产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

将Citrix ADC与被动安全设备(入侵检测系统)集成

2022年1月27日
投稿者:
C

Citrix ADC设备现已与入侵检测系统(IDS)等被动安全设备集成。这些被动设备存储日志,并在检测到不良或不合规的流量时触发警报。它还会为合规目的生成报告。如果Citrix ADC设备与两个或更多id设备集成,并且流量很大,则设备可以通过在虚拟服务器级别克隆流量来对设备进行负载平衡。

为了实现高级安全保护,Citrix ADC设备与被动安全设备(例如在仅检测模式下部署的IDS)集成。这些设备存储日志,并在发现不良或不合规的流量时触发警报。它还会为合规目的生成报告。以下是将Citrix ADC与IDS设备集成的一些好处。

  • 检查加密的流量。大多数安全设备会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC设备可以解密流量并将其发送到 IDS 设备,以增强客户的网络安全性。
  • 从tls / ssl处理中卸载内联设备。Tls / ssl处理成本很高,如果对流量进行解密,则会导致入侵检测设备中的系统CPU过高。随着加密流量的快速增长,这些系统无法解密和检查加密的流量。Citrix ADC有助于将流量从 TLS/SSL 处理中卸载到 IDS 设备。这种卸载数据的方式会导致 IDS 设备支持大量流量检查。
  • 正在加载平衡id设备。当有大量流量时,Citrix ADC设备通过在虚拟服务器级别克隆流量来对多个id设备进行负载平衡。
  • 将流量复制到被动设备。流入设备的流量可以复制到其他被动设备以生成合规性报告。例如,很少有政府机构要求在某些被动设备中记录每个交易。
  • 将流量扇动到多个被动设备。有些客户更喜欢扇出或将传入流量复制到多个被动设备中。
  • 智能选择流量。可能不必对流入设备的每个数据包进行内容检查,例如下载文本文件。用户可以将Citrix ADC设备配置为选择要检查的特定流量(例如. exe文件),然后将流量发送到IDS设备以处理数据。

Citrix ADC如何与具有L2连接的IDS设备集成

下图显示了IDS如何与Citrix ADC设备集成。

id集成

组件交互作用如下所示:

  1. 客户端向Citrix ADC设备发送HTTP/HTTPS请求。
  2. 设备会拦截流量并根据内容检查策略评估将其复制到id设备。
  3. 如果流量是加密的,设备将解密数据并以纯文本形式发送。
  4. 根据策略评估,设备会应用“镜像”类型的内容检查操作。
  5. 操作中配置了ids服务或负载平衡服务(用于多个ids设备集成)。

  6. IDS设备在设备上配置为内容检查服务类型“任意”。然后,内容检查服务与类型为“镜子”的内容检查配置文件相关联,该配置文件指定必须通过该出口接口将数据转发到IDS设备。或者,您还可以在内容检查配置文件中配置vlan标记。

    注意:

    • 用于ids服务或服务器的IP地址是虚拟地址。
    • Citrix ADC设备不支持出口接口的局域网通道。
  7. 然后,设备会通过出口接口将数据复制到一个或多个表示设备。
  8. 同样,当后端服务器向Citrix ADC发送响应时,设备会复制数据并将其转发到IDS设备。
  9. 如果您的设备已集成到一个或多个id设备,并且您希望对设备进行负载平衡,则可以使用负载平衡虚拟服务器。

软件许可

要部署内联设备集成,必须为您的Citrix ADC设备配置以下许可证之一:

  1. Adc高级版
  2. 高级adc
  3. 電信高級公司
  4. 电信高级版

配置入侵检测系统集成

您可以通过两种不同的方式将IDS设备与Citrix ADC集成。

场景1:表示与单个表示设备集成

以下是必须使用命令行界面配置的步骤。

  1. 启用内容检查
  2. 为代表ids设备的服务添加镜像类型的内容检查配置文件。
  3. 添加" any "类型的标识服务
  4. 添加类型为“镜像”的内容检查操作
  5. 为id检查添加内容检查策略
  6. 将内容检查策略绑定到http / ssl类型的内容交换或负载平衡虚拟服务

启用内容检查

如果希望Citrix ADC设备将内容发送到IDS设备进行检查,则无论执行解密如何,都必须启用内容检查和负载平衡功能。

在命令提示符下,键入:

enable ns feature contentInspection LoadBalancing

添加类型为“镜像”的内容检查配置文件

" mirror "类型的内容检查配置文件说明了如何连接到id设备。在命令提示符下,键入。

add contentInspection profile -type MIRROR -egressInterface [-egressVlan ]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10 .使用实例

添加id服务

您必须为与设备集成的每个ids设备配置" any "类型的服务。该服务具有id设备配置详细信息。该服务代表id设备。

在命令提示符下,键入:

add service ANY - contentinspectionProfileName - healthmonitor OFF -usip ON - useproxyport OFF

示例

add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF

为ids服务添加类型为镜像的内容检查操作

启用内容检查功能,然后添加id配置文件和服务后,必须添加内容检查操作来处理请求。根据内容检查操作,设备可以删除,重置,阻止数据或向标识设备发送数据。

在命令提示符下,键入:

add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name> . add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name> . sh

示例

add ContentInspection action IDS_action -type MIRROR -serverName IDS_service . add ContentInspection action IDS_action

为id检查添加内容检查策略

创建“内容检查”操作后,必须添加内容检查策略以评估检查请求。策略基于由一个或多个表达式组成的规则。策略根据规则评估并选择要检查的流量。

在命令提示符处,键入以下内容:

add contentInspection policy < policy_name > -rule -action . add contentInspection policy < policy_name > -rule -action . add contentInspection policy

示例

add contentInspection policy IDS_pol1 -rule true -action IDS_action

将内容检查策略绑定到http / ssl类型的内容交换或负载平衡虚拟服务

要接收网页流量,必须添加负载平衡虚拟服务器。在命令提示符下,键入:

添加lb vserver

示例

add lb vserver HTTP_vserver HTTP 1.1.1.3 8080

将内容检查策略绑定到http / ssl类型的内容交换虚拟服务器或负载平衡虚拟服务器

必须将负载平衡虚拟服务器或http / ssl类型的内容交换虚拟服务器绑定到内容检查策略。

在命令提示符处,键入以下内容:

bind lb vserver -policyName < policy_name > -priority < priority > -type . bind > -policyName < policy_name > . bind lb vserver -policyName < policy_name > -priority

示例

bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

场景2:对多个表示设备进行负载平衡

如果您使用两个或更多id设备,则必须使用不同的内容检查服务对设备进行负载平衡。在这种情况下,Citrix ADC 设备除了向每个设备发送一部分流量之外,还会对设备进行负载平衡。 有关基本配置步骤,请参阅场景 1。

对多个id设备进行负载平衡

以下是必须使用命令行界面配置的步骤。

  1. 添加适用于ids服务1的镜像类型的内容检查配置文件1
  2. 添加适用于ids服务2的mirror类型的内容检查配置文件2
  3. 为ids设备1添加类型为any的ids服务1
  4. 为ids设备2添加any类型的ids服务2
  5. 添加任何类型的负载平衡虚拟服务器
  6. 将ids服务1绑定到负载平衡虚拟服务器
  7. 将ids服务2绑定到负载平衡虚拟服务器
  8. 为id设备的负载平衡添加内容检查操作。
  9. 添加内容检查策略以进行检查
  10. 添加http / ssl类型的内容交换或负载平衡虚拟服务器
  11. 将内容检查策略绑定到http / ssl类型的负载平衡虚拟服务器

添加适用于ids服务1的镜像类型的内容检查配置文件1

id为配置可以在名为“内容检查”配置文件的实体中指定。配置文件包含设备设置的集合。内容检查配置文件1是为IDS服务1创建的。

在命令提示符下,键入:

add contentInspection profile -type ANY -egressInterface [-egressVlan ]

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1 .使用实例

为ids服务2的mirror类型添加内容检查配置文件2

为服务2添加了内容检查配置文件2,内联设备通过egress 1/1接口与设备通信。

在命令提示符下,键入:

add contentInspection profile type MIRROR -egressInterface -egressVlan

示例:

add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1 .使用实例

为ids设备1添加类型为any的ids服务1

启用内容检查功能并添加内联配置文件后,必须为内联设备 1 添加内联服务 1 才能成为负载平衡设置的一部分。您添加的服务提供所有内联配置详细信息。

在命令提示符下,键入:

add service ANY -contentInspectionProfileName -usip ON -useproxyport OFF

示例:

add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF

注意

示例中提到的IP地址地址是虚拟地址。

为ids设备2添加any类型的ids服务2

启用内容检查功能并添加内联配置文件后,必须为内联设备 2 添加内联服务 2。您添加的服务提供所有内联配置详细信息。

在命令提示符下,键入:

add service ANY -contentInspectionProfileName -healthmonitor OFF -usip ON -useproxyport OFF

示例:

1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2 . add service IDS_service 1

注意

示例中提到的IP地址地址是虚拟地址。

添加负载平衡虚拟服务器

添加内联配置文件和服务后,必须添加负载平衡虚拟服务器以对服务进行负载平衡。

在命令提示符下,键入:

add lb vserver ANY <端口>

示例:

add lb vserver lb- ids_vserver ANY 1.1.1.2

将ids服务1绑定到负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将负载平衡虚拟服务器绑定到第一个服务。

在命令提示符下,键入:

bind lb vserver .使用实例

示例:

bind lb vserver lb- ids_vserver IDS_service1 .使用实例

将ids服务2绑定到负载平衡虚拟服务器

添加负载平衡虚拟服务器后,现在将该服务器绑定到第二个服务。

在命令提示符下,键入:

bind lb vserver .使用实例

示例:

绑定lb vserver lb- ids_vserver IDS_service2

为id服务添加内容检查操作

启用内容检查功能后,必须添加"内容检查"操作来处理内联请求信息。根据所选的操作,设备会丢弃,重置,阻止或向标识设备发送流量。

在命令提示符下,键入:

add contentInspection action -type (-serverName [-ifserverdown ]

示例:

add ContentInspection action IDS_action -type MIRROR -serverName lb-IDS_vserver . add ContentInspection action IDS_action

添加内容检查策略以进行检查

创建“内容检查”操作后,必须添加内容检查策略以评估服务请求。

在命令提示符处,键入以下内容:

add contentInspection policy -rule -action . add contentInspection policy -rule -action . add contentInspection policy

示例:

add contentInspection policy IDS_pol1 -rule true -action IDS_action

添加http / ssl类型的内容交换或负载平衡虚拟服务器

添加内容交换或负载平衡虚拟服务器以接受Web流量。此外,您必须在虚拟服务器上启用layer2连接。

有关负载平衡的更多信息,请参阅负载平衡如何工作主题。

在命令提示符下,键入:

添加lb vserver

示例:

添加lb vserver http_vserver HTTP 1.1.1.1 8080

将内容检查策略绑定到http / ssl类型的负载平衡虚拟服务器

您必须将http / ssl类型的内容交换或负载平衡虚拟服务器绑定到内容检查策略。

在命令提示符处,键入以下内容:

bind lb vserver -policyName < policy_name > -priority <> -type . bind lb vserver -policyName < policy_name > -priority <> . type

示例:

bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST

使用Citrix ADC GUI配置内联服务集成

  1. 导航到”安全“>”内容检查“>”内容检查配置文件”。
  2. 在“内容检查配置文件“页面中,单击”添加”。
  3. 在“创建内容检查配置文件页面中,设置以下参数。
    1. 配置文件名称。id为的内容检查配置文件的名称。
    2. 类型。选择配置文件类型作为镜像。
    3. 出口接口。将流量从Citrix ADC发送到IDS设备的接口。
    4. 出口vlan(可选)。将流量发送到ids设备的接口vlan id。

  4. 单击”创建”。

    创建内容检查配置文件

  5. 导航到流量管理>负载平衡>服务,然后单击添加
  6. 负载平衡服务页面,输入内容检查服务的详细信息。
  7. “高级设置”部分中,单击”配置文件”。
  8. 转到配置文件部分,然后单击铅笔图标以添加内容检查配置文件。

  9. 单击”确定”

    创建内容检查配置文件

  10. 导航到负载平衡>服务器。添加HTTP或SSL类型的虚拟服务器。
  11. 输入服务器详细信息后,单击”确定,然后再次单击"确定”
  12. “高级设置”部分中,单击”策略”。
  13. 转到策略部分,然后单击铅笔图标以配置内容检查策略。
  14. 选择策略“页面上,选择”内容检查”。单击继续
  15. 在“策略绑定“部分中,单击”+“以添加内容检查策略。
  16. 在“创建ci策略页中,输入内联内容检查策略的名称。
  17. 在“操作“字段中,单击”+“号以创建类型为镜像的id内容检查操作。”

  18. 在“创建ci操作页面中,设置以下参数。

    1. 名称。内容检查内联策略的名称。
    2. 类型。选择类型作为镜像。
    3. 服务器名称。选择服务器/服务名称作为内联设备。
    4. 如果服务器关闭。如果服务器出现故障,请选择一个操作。
    5. 请求超时。选择一个超时值。可以使用默认值。
    6. 请求超时操作。选择超时操作。可以使用默认值。

  19. 单击”创建”。

    创建内容检查操作

  20. 在“创建ci策略页面中,输入其他详细信息。
  21. 单击确定,然后关闭

有关用于负载平衡和将流量复制到IDS设备的Citrix ADC GUI配置的信息,请参阅负载平衡。

创建内容检查策略

有关内容转换后用于负载平衡和将流量转发到后端源服务器的Citrix ADC GUI配置的信息,请参阅负载平衡主题。

将Citrix ADC与被动安全设备(入侵检测系统)集成
2022年1月27日
投稿者:
C
2022年1月27日
投稿者:
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie首选项 | 同意设置
©1999 -思杰系统公司版权所有。