Edge-Sicherheit

Die Citrix SD-WAN Edge-Sicherheitsfunktionen ermöglichen erweiterte Sicherheit auf Citrix SD-WAN Zweigstellen-Appliances. Es vereinfacht die Informationssicherheitsverwaltung, um das Zweigstellennetzwerk vor Internet-Bedrohungen zu schützen, indem ein einziges Verwaltungs- und Berichtsfenster für verschiedene Sicherheitsfunktionen zusammen mit SD-WAN bereitgestellt wird. Durch die Konsolidierung von Routing-, SD-WAN- und Sicherheitsfunktionen auf einer einzigen Appliance entfällt die Notwendigkeit für mehrere Zweigstellenlösungen und reduziert die Netzwerkkomplexität und -kosten. Der Edge-Sicherheits-Stack umfasst die folgenden Sicherheitsfunktionen:

  • Web-Filterung
  • Anti-Malware
  • Intrusion Prevention

Edge-Sicherheitsfunktionen sind auf Citrix SD-WAN Advanced Edition-Appliances verfügbar. Weitere Informationen zu Editionen finden Sie unter Citrix SD-WAN Plattform-Editionen und Citrix SD-WAN Plattform-Softwareunterstützung. Weitere Informationen zu unterstützten Appliances finden Sie im Citrix SD-WAN — Datenblatt.

Hinweis:

Die Citrix SD-WAN Advanced Edition wird nur auf der Citrix SD-WAN 1100 Appliance unterstützt.

Da die Edge-Sicherheitsfunktion rechnerabhängig ist, empfiehlt Citrix, die Advanced Edition-Appliance nur an Zweigstellen zu verwenden, die noch nicht über eine Firewall-Lösung der nächsten Generation verfügen.

Stellen Sie beim Konfigurieren eines Zweigstandorts mit Edge-Sicherheitsfunktionen sicher, dass ein Gerätemodell ausgewählt ist, das Advanced Edition unterstützt, und die Device EditionAEist. Weitere Informationen zum Hinzufügen und Konfigurieren einer Site finden Sie unter Grundeinstellungen.

Grundeinstellungen für die Standortkonfiguration

Mit Citrix SD-WAN Orchestrator können Sie Sicherheitsprofile für Edge-Sicherheitsfunktionen definieren und diese Sicherheitsprofile Firewallrichtlinien zuordnen. Die Firewall-Richtlinien werden erweitert, um Sicherheitsprofilparameter zu akzeptieren, die die erweiterten Sicherheitsfunktionen angeben.

Hinweis:

Sie können Sicherheitsprofile erstellen und Edge-Sicherheitsfunktionen nur über den SD-WAN Orchestrator konfigurieren.

Sicherheitsprofile

Ein Sicherheitsprofil besteht aus einer Reihe bestimmter Edge-Sicherheitsoptionen, die auf ein bestimmtes Segment des Datenverkehrs angewendet werden, das durch eine Firewall-Richtlinie definiert wird. Die Absicht ist, den Verkehr vor Sicherheitsbedrohungen zu schützen. So können Sie beispielsweise Sicherheitsprofile mit unterschiedlichen Sicherheitsstufen und Zugriffsrechten für verschiedene Segmente Ihres Netzwerks definieren. Sie können die Einstellungen für Webfilter, Anti-Malware und Intrusion Prevention für jedes Sicherheitsprofil aktivieren und konfigurieren.

Die Sicherheitsprofile werden dann Firewall-Richtlinien zugeordnet, um die Kriterien für den zu überprüfenden Datenverkehr festzulegen. In einer Organisation können Sie beispielsweise verschiedene Sicherheitsprofile für Mitarbeitersubnetze und Gast-Firewallzonen erstellen. Anschließend können Sie das Sicherheitsprofil einer entsprechenden Firewall-Richtlinie zuweisen, die dem Mitarbeiter- und Gastdatenverkehr entspricht.

Um ein Sicherheitsprofil zu erstellen, navigieren Sie auf Netzwerkebene zu Konfiguration > Sicherheit > Sicherheitsprofil und klicken Sie auf Neues Sicherheitsprofil.

Sicherheitsprofil

Geben Sie einen Namen und eine Beschreibung für das Sicherheitsprofil ein. Aktivieren und konfigurieren Sie die Einstellungen für Webfilter, Anti-Malware und Intrusion Prevention nach Bedarf.

Sicherheitsprofil

Web-Filterung

Mit der Webfilterung können Sie die Websites filtern, auf die Ihre Netzwerkbenutzer zugreifen, über eine Kategorisierungsdatenbank, die etwa 32 Milliarden URLs und 750 Millionen Domänen enthält. Es kann verhindern, dass unangemessene Websites, Spyware, Phishing, Pharming, Website-Umleitung und andere Internet-Bedrohungen ausgesetzt sind. Es kann auch Internetrichtlinien durchsetzen und den Zugriff auf soziale Medien, Peer-to-Peer-Kommunikation, Glücksspiel und andere Websites verhindern, die häufig durch Unternehmensrichtlinien verboten sind. Webfilter überwacht den Internetverkehr in Ihrem Netzwerk und filtert ihn, indem Webaktivitäten protokolliert und unangemessene Inhalte markiert oder blockiert werden.

Wenn Sie eine Website besuchen und die Webfilterung aktiviert ist, wird die URL zur Kategorisierung an eine Cloud-Datenbank gesendet.

Hinweis:

Konfigurieren Sie einen gültigen DNS-Server und aktivieren Sie den HTTPS-Internetzugang über die SD-WAN-Verwaltungsschnittstelle. Dadurch ist die Cloud-Datenbank erreichbar, damit die Webfilterung funktionieren kann.

Das Kategorisierungsergebnis wird dann auf der SD-WAN-Appliance zwischengespeichert, um die Verarbeitungsgeschwindigkeit zukünftiger Anforderungen zu erhöhen. Das Ergebnis wird dann verwendet, um Websites zu kennzeichnen, zu blockieren oder zu erlauben, ohne die Ladezeit zu erhöhen. Sie können Regeln hinzufügen, um Websites zu blockieren oder zu umgehen, die entweder nicht kategorisiert oder falsch kategorisiert sind, oder um Ausnahmen zu konfigurieren. Sie können auch die Webfilterung für bestimmte Benutzer-IPs oder Subnetze umgehen.

Block/Flag Kategorie

Sie können verschiedene Kategorien von Websites kennzeichnen oder blockieren. Webfilterung klassifiziert URLs in sechs Kategoriengruppen, IT-Ressourcen, Sonstiges, Datenschutz, Produktivität, Sicherheit und Sensitive. Jede dieser Gruppen hat unterschiedliche URL-Kategorien. Wenn Sie die Blockoption wählen, markiert sie implizit auch die Website. Wenn Sie versuchen, auf eine Website einer blockierten Kategorie zuzugreifen, wird diese als Verletzung gekennzeichnet und die Website wird blockiert. Kategorien, die markiert sind, ermöglichen Ihnen den Zugriff auf die Websites, aber das Ereignis wird als Verstoß gekennzeichnet. Sie können die Details im Sicherheitsprotokolle oder anzeigen Berichte.

Block/Flag Kategorie

Websites blockieren/kennzeichnen

Sie können Regeln hinzufügen, um bestimmte Websites zu blockieren oder kennzeichnen, die durch die Einstellungen im Abschnitt Kategorien zulässig sind. Sie können auch nicht kategorisierte oder falsch kategorisierte Websites blockieren/kennzeichnen. Geben Sie den Domänennamen ein und wählen Sie Blockieren oder Kennzeichnenaus. Die Entscheidungen für URLs in der Liste Sites blockieren/kennzeichnen haben Vorrang vor Entscheidungen, die auf der Websitekategorie basieren.

Hinweis:

  • Sie können nur vollqualifizierte Domänennamen (FQDNs) hinzufügen, zum Beispiel - somedomain.com. Sie können keine URL-Pfade hinzufügen, zum Beispiel - somedomain.com/path/zu/file.
  • Jede Domäne, die zu blockieren/kennzeichnen Websites hinzugefügt wird, enthält auch ihre Subdomains. Wenn Sie beispielsweise domain.com hinzufügen, blockieren/kennzeichnen subdomain1.domain.com, subdomain2.domain.comund subdomainlevel2.subdomainlevel1.domain.com.

URLs blockieren/kennzeichnen

Bypass-Websites

Sie können Regeln hinzufügen, um bestimmte Websites innerhalb von blockierten Kategorien zuzulassen. Jede Domäne, die der Liste Sites umgehen hinzugefügt wurde, ist zulässig, auch wenn sie nach Kategorie oder nach individueller URL blockiert ist. Geben Sie den Domänennamen ein, und geben Sie eine Beschreibung ein. Wählen Sie Aktiv, um die URL zuzulassen.

Hinweis:

  • Sie können nur vollqualifizierte Domänennamen (FQDNs) hinzufügen, zum Beispiel - somedomain.com. Sie können keine URL-Pfade hinzufügen, zum Beispiel - somedomain.com/path/zu/file.
  • Jede Domäne, die zur Umgehung von Websites hinzugefügt wurde, enthält auch ihre Subdomains. Wenn Sie beispielsweise domain.com hinzufügen, werden subdomain1.domain.com, subdomain2.domain.comund subdomainlevel2.subdomainlevel1.domain.com umgangen.

Bypass-Sites

Umgehen von Client-IPs

Sie können Regeln hinzufügen, um die Webfilterung für bestimmte IP-Adressen oder Subnetze zu umgehen. Sie können entweder eine IP-Adresse oder eine Subnetz-CIDR-Notation und eine aussagekräftige Beschreibung angeben. Der Webfilter blockiert keinen Datenverkehr, unabhängig von den gesperrten Kategorien oder Websites. Wählen Sie Aktiv, um Datenverkehr von diesen IP-Adressen zuzulassen.

Hinweis:

Da sich DHCP-IPs ändern können, verwenden Sie diese Funktion nur für Clients mit statischen IPs oder Subnetzen.

Umgehen von Client-IPs

Erweiterte Optionen

HTTPS-Datenverkehr über SNI verarbeiten (Servernamenanzeige)

SNI ist eine Erweiterung des TLS-Protokolls (Transport Layer Security), mit dem ein Client den Namen der Website angibt, mit der der Benutzer zu Beginn des sicheren Verbindungshandshake-Prozesses eine Verbindung herstellen möchte. Dadurch kann der Server nicht nur das richtige Zertifikat bereitstellen, sondern auch die SD-WAN-Appliance, um die Zielwebsite zu identifizieren und deren URL-Kategorie zu bestimmen, selbst wenn die End-to-End-Kommunikation verschlüsselt ist. Wenn diese Option aktiviert ist, wird der HTTPS-Datenverkehr mithilfe des SNI im HTTPS-Datenstrom kategorisiert, sofern vorhanden.

Hinweis:

Die Option HTTPS-Datenverkehr nach SNI verarbeiten ist standardmäßig aktiviert.

Block-Optionen

  • Block QUIC (UDP-Port 443): Die Firewall blockiert jede ausgehende Kommunikation am UDP-Port 443, der normalerweise für das QUIC-Protokoll verwendet wird, das vom Web-Filtermodul nicht verarbeitet werden kann. Das Blockieren von QUIC führt dazu, dass der Browser auf TCP-basierte HTTP (S) -Kommunikation zurückfällt.

  • Übergeben, wenn Referrer mit einer Bypass-Website übereinstimmt: Wenn eine Seite mit externen Inhalten über die Bypass-URLzulässig ist, wird der externe Inhalt unabhängig von anderen Blockrichtlinien übergeben.

    Hinweis:

    Obwohl diese Option den Zugriff auf externe Websites ermöglicht, stellt sie ein Sicherheitsrisiko dar. Die Referrer-Option im HTTP-Header kann durch Browser-Add-Ons und Plug-Ins überschrieben werden. Citrix empfiehlt Ihnen, diese Option vorsichtig zu verwenden.

  • Verbindung für blockierte HTTPS-Sitzungen schließen, ohne zur Blockseite umzuleiten: Die SD-WAN-Appliance gibt eine HTTP-Umleitung an eine benutzerdefinierte Blockseite aus, falls die URL blockiert wird. Diese Umleitung ist jedoch für HTTPS-Sitzungen nicht möglich, ohne dass eine Man-in-the-Middle-Sitzung (MitM) beendet wird und eine Warnseite für ungültige Zertifikat-Browser angezeigt wird. Diese Option führt dazu, dass die HTTPS-Sitzung stattdessen beendet wird, um eine falsche Warnung über einen potenziellen Angriff auf die Zielwebsite zu verhindern.

    Hinweis

    Diese Option ist standardmäßig aktiviert.

  • Benutzerdefinierte URL für Blockieren: Legen Sie einen externen Serverstandort fest, um Benutzer umzuleiten, wenn ihnen der Zugriff auf eine Website durch Webfilter verweigert wird. Wenn eine benutzerdefinierte URL konfiguriert ist, werden die folgenden Abfragezeichenfolgenvariablen übergeben, damit das empfangende System seinen Inhalt anpassen kann.

    • Grund: Der Grund, warum dem Benutzer der Zugriff verweigert wurde. Dies ist der Kategoriename webbased+E-Mailund eine längere Kategoriebeschreibung. Zum Beispiel Sites+Angebot+Web+Based+E-Mail+und+E-Mail+Clients (die “Leerzeichen” werden durch “+” ersetzt), falls die Website aufgrund ihrer Kategorie blockiert wurde. Andernfalls, wenn sie aufgrund von “Block-URLs” blockiert wird, ist sie leer.

    • appname: Die Anwendung, die für die Ablehnung verantwortlich ist (Webfilterung).

    • appid: Die Anwendungskennung, ein interner Bezeichner für die Web-Filterung, der ignoriert werden kann).

    • host: Der Domänenname der URL, auf die dem Endbenutzer Zugriff verweigert wurde.

    • clientAddress: Die IP-Adresse des Endbenutzers, dem der Zugriff verweigert wurde.

    • url: Die angeforderte URL, der der Zugriff verweigert wurde.

Hinweis:

Wenn Sie nicht Ihre eigene Webseite verwenden, um die Ablehnung zu verarbeiten, gibt die integrierte Ablehnung eine Weiterleitung an eine nicht routingfähige IP-Adresse aus.

Benutzerdefinierte URL für Block

Sie können detaillierte Berichte zur Webfilterung im Citrix SD-WAN Orchestrator anzeigen. Weitere Informationen finden Sie unter.Berichte — Web-Filterung

Intrusion Prevention

Intrusion Prevention erkennt und verhindert bösartige Aktivitäten in Ihrem Netzwerk. Es enthält eine Datenbank mit über 34.000 Signaturerkennungen und heuristischen Signaturen für Port-Scans, mit der Sie die meisten verdächtigen Anfragen effektiv überwachen und blockieren können. Sie können die Intrusion Prevention aktivieren oder deaktivieren, während Sie ein Sicherheitsprofil definieren. Intrusion Prevention-Regeln sind jedoch in allen Sicherheitsprofilen üblich. Sie können Intrusion Prevention-Regeln unter Konfiguration > Sicherheit > Intrusion Preventionerstellen und verwalten. Weitere Informationen finden Sie unter Intrusion Prevention.

Hinweis:

Intrusion Prevention erkennt nur bösartigen Datenverkehr über den Datenverkehr, der von den jeweiligen Firewall-Richtlinien erfasst wird.

Benutzerdefinierte URL für Block

Sie können detaillierte Intrusion Prevention-Berichte im Citrix SD-WAN Orchestrator anzeigen. Weitere Informationen finden Sie unter Berichte — Intrusion Prevention.

Anti-Malware

Der Edge Security Anti-Malware scannt und löscht Viren, Trojaner und andere Malware. Anti-Malware kann HTTP-, FTP- und SMTP-Datenverkehr in Ihrem Netzwerk scannen und anhand einer Datenbank mit bekannten Signaturen und Dateimustern auf Infektionen untersuchen. Wenn keine Infektion erkannt wird, wird der Datenverkehr an den Empfänger gesendet. Wenn eine Infektion erkannt wird, löscht Anti-Malware die infizierte Datei oder isoliert sie und benachrichtigt den Benutzer.

Anti-Malware verwendet die Bitdefender-Engine, um die heruntergeladenen Dateien mit einer Kombination aus Signaturdatenbank, Heuristiken für verdächtige Muster und dynamischer Emulatoranalyse zu scannen. Die Download-Dateien werden blockiert, wenn einer dieser Tests fehlschlägt.

URLs ohne Scannen umgehen

Sie können die Anti-Malware-Suche nach vertrauenswürdigen internen Websites oder externen Websites umgehen, die für regelmäßige Updates verwendet werden, mehr Datenverkehr generieren und als sicher gelten. Indem Sie vertrauenswürdige Sites ohne Scannen durchlaufen können, können Sie den Ressourcenaufwand für das Scannen dieser Sites reduzieren.

Geben Sie die URL ein, geben Sie eine kurze Beschreibung an, und fügen Sie die URL zur Umgehungs-URL-Liste hinzu.

URL ohne Scannen umgehen

Nach Dateitypen scannen

Anti-Malware unterstützt standardmäßig das Scannen von 41 Dateierweiterungen im HTTP-Datenverkehr. Das Scannen von Anti-Malware beinhaltet eine umfassende Analyse durch Signaturen, Heuristiken und Emulationen, wodurch es zu einem rechensensitiven Prozess wird. Sie können bestimmte Dateinamenerweiterungen vom Anti-Malware-Scannen ausschließen. Löschen Sie die Dateitypen, die nicht gescannt werden müssen.

Hinweis:

Die standardmäßig ausgewählten Dateitypen treffen ein Gleichgewicht zwischen Anti-Malware-Effektivität und Systemleistung. Durch das Aktivieren von mehr Dateitypen wird die Verarbeitungslast von Edge Security erhöht und die Systemkapazität insgesamt beeinträchtigt.

Nach Dateitypen scannen

Nach MIME-Typen scannen

Ein Multipurpose Internet Mail Extension (MIME) Typ ist ein Internetstandard, der den Inhalt einer Internetdatei anhand der Art und des Formats beschreibt. Ähnlich wie bei Dateitypen können Sie bestimmte MIME-Typen vom Anti-Malware-Scannen ausschließen. Sie können bestimmte MIME-Typen vom Scannen ausschließen, indem Sie sie deaktivieren.

Hinweis:

Die standardmäßig ausgewählten MIME-Typen werden ausgewählt, um ein Gleichgewicht zwischen der Wirksamkeit von Anti-Malware und der Systemkapazität zu erzielen. Durch das Aktivieren von mehr Dateitypen wird die Verarbeitungslast von Edge Security erhöht und die Systemkapazität insgesamt beeinträchtigt.

Nach MIME-Typen scannen

Andere Scan-Optionen

Sie können Anti-Malware-Scans in den folgenden Internetprotokollen aktivieren oder deaktivieren:

  • HTTP scannen: Anti-Malware-Scannen für HTTP-Datenverkehr aktivieren.

  • FTP scannen: Anti-Malware-Scannen bei FTP-Downloads aktivieren.

  • SMTP scannen: Aktivieren Sie Anti-Malware-Scannen auf SMTP-Nachrichtenanlagen und wählen Sie die auszuführende Aktion aus.

    • Infektion entfernen: Der infizierte Anhang wird entfernt und die E-Mail wird an den Empfänger gesendet.

    • Nachricht übergeben: Die E-Mail wird an den Empfänger übermittelt, wobei die Anlage intakt ist.

      Hinweis:

      Für Aktionen Infektion entfernen und Nachricht übergeben wird der Betreffzeile der E-Mail [VIRUS] vorangestellt.

    • Nachricht blockieren: Die E-Mail ist gesperrt und nicht an den Empfänger gesendet.

Andere Scan-Optionen

Sie können detaillierte Berichte zur Anti-Malware-Suche im Citrix SD-WAN Orchestrator anzeigen. Weitere Informationen finden Sie unter Berichte — Anti-Malware.

Firewall-Richtlinie für Edge-Sicherheit

Die Edge-Sicherheitsfunktionen werden mithilfe von Firewall-Richtlinien ausgelöst. Sie können eine Firewall-Richtlinie für den Übereinstimmungstyp IP-Protokoll definieren und ihr ein Sicherheitsprofil zuordnen. Wenn der eingehende Datenverkehr den Filterkriterien entspricht, wird eine Inspektionsaktion ausgelöst und die gemäß dem ausgewählten Sicherheitsprofil konfigurierten Sicherheitsfunktionen angewendet.

Citrix SD-WAN wertet Firewall-Richtlinien auf “erste Übereinstimmung” aus, wobei die erste Abgleichsrichtlinie die Aktion bestimmt. Firewall-Richtlinien müssen in der folgenden Reihenfolge konfiguriert werden:

  1. IP-Protokoll-, Office 365- und DNS-App-Firewall-Richtlinien mit Nicht-Inspect-Aktion
  2. Edge-Sicherheits-Firewall-Richtlinien (IP-Protokoll-Firewall-Richtlinien mit Inspektionsaktion)
  3. Firewall-Richtlinien für Anwendungen

Um eine Firewall-Richtlinie zu konfigurieren und Edge-Sicherheit zu aktivieren, navigieren Sie zu Konfiguration > Sicherheit > Firewall-Richtlinien und klicken Sie auf Neue Regel erstellen.

Wählen Sie den Übereinstimmungstyp als IP-Protokoll aus, und konfigurieren Sie die Filterkriterien. Weitere Informationen finden Sie unter Firewall-Richtlinien. Wählen Sie die Aktion Inspect (für IP-Protokoll) aus, und wählen Sie ein Sicherheitsprofil aus.

Firewall-Richtlinie für Edge-Sicherheit

HinweisEs gibt

zwar keine Begrenzung für die Anzahl der zu erstellenden Sicherheitsprofile, aber Sie können einem Standort nur bis zu 32 Firewall-Richtlinien inspizieren zuweisen.

Einschränkungen

  • Das Herunterladen der Appliance-Software für Citrix SD-WAN Standard Edition (SE) -Appliances, die auf Advanced Edition (AE) aktualisiert werden, dauert länger. Das Edge Security-Subsystem von AE-Appliances wird separat gebündelt, um Auswirkungen auf die Downloadgröße für SE-Appliances zu vermeiden.
  • Die Webfilterung von Citrix SD-WAN Edge Security kann nur die SNI (Server Name Indication, SNI) für die HTTPS-Websites überprüfen, um Entscheidungen darüber zu treffen, ob der Datenverkehr blockiert, markiert oder zugelassen werden soll.
  • Externe Syslog-Serverunterstützung ist derzeit nicht über Orchestrator für Citrix SD-WAN Edge Security verfügbar.

Verwandte Themen

Edge-Sicherheit