转自微信公众好号“思杰之路”
NetScaler网关是NetScaler最常用的功能之一。在早期版本中,Citrix产品中对其命名为安全网关或访问网关,但NetScaler的10.1版本,它被命名为NetScaler网关。这个功能和以前安全网关相同,它通过一个网关授予用户远程访问公司的内部网络。它有多个特性和方式能给改善最终用户访问公司内部网络的体验,在这一章,我们将介绍它的详细特性。快速概述下本章我们将覆盖的内容: 发展简史 NetScaler网关功能发布了许多不同的形式。第一个版本于2001年首次发布,名字叫Citrix Secure Gateway。这是一个基于windows的软件,提供给用户远程访问Citrix应用服务的解决方案。后来,Citrix发布Access Gateway,它提供了更多的功能,如SSL VPN,端点分析和VPN。现在已经名字已经改为NetScaler ,Gateway,它拥有两种不同的形式,即软件版本 VPX和硬件版本MPX。这两个版本的更多信息,可以找到NetScaler网关数据表查看他们的规格等,位于http://bit.ly/1kGLZS0。 许多公司都使用NetScaler设备的网关功能,因为它提供的好处是将许多功能在同一设备上实现,而不仅仅只有网关访问功能。 1.1 介绍关键特性NetScaler拥有许多的功能,下图描述了NetScaler的大部分功能: NetScaler功能 负载均衡:包括4到7层的服务器负载均衡、数据库的负载均衡、DNS服务器负载均衡等:在请求级别管理流量,在服务器之间产生更均衡的流量分配(与在服务器之间分配连接的传统方法相比)。负载均衡决策基于多种策略,包括轮询、最少连接、加权最小带宽、加权最小数据包、最短响应时间以及基于 URL、域来源 IP 或目标 IP 的散列。支持 TCP 和 UDP 协议,因此 NetScaler可以对使用这些协议作为基本载体的所有流量(例如, HTTP、HTTPS、UDP、DNS、FTP、NNTP 和一般防火墙流量)实行负载均衡。此外, NetScaler 可以根据来源 IP、Cookie、服务器、组或 SSL 会话保持会话持久性。它允许用户将自定义扩展内容验证 (ECV) 应用于服务器、缓存、防火墙及其它基础设施设备,以确保这些系统正常工作并且为用户提供正确的内容。它还可以使用 Ping、TCP 或 HTTP URL 执行健康状况检查,用户可以创建基于 Perl 脚本的监控程序。 全局负载均衡:扩展 NetScaler 的流量管理能力以包括分布式 Internet 站点和全球企业。无论安装是分布在多个网络位置还是单个位置中的多个群集, NetScaler 都可以保持可用性并在它们之间分配流量。它作出智能的 DNS 决策以防止将用户转至关闭或过载的站点。当启用基于邻近度的 GSLB 方法时,NetScaler 可以根据客户端的本地 DNS 服务器 (LDNS) 相对于其它站点的邻近度作出负载均衡决策。基于邻近度的 GSLB 方法的主要优点是通过选择最接近的可用站点加快响应时间。 链路负载均衡:对多个 WAN 链路实行负载均衡并提供故障转移,从而进一步优化网络性能并确保业务持续性。应用智能流量控制和健康状况检查以在上游路由器之间有效地分配流量,从而确保网络连接保持高度可用。确定最佳 WAN 链路以根据策略和网络条件路由入站和出站流量,并通过提供快速的故障检测和故障转移使各项应用免受 WAN 或 Internet 链路失效影响。 SSL卸载与优化:从 Web 服务器中透明地卸载 SSL 加密和解密,释放服务器资源以便为内容请求提供服务。SSL 对应用的性能造成沉重的负担,会导致许多优化措施不起作用。使用 SSL 卸载和加速可以将 Citrix请求交换技术的所有优点应用于 SSL 流量,确保安全交付 Web 应用而不会降低最终用户性能。 内容交换:确定哪台服务器最能够响应并将各个内容请求转到该服务器。站点规则可以根据 URL 或 HTTP 标头的任何组合进行配置。这使得交换决策基于用户和设备特性,例如用户的身份、所用代理的类型以及用户所请求的内容。 TCP优化:将某些 TCP 任务从您的被管理服务器转移至 NetScaler,从而减少被管理服务器上的 CPU 负载并改善性能。 HTTP压缩:使用 GZip 压缩协议为 HTML 和文本文件提供透明的压缩。典型的 4:1 压缩比将减少数据中心外50% 的带宽需求。它还可以减少必须传送至用户的浏览器的数据量,从而极大地缩短最终用户响应时间。 内容重定向:管理至反向代理、透明代理或转发代理缓存群的流量。检查所有请求,并标识不可缓存的请求,然后通过持久连接将它们直接发送到原始服务器。通过智能地将不可缓存的请求重定向回原始Web 服务器, NetScaler 可在减少这些请求的总带宽消耗和响应延迟的同时释放缓存资源并增加缓存命中率。 HTTP缓存:通过为静态和动态内容提供快速的内存中 HTTP/1.1 和 HTTP/1.0 兼容 Web 缓存,帮助优化 Web 内容和应用数据交付。此机载缓存存储传入的应用请求的结果(即使当传入的请求受保护或数据被压缩时),然后重复利用该数据以满足需要相同信息的后续请求。通过直接从机载缓存提供数据,NetScaler 消除了将静态和动态内容请求传送到服务器的需要,可以减少页面重新生成次数。 防御拒绝服务攻击DoS/DDoS:检测恶意的分布式拒绝服务 (DDoS) 攻击及其它类型的恶意攻击,并在这些攻击到达服务器之前阻止它们,防止它们影响网络和应用性能。NetScaler 标识合法的客户端并提升其优先级,使可疑的客户端无法消耗不相称的资源百分比和使您的站点陷于瘫痪。NetScaler 提供防止以下类型的恶意攻击的应用级别保护:
• SYN Flood 攻击 • Pipeline 攻击 • Teardrop 攻击 • Land 攻击 • Fraggle 攻击 • Zombie 连接攻击 通过防止为这些连接分配服务器资源, NetScaler 积极地防御这些类型的攻击。这样可以将服务器从与这些事件关联的势不可挡的数据包洪流中隔离。通过使用 ICMP 速率限制和积极的 ICMP 数据包检测, NetScaler 还可以保护网络资源免受基于ICMP 的攻击。它执行强大的 IP 重组、删除各种可疑和畸形的数据包并将访问控制列表 (ACL) 应用于站点流量以进一步提供保护。 Web安全内容过滤:在第 7 层保护 Web 站点免受恶意攻击。NetScaler 根据基于 HTTP 标头的用户配置规则检查每个传入的请求,并执行用户配置的操作。操作可以包括重置连接、删除请求或向用户的浏览器发送错误消息。这使 NetScaler 可以屏蔽有害的请求,降低服务器遭受攻击的危险。此功能还可以分析 HTTP GET 和 POST 请求并过滤出已知的错误签名,使其可以保护服务器免遭基于 HTTP 的攻击,例如 Nimda 和 Code Red 病毒的变种。 应用防火墙:通过过滤每个受保护 Web 服务器与连接至该 Web 服务器上的任何 Web 站点的用户之间的流量,保护各项应用免遭黑客和恶意软件滥用,例如跨站点脚本攻击、缓冲区溢出攻击、SQL 注入攻击和强制浏览等。Application Firewall 会检查所有流量,寻找攻击 Web 服务器安全或滥用 Web 服务器资源的证据,并采取适当措施以防止这些攻击得逞。
还有NetScaler Gateway、NetScaler Insight Center、Cloudbridge等等功能。我们接下来详细讲解NetScaler Gateway,NetScaler Insight Center、Cloudbridge等功能感兴趣可以自己去查找资料进行查看。
NetScaler Gateway的关键特性: NetScaler的网关具有一组功能,其中可用于授予最终用户的远程访问,如: ICA代理:这个特性允许网关代理ICA协议通过TCP端口443传输的XenApp流量或XenDesktop流量。 SSL VPN:这是一个基于浏览器的VPN解决方案,也被称为客户端访问。 VPN:这是一个虚拟专用网络功能,让用户使用NetScaler网关插件访问公司内部网络。 端点分析:这是一个网络访问控制功能,扫描客户信息检查是否满足企业安全策略,满足策略要求才被允许连接到网络。 MDX:它基本上是一个应用级的VPN的解决方案,用于整合NetScaler XenMobile应用程序管理。
NetScaler网关还有更多的功能,我们将在这一章讨论。前提,所有这些特性要求我们安装了一个合法的NetScaler许可证。如果只使用常规的ICA代理功能,我们只需要一个普通平台许可证即可,在前面的章节中,我们已经介绍了许可证信息。如果我们还想要使用在前面的列表中任何其他特性,我们还需要添加一个通用许可。 当我们购买了正规的NetScaler平台许可证,无论是对于MPX或VPX,我们都会得到5个通用许可证。我们可以从GUI导航验证System | Licenses: 我们也可以通过CLI使用以下命令验证这一点:
这些许可证是并发的,这意味着我们可以有五个用户在任何给定时间使用基于VPN的解决方案。如果我们需要更多的并发用户,我们不得不购买更多用户的许可证。 NetScaler网关的最常用的功能是ICA代理,这是允许远程用户访问XenApp或XenDesktop的解决方案,并且只要求用户安装Citrix Receiver。它不需要额外的许可证。解决的办法很简单,因为它的所有的ICA流量隧道都通过端口443(此端口通常用于安全的HTTP流量)访问网关和返回给用户,并且在防火墙上打开该端口并允许在远程访问即可。 让我们来看看一个示例场景,看看ICA代理如何工作,以及用户如何能够访问他们的应用程序或桌面。 那么他们是如何工作的呢? 当用户访问XenApp的资源时,将会出现以下访问流程: 2、User1在网站上与他/她的凭证进行认证。 3、NetScaler可利用其NSIP联系活动目录(AD)来验证用户。如果我们已经配置负载平衡的Active Directory服务,那么它会使用SNIP。 4、用户验证和凭据使用NetScaler的SNIP转发到StoreFront身份验证服务。 5、StoreFront验证服务通过XML服务转发凭据给XenApp服务器群,XenApp使用STA的存储服务来存储的用户凭据,并获取可用资源的列表。 6、XenApp的通过XML的服务返回信息给StoreFront,并提供对可用资源的安全票据和信息。 7、StoreFront联系NetScaler回调URL为用户生成一个可用的资源列表信息显示在Web网页上。 现在,在Web网页上显示用户所有可用的资源。如果用户点击一个应用程序/桌面,将会发生访问流程: 1、当User1点击应用程序1,NetScaler可发送HTTP或HTTPS请求,根据设置,以StoreFront的服务器,这说明什么资源正在请求。 2、StoreFront连接使用XML服务到XenApp场。 3、该STA服务的查询可以启动应用程序资源1的IMA服务。 4、该STA服务返回给StoreFront的服务器具有可利用的资源,包括其IP地址信息。 5、StoreFront生成的ICA文件,其中包含由该STA签发的票据并将其发送到客户端的Web浏览器。生成的ICA文件中包含的NetScaler网关VIP的全FQDN名以及有后端服务器的IP地址绑定的STA登录票据。 6、Citrix Receiver通过FQDN和STA票据启动一个会话。 我们现在已经看到了一个示例场景,知道了Citrix组件之间如何通信,并生成与外部用户的ICA连接。我们看到了ICA代理如何工作,该流程不像普通的VPN连接那样复杂。 现在,让我们仔细审视NetScaler网关功能的配置,以及我们如何设置它。
| 
发表于 2016-2-27 13:01:41
