Häufig gestellte Fragen

F: Welche Hardwareplattformen werden für Citrix Secure Web Gateway (SWG) unterstützt?

A: Citrix SWG ist auf den folgenden Hardwareplattformen verfügbar:

  • Citrix SWG MPX 14020/14030/14040
  • Citrix SWG MPX 14020-40G/14040 -40G
  • Citrix SWG MPX 14060-40S/14080 -40S/14100 -40S
  • Citrix SWG MPX 5901/5905/5910
  • Citrix SWG MPX/SDX 8905/8910/8920/8930
  • Alle Cavium N2 und N3 basierten SDX-Plattformen

F: Welche zwei Erfassungsmodi kann ich beim Erstellen eines Proxys auf der SWG-Appliance festlegen?

A: Die SWG-Lösung unterstützt explizite und transparente Proxy-Modi. Im expliziten Proxymodus müssen die Clients eine IP-Adresse und einen Port in ihren Browsern angeben, es sei denn, die Organisation verschiebt die Einstellung auf das Gerät des Clients. Diese Adresse ist die IP-Adresse eines Proxy-Servers, der auf der SWG-Appliance konfiguriert ist. Transparenter Proxy ist, wie der Name schon sagt, für den Client transparent. Die SWG-Appliance ist in einer Inline-Bereitstellung konfiguriert, und die Appliance akzeptiert transparent den gesamten HTTP- und HTTPS-Datenverkehr.

F: Verfügt Citrix SWG über einen Konfigurationsassistenten?

A: Ja. Der Assistent befindet sich auf dem SWG-Knoten im Konfigurationsdienstprogramm.

F: Welche Citrix ADC-Funktionen werden bei der Konfiguration von Citrix SWG verwendet?

A: Responder, AAA-TM, Content-Switching, SSL, Forward-Proxy, SSL-Interception und URL-Filterung.

F: Welche Authentifizierungsmethoden werden von Citrix SWG unterstützt?

A: Im expliziten Proxymodus werden die Authentifizierungsmethoden LDAP, RADIUS, TACACS + und NEGOTIATE unterstützt. Im transparenten Modus wird nur die LDAP-Authentifizierung unterstützt.

F: Muss das Zertifizierungsstellenzertifikat auf dem Clientgerät installiert werden?

A: Ja. Die Citrix SWG-Appliance emuliert das Ursprungsserverzertifikat. Dieses Serverzertifikat muss von einem vertrauenswürdigen Zertifizierungsstellenzertifikat signiert sein, das auf den Geräten der Clients installiert werden muss, damit der Client dem regenerierten Serverzertifikat vertrauen kann.

F: Kann ich eine Citrix ADC Platform-Lizenz auf der Citrix SWG-Plattform verwenden?

A: Nein. Die Citrix SWG-Plattform erfordert eine eigene Plattformlizenz.

F: Wird HA für eine Citrix Secure Web Gateway-Bereitstellung unterstützt?

A: Ja.

F: Welche Datei enthält die Protokolle für Citrix SWG?

A: In der Datei ns.log werden Citrix SWG-Informationen aufgezeichnet. Sie müssen die Protokollierung mit der CLI oder GUI aktivieren. Geben Sie an der Eingabeaufforderung: set syslogparams -ssli Enabledein.

Navigieren Sie in der GUI zu System > Auditing . Klicken Sie unter Einstellungenauf Auditing Syslog-Einstellungen ändern. Wählen Sie SSL-Interceptionaus.

F: Welche nsconmsg-Befehle kann ich verwenden, um Probleme zu beheben?

A: Sie können einen oder beide der folgenden Befehle verwenden:

nsconmsg -d current -g ssli
nsconmsg -d current -g err

F: Wie erhalte ich Updates, wenn das Zertifikatspaket integriert ist?

A: Das neueste Bundle ist im Build enthalten. Wenden Sie sich an den Citrix Support, um Updates zu erhalten.

F: Können Daten auf Citrix ADM von Citrix SWG erfasst werden?

A: Ja. Sie müssen Analytics im Secure Web Gateway-Assistenten aktivieren.

Wichtig: Stellen Sie sicher, dass Sie denselben 12.0-Build für MAS und SWG verwenden.

F: Was ist URL-Filterdienst?

A: URL-Filter ist ein Webinhaltsfilter, der den Zugriff auf eine Liste mit eingeschränkten Websites und Webseiten steuert. Der Filter schränkt den Benutzerzugriff auf unangemessene Inhalte im Internet basierend auf URL-Kategorie, Kategoriegruppen und Reputationsbewertung ein. Ein Netzwerkadministrator kann den Webverkehr überwachen und den Benutzerzugriff auf hochriskante Websites blockieren. Sie können das Feature mithilfe von URL-Kategorisierung oder URL-Listenfunktion basierend auf der Richtliniendurchsetzung implementieren. Weitere Informationen finden Sie unterURL-FilterungThema.

F: Wie passt die URL-Filterung in Citrix SWG?

A: Die URL-Filterung nutzt die Citrix SWG-Appliance, um den Zugriff auf bestimmte Websites zu steuern. Die SWG-Appliance am Rand des Netzwerks fungiert als Proxy, um den Webverkehr abzufangen und Aktionen wie Authentifizierung, Inspektion, Zwischenspeicherung und Umleitung auszuführen. Der Filter steuert dann den Zugriff auf Websites mit der URL-Kategorisierung oder URL-Listenfunktion mit Richtliniendurchsetzung.

F: Wie oft wird die URL-Kategorisierungsdatenbank aktualisiert?

A: Wenn Sie die URL-Kategorisierungsfunktion verwenden, um den Zugriff auf eingeschränkte Websites zu steuern, müssen Sie die Kategorisierungsdatenbank regelmäßig mit den neuesten Daten aus dem cloudbasierten Vendor Service aktualisieren. Um die Datenbank zu aktualisieren, können Sie mit der Citrix SWG-GUI die URL-Filterparameter wie Stunden zwischen DB-Updates oder Time of Day to Update DB konfigurieren.

F: Welche Anwendungsfälle sind heute am besten für den URL-Filterdienst geeignet?

A: Im Folgenden werden einige der angestrebten Anwendungsfälle für Unternehmenskunden aufgeführt:

F: Gibt es ein Speicherlimit für das Caching im URL-Kategorisierungsdienst?

A: Ja. Das Speicherlimit für das Caching ist auf 10 GB festgelegt und Sie können es nur über die CLI-Schnittstelle konfigurieren.

F: Was gibt die URL-Kategorisierungsdatenbank zurück, wenn keine Kategorie mit der eingehenden Anforderung übereinstimmt?

A: Wenn die eingehende Anforderung nicht mit einer Kategorie übereinstimmt oder die URL falsch formatiert ist, markiert die Appliance die URL als Nicht kategorisiert und sendet die Anforderung an den cloudbasierten Dienst, der vom Kategorisierungsanbieter verwaltet wird. Die Appliance überwacht weiterhin das Feedback der Cloud-Abfrage und aktualisiert den Cache, sodass zukünftige Anforderungen von der Cloud-Suche profitieren können.

F: Was ist eine URL-Reputationsbewertung und wie steuern Sie den Zugriff auf bösartige Websites basierend auf der Reputationsbewertung?

A: Eine URL-Reputationsbewertung ist eine Bewertung, die Citrix SWG einer Website zuweist. Der Wert kann zwischen 1 und 4 liegen, wobei 4 eine bösartige Website und 1 eine saubere Website ist. Wenn ein Netzwerkadministrator einen Benutzer überwacht, der auf hochriskante Websites zugreift, wird der Zugriff auf solche Websites basierend auf der URL-Reputationsbewertung und der Sicherheitsstufe gesteuert, die Sie auf der Citrix SWG-Appliance konfiguriert haben. Weitere Informationen finden Sie unter URL-Reputationsbewertung.

F: Wenn Sie Websites mit einem URL-Satz filtern, aber eine bestimmte Website falsch filtern, was ist der Prozess, um außergewöhnliche Websites zu ermöglichen?

A: URL-Filterung verwendet eine Responder-Richtlinie, um den Zugriff auf Websites zu steuern. Um eine bestimmte URL als Ausnahme auf die weiße Liste zu setzen, erstellen Sie im SWG-Assistenten eine Patset-Richtlinie und fügen Sie die außergewöhnliche URL mit der Aktion Zulassen hinzu. Nachdem Sie die Richtlinie erstellt haben, beenden Sie den Assistenten, und führen Sie die folgenden Schritte aus:

So ändern Sie die Priorität eines Richtlinienausdrucks mit der Citrix SWG-GUI:

  1. Melden Sie sich bei der Citrix SWG- Appliance an, und navigieren Sie zu Secure Web Gateway > Virtual Proxy-Server.
  2. Wählen Sie auf der Detailseite einen Server aus, und klicken Sie auf Bearbeiten.
  3. Gehen Sie auf der Seite Virtuelle Proxyserver zum Abschnitt Richtlinien und klicken Sie auf das Bleistiftsymbol, um die Details zu bearbeiten.
  4. Wählen Sie die Patset-Richtlinie aus, und geben Sie auf der Seite Richtlinienbindung den Prioritätswert an, der niedriger ist als andere gebundene Richtlinien.
  5. Klicken Sie auf Binden und Fertig.

F: Welche Vorteile bietet die Verwendung der Citrix SWG-URL-Filterfunktion?

A: URL-Filterfunktion ist einfach zu implementieren, zu konfigurieren und zu verwenden. Es bietet folgende Vorteile und ermöglicht Unternehmenskunden:

  • Überwachen des Webverkehrs und der Benutzertransaktion
  • Filtern Sie Malware und Internet-Bedrohungen.
  • Kontrollieren Sie den unbefugten Zugriff auf bösartige Websites.
  • Durchsetzen von Sicherheitsrichtlinien für Unternehmen, um den Zugriff auf eingeschränkte Daten zu kontrollieren.

F: Wie kann ich eine URL-Listenrichtlinie bearbeiten, wenn Sie eine URL-Listenfunktion zum Filtern von Websites verwenden?

A: Sie können eine URL-Listenrichtlinie über den Citrix SWG-Assistenten ändern, indem Sie die importierte Liste überschreiben oder löschen, die an die Responderrichtlinie gebunden ist.

F: Was enthalten die Metadaten, die einer URL zugeordnet sind?

A: Jedem URL in der Kategorisierungsdatenbank sind Metadaten zugeordnet. Die Metadaten enthalten Informationen zu URL-Kategorie, Kategoriegruppe und Reputationsbewertung. Wenn es sich bei der URL beispielsweise um ein Shopping-Portal handelt, werden die Metadaten Shopping”, Shopping/Retail und 1 sein.

Verwenden Sie die folgenden Ausdrücke, um diese Werte für die eingehende URL abzurufen. Die Ausdrücke sind unten angegeben:

URL_CATEGORIZE(0,0).CATEGORY
URL_CATEGORIZE(0,0).GROUP
URL_CATEGORIZE(0,0).REPUTATION

F: Welche Art von Lizenz und Abonnement benötigen Sie für die URL-Kategorisierungsfunktion?

A: Die URL-Kategorisierungsfunktion erfordert einen URL Threat Intelligence-Abonnementdienst (verfügbar für ein Jahr oder drei Jahre) mit Citrix SWG-Edition.

F: Wie kann ich die URL-Filterung konfigurieren?

A: Es gibt zwei Möglichkeiten, URL-Filterung zu konfigurieren. Sie können dies entweder über die Citrix SWG-Befehlsschnittstelle oder über den Citrix SWG-Assistenten tun. Citrix empfiehlt, dass Sie den Assistenten zum Konfigurieren von Filterrichtlinien verwenden.

F: Welche URL-Kategorien können Sie blockieren?

A: Die URL-Kategorisierungsdatenbank enthält Millionen von URLs mit Metadaten. Der Administrator kann eine Responder-Richtlinie konfigurieren, um zu entscheiden, welche URL-Kategorien gesperrt werden können und welche URL-Kategorien für den Benutzerzugriff zugelassen werden können. Informationen zur URL-Kategoriezuordnung finden SieZuordnungskategorienauf Seite.

F: Was müssen wir tun, wenn wir nicht auf Origin Server zugreifen können, die WebSocket verwenden, wieWhatsApp

Sie müssen WebSocket im Standard-HTTP-Profil aktivieren.

Geben Sie in der Befehlszeilenschnittstelle Folgendes ein:

> set httpprofile nshttp_default_profile -webSocket ENABLED

Was ist ICAP?

ICAP steht für Internet Content Adaption Protocol.

Welche Version von Citrix SWG unterstützt ICAP?

ICAP wird in Citrix SWG Version 12.0 Build 57.x und höher unterstützt.

Welche beiden ICAP-Modi werden von Citrix SWG unterstützt?

Request modification (REQMOD) mode und response modification (RESPMOD) mode werden unterstützt.

Was ist der Standardport für ICAP?

1344.

Häufig gestellte Fragen