Questions fréquentes

Q : Quelles plates-formes matérielles sont prises en charge pour Citrix Secure Web Gateway (SWG) ?

A. Citrix SWG est disponible sur les plates-formes matérielles suivantes :

• Citrix SWG MPX 14020/14030/14040
• Citrix SWG MPX 14020-40G/14040-40G
• Citrix SWG MPX 14060-40S/14080-40S/14100-40S
• Citrix SWG MPX 5901/5905/5910
• Citrix SWG MPX/SDX 8905/8910/8920/8930
• Toutes les plates-formes SDX basées sur Cavium N2 et N3

Q : Quels sont les deux modes de capture que je peux définir lors de la création d’un proxy sur l’appliance SWG ?

A. La solution SWG prend en charge les modes proxy explicites et transparents. En mode proxy explicite, les clients doivent spécifier une adresse IP et un port dans leurs navigateurs, sauf si l’organisation envoie le paramètre sur le périphérique du client. Cette adresse est l’adresse IP d’un serveur proxy configuré sur l’appliance SWG. Le proxy transparent, comme son nom l’indique, est transparent pour le client. L’appliance SWG est configurée dans un déploiement en ligne et elle accepte de manière transparente tout le trafic HTTP et HTTPS.

Q : Citrix SWG a-t-il un assistant de configuration ?

A. Oui. L’Assistant se trouve sur le nœud SWG dans l’utilitaire de configuration.

Q : Quelles fonctionnalités Citrix ADC sont utilisées lors de la configuration de Citrix SWG ?

A. Répondeur, AAA-TM, commutation de contenu, SSL, proxy de transfert, interception SSL et filtrage d’URL.

Q : Quelles méthodes d’authentification sont prises en charge sur Citrix SWG ?

A. En mode proxy explicite, les méthodes d’authentification LDAP, RADIUS, TACACS+ et NEGOTIATE sont prises en charge. En mode transparent, seule l’authentification LDAP est prise en charge.

Q : Est-il nécessaire d’installer le certificat d’autorité de certification sur la machine client ?

A. Oui. L’appliance Citrix SWG émule le certificat du serveur d’origine. Ce certificat de serveur doit être signé par un certificat d’autorité de certification approuvé, qui doit être installé sur les périphériques des clients afin que le client puisse approuver le certificat de serveur régénéré.

Q : Puis-je utiliser une licence Citrix ADC Platform sur la plate-forme Citrix SWG ?

A. Non. La plate-forme Citrix SWG requiert sa propre licence de plate-forme.

Q : La haute disponibilité est-elle prise en charge pour un déploiement Citrix Secure Web Gateway ?

A. Oui.

Q : Quel fichier contient les journaux pour Citrix SWG ?

A. Le fichier ns.log enregistre les informations Citrix SWG. Vous devez activer la journalisation à l’aide de l’interface de ligne de commande ou de l’interface graphique. À l’invite de commandes, tapez : set syslogparams -ssli Enabled.

Dans l’interface graphique, accédez à Système > Audit. Dans Paramètres, cliquez sur Modifier les paramètres Syslog Audit. Sélectionnez Interception SSL.

Q : Quelles commandes nsconmsg puis-je utiliser pour résoudre les problèmes ?

A. Vous pouvez utiliser l’une des commandes suivantes ou les deux :

nsconmsg -d current -g ssli
<!--NeedCopy-->

nsconmsg -d current -g err
<!--NeedCopy-->

Q : Si le paquet de certificats est intégré, comment puis-je obtenir des mises à jour ?

A. Le dernier bundle est inclus dans la build. Pour les mises à jour, contactez le support Citrix.

Q : Les données peuvent-elles être capturées sur Citrix ADM à partir de Citrix SWG ?

A. Oui. Vous devez activer Analytics dans l’Assistant Secure Web Gateway.

Important : Assurez-vous d’utiliser la même version 12.0 pour MAS et SWG.

Q : Qu’est-ce que le service de filtrage d’URL ?

A. Le filtrage d’URL est un filtre de contenu Web qui contrôle l’accès à une liste de sites Web et de pages Web restreints. Le filtre limite l’accès des utilisateurs au contenu inapproprié sur Internet en fonction de la catégorie d’URL, des groupes de catégories et du score de réputation. Un administrateur réseau peut surveiller le trafic Web et bloquer l’accès des utilisateurs aux sites Web à haut risque. Vous pouvez implémenter la fonctionnalité à l’aide de la fonction de catégorisation d’URL ou de liste d’URL basée sur l’application des stratégies. Pour plus d’informations, reportez-vous à la rubrique filtrage d’URL.

Q : Comment le filtrage d’URL s’intégre-t-il dans Citrix SWG ?

R. Le filtrage des URL s’appuie sur l’appliance Citrix SWG pour contrôler l’accès à des sites Web spécifiques. L’appliance SWG en périphérie du réseau agit comme un proxy pour intercepter le trafic Web et effectuer des actions telles que l’authentification, l’inspection, la mise en cache et la redirection. Le filtre contrôle ensuite l’accès aux sites Web à l’aide de la fonction de catégorisation d’URL ou de liste d’URL avec application de stratégie.

Q : À quelle fréquence la base de données de catégorisation des URL est-elle mise à jour ?

A. Si vous utilisez la fonctionnalité de catégorisation d’URL pour contrôler l’accès aux sites Web restreints, vous devez périodiquement actualiser la base de données de catégorisation avec les dernières données provenant du service fournisseur basé sur le cloud. Pour mettre à jour la base de données, l’interface graphique Citrix SWG vous permet de configurer les paramètres de filtrage d’URL tels que Heures entre les mises à jour DB ou « Heure du jour pour mettre à jour la base de données ».

Q : Quels sont les cas d’utilisation qui conviennent le mieux au service de filtrage d’URL aujourd’hui ?

R. Voici quelques-uns des cas d’utilisation ciblés pour les entreprises clientes :

• Filtrage d’URL par score de réputation d’URL
• Contrôle de l’utilisation d’Internet dans le cadre de la conformité des entreprises
• Filtrage d’URL à l’aide d’une liste d’URL personnalisée

Q : Existe-t-il une limite de mémoire pour la mise en cache dans le service de catégorisation d’URL ?

A. Oui. La limite de mémoire pour la mise en cache est définie sur 10 Go et vous pouvez la configurer via l’interface CLI uniquement.

Q : Que renvoie la base de données de catégorisation d’URL si aucune catégorie ne correspond à la demande entrante ?

A. Si la demande entrante ne correspond pas à une catégorie ou si l’URL est mal formée, l’appliance marque l’URL comme « Non classé » et envoie la demande au service basé sur le cloud géré par le fournisseur de catégorisation. L’appliance continue de surveiller les retours de requête dans le cloud et met à jour le cache afin que les demandes futures puissent bénéficier de la recherche dans le cloud.

Q : Qu’est-ce qu’un score de réputation d’URL et comment contrôler l’accès aux sites Web malveillants en fonction du score de réputation ?

A. Un score de réputation d’URL est une note que Citrix SWG attribue à un site Web. La valeur peut aller de 1 à 4, où 4 est un site Web malveillant et 1 est un site Web propre. Si un administrateur réseau surveille un utilisateur accédant à des sites Web à haut risque, l’accès à ces sites est contrôlé en fonction du score de réputation d’URL et du niveau de sécurité que vous avez configurés sur l’appliance Citrix SWG. Pour de plus amples informations, consultez la section Score de réputation d’URL.

Q : Si vous filtrez des sites Web à l’aide d’un ensemble d’URL mais que vous filtrez incorrectement un site Web spécifique, quel est le processus pour activer des sites Web exceptionnels ?

R. Le filtrage d’URL utilise une stratégie de répondeur pour contrôler l’accès aux sites Web. Pour mettre sur liste verte une URL spécifique en tant qu’exception, dans l’assistant SWG, créez une stratégie de jeu de patchs et ajoutez l’URL exceptionnelle avec l’action « Autoriser ». Une fois la stratégie créée, quittez l’Assistant et procédez comme suit :

Pour modifier la priorité d’une expression de stratégie à l’aide de l’interface graphique Citrix SWG :

1. Ouvrez une session sur l’appliance Citrix SWG et accédez à Secure Web Gateway > Proxy Virtual Servers.
2. Dans la page de détails, sélectionnez un serveur et cliquez sur Modifier.
3. Dans la page Serveurs virtuels proxy, accédez à la section Stratégies et cliquez sur l’icône crayon pour modifier les détails.
4. Sélectionnez la stratégie de jeu de patset et, dans la page Liaison de stratégie, spécifiez la valeur de priorité inférieure à celle des autres stratégies liées.
5. Cliquez sur Lier et Terminé.

Q : Quels sont les principaux avantages de l’utilisation de la fonctionnalité de filtrage d’URL Citrix SWG ?

A. La fonction de filtrage d’URL est facile à déployer, configurer et utiliser. Il offre les avantages suivants et permet aux entreprises clientes de :

• Surveiller le trafic Web et les transactions utilisateur
• Filtrer les logiciels malveillants et les menaces de sécurité transmises par Internet.
• Contrôler l’accès non autorisé aux sites Web malveillants.
• Appliquer les stratégies de sécurité de l’entreprise pour contrôler l’accès aux données restreintes.

Q : Si vous utilisez une fonction Liste d’URL pour filtrer des sites Web, comment modifier une stratégie de liste d’URL ?

A. Vous pouvez modifier une stratégie Liste d’URL via l’Assistant Citrix SWG en écrasant ou en supprimant la liste importée liée à la stratégie de répondeur.

Q : Que contiennent les métadonnées associées à une URL ?

A. Chaque URL de la base de données de catégorisation est associée à des métadonnées. Les métadonnées contiennent une catégorie d’URL, un groupe de catégories et des informations de score de réputation. Par exemple, si l’URL est un portail d’achat, les métadonnées seront Shopping/Retail, Shopping/Retail et 1 respectivement.

Utilisez les expressions suivantes pour obtenir ces valeurs pour l’URL entrante. Les expressions sont données ci-dessous :

URL_CATEGORIZE(0,0).CATEGORY
<!--NeedCopy-->

URL_CATEGORIZE(0,0).GROUP
<!--NeedCopy-->

URL_CATEGORIZE(0,0).REPUTATION
<!--NeedCopy-->

Q : Quel type de licence et d’abonnement vous avez besoin pour la fonctionnalité de catégorisation des URL ?

A. La fonctionnalité de catégorisation d’URL nécessite un service d’abonnement URL Threat Intelligence (disponible pour un an ou trois ans) avec l’édition Citrix SWG.

Q : Quelles sont les façons dont je peux configurer le filtrage des URL ?

A. Il existe deux façons de configurer le filtrage d’URL. Vous pouvez le faire via l’interface de commande Citrix SWG ou via l’Assistant Citrix SWG. Citrix vous recommande d’utiliser l’Assistant pour configurer des stratégies de filtrage.

Q : Quels sont les types de catégories d’URL que vous pouvez bloquer ?

A. La base de données de catégorisation des URL contient des millions d’URL avec des métadonnées. L’administrateur peut configurer une stratégie de répondeur pour décider quelles catégories d’URL peuvent être bloquées et quelles catégories d’URL peuvent être autorisées pour l’accès utilisateur. Pour plus d’informations sur le mappage des catégories d’URL, reportez-vous à la page Catégories de correspondance.

Q : Que doit-on faire si nous ne parvenons pas à accéder aux serveurs Origin qui utilisent WebSocket, tels que Whatsapp

Vous devez activer WebSocket dans le profil HTTP par défaut.

À l’interface de ligne de commande, tapez :

> set httpprofile nshttp_default_profile -webSocket ENABLED
<!--NeedCopy-->

Qu’est-ce que l’ICAP ?

ICAP signifie Internet Content Adaption Protocol.

Quelle version de Citrix SWG prend en charge ICAP ?

ICAP est pris en charge dans Citrix SWG version 12.0 build 57.x et versions ultérieures.

Quels sont les deux modes ICAP pris en charge sur Citrix SWG ?

Le mode de modification de requête (REQMOD) et le mode de modification de réponse (RESPMOD) sont pris en charge.

Quel est le port par défaut pour ICAP ?

1344.