Erste Schritte mit einer Citrix ADC MPX- und VPX-SWG-Appliance

Nachdem Sie Ihre Hardware (MPX) oder Software (VPX) -Appliance installiert und die Erstkonfiguration durchgeführt haben, können Sie sie als sichere Web-Gateway-Appliance konfigurieren, um Datenverkehr zu empfangen.

Wichtig:

  • OCSP-Prüfung erfordert eine Internetverbindung, um die Gültigkeit von Zertifikaten zu überprüfen. Wenn die Appliance über die NSIP-Adresse nicht über das Internet zugegriffen werden kann, fügen Sie Zugriffssteuerungslisten (ACLs) hinzu, um NAT von der NSIP-Adresse zur Subnetz-IP-Adresse (SNIP) auszuführen. Das SNIP muss über das Internet zugänglich sein. Beispiel:

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255
    
     set rnat a1 -natIP <SNIP>
    
     apply acls
    
  • Geben Sie einen DNS-Namensserver an, um Domänennamen aufzulösen. Weitere Informationen finden Sie unter Erstmalige Konfiguration.
  • Stellen Sie sicher, dass das Datum auf der Appliance mit den NTP-Servern synchronisiert ist. Wenn das Datum nicht synchronisiert wird, kann die Appliance nicht effektiv überprüfen, ob es sich bei einem Ursprungsserverzertifikat um ein abgelaufenes Zertifikat handelt.

Um die Citrix SWG-Appliance zu verwenden, müssen Sie die folgenden Aufgaben ausführen:

  • Fügen Sie einen Proxy-Server im expliziten oder transparenten Modus hinzu.
  • Aktivieren Sie SSL-Interception.
    • Konfigurieren Sie ein SSL-Profil.
    • Fügen Sie SSL-Richtlinien hinzu und binden Sie sie an den Proxyserver.
    • Fügen Sie ein Zertifizierungsstellen-Zertifikatschlüsselpaar für SSL-Interception hinzu und binden Sie sie.

Hinweis: Eine Citrix SWG-Appliance, die im transparenten Proxymodus konfiguriert ist, kann nur HTTP- und HTTPS-Protokolle abfangen. Um andere Protokolle wie Telnet zu umgehen, müssen Sie die folgende Abhörrichtlinie auf dem virtuellen Proxyserver hinzufügen.

Der virtuelle Server akzeptiert jetzt nur den eingehenden HTTP- und HTTPS-Datenverkehr.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`

Je nach Bereitstellung müssen Sie möglicherweise die folgenden Funktionen konfigurieren:

  • Authentifizierungsdienst (empfohlen) — zur Authentifizierung von Benutzern. Ohne den Authentifizierungsdienst basiert die Benutzeraktivität auf der Client-IP-Adresse.
  • URL-Filter — zum Filtern von URLs nach Kategorien, Reputationsbewertung und URL-Listen.
  • Analytics: Zum Anzeigen von Benutzeraktivitäten, Benutzerrisikoindikatoren, Bandbreitenverbrauch und Transaktionen in Citrix Application Delivery Management (ADM).

Hinweis: SWG implementiert die meisten typischen HTTP- und HTTPS-Standards, gefolgt von ähnlichen Produkten. Diese Implementierung wird ohne einen bestimmten Browser durchgeführt und ist mit den meisten gängigen Browsern kompatibel. SWG wurde mit gängigen Browsern und aktuellen Versionen von Google Chrome, Internet Explorer und Mozilla Firefox getestet.

Secure Web Gateway-Assistent

Der SWG-Assistent stellt Administratoren ein Tool zur Verfügung, mit dem Sie die gesamte SWG-Bereitstellung mithilfe eines Webbrowsers verwalten können. Es hilft den Kunden dabei, einen SWG-Service schnell einzurichten und vereinfacht die Konfiguration durch eine Reihe von klar definierten Schritten.

  1. Öffnen Sie Ihren Webbrowser und geben Sie die NSIP-Adresse ein, die Sie bei der Erstkonfiguration angegeben haben. Weitere Hinweise zur Erstkonfiguration finden Sie unterErstmalige Konfiguration.

  2. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein.

    lokalisiertes Bild

  3. Wenn Sie keine Subnetz-IP-Adresse (SNIP) angegeben haben, wird der folgende Bildschirm angezeigt.

    lokalisiertes Bild

    Geben Sie unter Subnetz-IP-Adresse eine IP-Adresse und eine Subnetzmaske ein. Das Häkchen in einem grünen Kreis zeigt an, dass der Wert konfiguriert ist.

  4. Fügen Sie unter Hostname, DNS-IP-Adresse und Zeitzonedie IP-Adresse eines DNS-Servers hinzu, um Domänennamen aufzulösen, und geben Sie Ihre Zeitzone an.

  5. Klicken Sie auf Weiter.

  6. (Optional) Möglicherweise wird ein Ausrufezeichen wie folgt angezeigt:

    lokalisiertes Bild

    Diese Markierung zeigt an, dass das Feature nicht aktiviert ist. Um das Feature zu aktivieren, klicken Sie mit der rechten Maustaste auf das Feature, und klicken Sie dann auf Feature aktivieren.

    lokalisiertes Bild

  7. Klicken Sie im Navigationsbereich auf Secure Web Gateway. Klicken Sie unter Erste Schritteauf Secure Web Gateway-Assistent.

    lokalisiertes Bild

  8. Führen Sie die Schritte im Assistenten aus, um Ihre Bereitstellung zu konfigurieren.

Hinzufügen einer Listenrichtlinie zum transparenten Proxyserver

  1. Navigieren Sie zu Secure Web Gateway > Proxyserver . Wählen Sie den transparenten Proxyserver aus, und klicken Sie auf Bearbeiten.

  2. Bearbeiten Sie die Grundeinstellungen, und klicken Sie auf Mehr.

  3. Geben Sie unter Listenpriorität1 ein.

  4. Geben Sie im Listenrichtlinienausdruckden folgenden Ausdruck ein:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

    Dieser Ausdruck setzt Standardports für HTTP- und HTTPS-Datenverkehr voraus. Wenn Sie verschiedene Ports konfiguriert haben, z. B. 8080 für HTTP oder 8443 für HTTPS, ändern Sie den Ausdruck so, dass er diese Ports widerspiegelt.

Einschränkungen

SWG wird in einem Cluster-Setup, in Administratorpartitionen und auf einer Citrix ADC FIPS-Appliance nicht unterstützt.