑定到http / ssl类型虚拟服务器的负载平衡
必须将http / ssl类型的内容交换或负载平衡虚拟服务器绑定到内容检查策略。
在命令提示符下,键入以下内容:
bind lb vserver
例如:
bind lb vserver http_vserver -policyName Inline_pol1 -priority 100 -type REQUEST
方案 3:使用共享接口对多个内联设备进行负载平衡
如果您使用多个内联设备,并且要在共享VLAN接口中使用不同服务对设备进行负载平衡,则可以参考此配置。这种使用共享vlan接口的配置类似于用例有关基本配置,请参阅场景 2。
在启用共享选项的情况下绑定vlan a
在命令提示符下,键入以下内容:
绑定vlan
例如:
绑定vlan 100 -ifnum 1/2 tagged
绑定vlan b并启用共享选项
在命令提示符下,键入以下内容:
绑定vlan
例如:
绑定vlan 200 -ifnum 1/3 tagged
绑定vlan c并启用共享选项
在命令提示符下,键入以下内容:
绑定vlan
例如:
绑定vlan 300 -ifnum 1/2 tagged
绑定vlan d并启用共享选项
在命令提示符下,键入以下内容:
绑定vlan
例如:
绑定vlan 400 -ifnum 1/3 tagged
为服务 1 添加内容检查配置文件 1
Citrix ADC设备的内联配置可以在名为"内容检查"配置文件的实体中指定。配置文件包含设备设置的集合。内容检查配置文件是为内联服务 1 创建的,通信是通过 1/2 和 1/3 专用接口进行的。
在命令提示符下,键入:
add contentInspection profile
例如:
add contentInspection profile Inline_profile1 -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 " -egressVlan 100 -ingressVlan 300
为服务 2 添加内容检查配置文件 2
内容检查配置文件2是为service2添加的,内联设备通过1/2和1/3专用接口与设备进行通信。
在命令提示符下,键入:
add contentInspection profile
例如:
add contentInspection profile Inline_profile2 -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 " -egressVlan 200 -ingressVlan 400
使用Citrix ADC GUI配置内联服务集成
- 登录到Citrix ADC设备并导航到"配置选项卡页面。
- 导航到”系统“>”设置“>”配置模式”。
- 在“配置模式“页面中,选择”基于Mac的转发”。
单击确定和关闭。
- 导航到系统>设置>配置高级功能。
- 在“配置高级功能“页面中,选择”内容检查”。
单击确定和关闭。
- 导航到”安全“>”内容检查“>”内容检查配置文件”。
- 在"内容检查配置文件“页中,单击”添加”。
在“创建内容检查配置文件页中,设置以下参数。
- 配置文件名称。内容检查配置文件的名称。
- 类型。选择配置文件类型作为在线检查。
- 导出界面。设备将Citrix ADC的流量发送到内联设备的接口。
- 入口界面。设备通过此接口接收从内联设备到Citrix ADC的流量。
- 导出vlan。通过其将流量发送到内联设备的接口vlan id。
- 进入无线局域网。设备通过接口VLAN ID接收从内联到Citrix ADC的流量(如果已配置)。
- 单击创建和关闭。
- 导航到流量管理>负载平衡>服务,然后单击添加。
在“服务页面中,设置以下参数:
- 服务名称。负载平衡服务的名称。
- IP地址。使用虚拟IP地址地址。注意:任何设备都不得拥有 IP 地址。
- 协议。选择协议类型作为tcp。
- 端口(端口)。输入 *
- 健康监测。清除此选项并仅在要将服务绑定到TCP类型监视器时才启用该选项。如果要将显示器绑定到服务,则显示器中的
透明的选项必须处于开状态。请参阅有关如何添加监视器以及如何将其绑定到服务的步骤 14。 - 单击好吧(确定)。
在“设置“部分,编辑以下内容并单击”确定”。
- 使用代理端口:将其关闭
- 使用源IP地址:将其打开
- 在“高级设置“部分中,单击”配置文件”。
转到配置文件部分,并添加内联内容检查配置文件,然后单击确定。
- 转到监视器部分,添加绑定>选择监视器>添加。
- 名称:显示器名称
- 类型:选择TCP类型
- 目标ip,端口:目标ip地址和端口。
- 透明:打开
注意:监控数据包必须通过内联设备才能监控内联设备状态。
单击创建。
- 单击完成。
- 导航到流量管理>负载平衡>虚拟服务器。添加HTTP或SSL类型的虚拟服务器。
- 输入服务器详细信息后,单击确定,然后再次确定。
- 在负载平衡虚拟服务器的”流量设置”部分中,启用第 2 层参数。
- 在“高级设置“部分中,单击”策略”。
- 转到”策略“部分”,然后单击“+”图标以配置内容检查策略。
- 在“选择策略页面上,选择“内容检查”。单击继续。
在策略绑定部分中,单击添加以添加内容检查策略。
- 在“创建内容检查策略页中,输入内联内容检查策略的名称。
- 在操作字段中,单击添加以创建内联内容检查操作。
在“创建ci操作"页面中,设置以下参数:
- 名称。内容检查内联策略的名称。
- 类型。选择类型作为 在线检查。
- 服务器。选择服务器/服务作为内联设备。
- 如果服务器关闭。如果服务器关闭,请选择操作。
- 请求超时。选择超时值。您可以使用默认值。
- 请求超时操作。选择超时操作。您可以使用默认值。
单击创建。
- 单击创建。
- 在创建ci策略页面中,输入其他详细信息:
- 单击确定和关闭。
