Questions fréquentes

Q : Quelles plates-formes matérielles sont prises en charge pour Citrix Secure Web Gateway (SWG) ?

A. Citrix SWG est disponible sur les plates-formes matérielles suivantes :

  • Citrix SWG MPX 14020/14030/14040
  • Citrix SWG MPX 14020-40G/14040 -40G
  • Citrix SWG MPX 14060-40S/14080 -40S/14100 -40S
  • Citrix SWG MPX 5901/5905/5910
  • Citrix SWG MPX/SDX 8905/8910/8920/8930
  • Toutes les plates-formes SDX basées sur Cavium N2 et N3

Q : Quels sont les deux modes de capture que je peux définir lors de la création d’un proxy sur l’appliance SWG ?

A. La solution SWG prend en charge les modes proxy explicites et transparents. En mode proxy explicite, les clients doivent spécifier une adresse IP et un port dans leurs navigateurs, sauf si l’organisation pousse le paramètre sur le périphérique du client. Cette adresse est l’adresse IP d’un serveur proxy configuré sur l’appliance SWG. Le proxy transparent, comme son nom l’indique, est transparent pour le client. L’appliance SWG est configurée dans un déploiement en ligne et elle accepte de manière transparente tout le trafic HTTP et HTTPS.

Q : Citrix SWG a-t-il un assistant de configuration ?

A. Oui. L’assistant se trouve sur le nœud SWG dans l’utilitaire de configuration.

Q : Quelles fonctionnalités Citrix ADC sont utilisées lors de la configuration de Citrix SWG ?

A. Répondeur, AAA-TM, commutation de contenu, SSL, proxy de transfert, interception SSL et filtrage d’URL.

Q : Quelles méthodes d’authentification sont prises en charge sur Citrix SWG ?

A. En mode proxy explicite, les méthodes d’authentification LDAP, RADIUS, TACACS+ et NEGOTIATE sont prises en charge. En mode transparent, seule l’authentification LDAP est prise en charge.

Q : Est-il nécessaire d’installer le certificat CA sur le périphérique client ?

A. Oui. Le dispositif Citrix SWG émule le certificat du serveur d’origine. Ce certificat de serveur doit être signé par un certificat d’autorité de certification approuvé, qui doit être installé sur les périphériques des clients afin que le client puisse approuver le certificat de serveur régénéré.

Q : Puis-je utiliser une licence Citrix ADC Platform sur la plate-forme Citrix SWG ?

A. Non. La plate-forme Citrix SWG nécessite sa propre licence de plate-forme.

Q : La haute disponibilité est-elle prise en charge pour un déploiement Citrix Secure Web Gateway ?

A. Oui.

Q : Quel fichier contient les journaux pour Citrix SWG ?

A. Le fichier ns.log enregistre les informations Citrix SWG. Vous devez activer la journalisation à l’aide de l’interface de ligne de commande ou de l’interface graphique. À l’invite de commandes, tapez : set syslogparams -ssli Enabled.

Dans l’interface graphique, accédez à Système > Audit . Dans Paramètres, cliquez sur Modifier les paramètres Syslog d’audit. Sélectionnez Interception SSL.

Q : Quelles commandes nsconmsg puis-je utiliser pour résoudre les problèmes ?

A. Vous pouvez utiliser l’une des commandes suivantes ou les deux :

nsconmsg -d current -g ssli
nsconmsg -d current -g err

Q : Si le bundle de certificats est intégré, comment puis-je obtenir des mises à jour ?

A. Le dernier bundle est inclus dans la construction. Pour les mises à jour, contactez le support technique Citrix.

Q : Les données peuvent-elles être capturées sur Citrix ADM à partir de Citrix SWG ?

A. Oui. Vous devez activer Analytics dans l’Assistant Secure Web Gateway.

Important : Assurez-vous que vous utilisez la même version 12.0 pour MAS et SWG.

Q : Qu’est-ce que le service de filtrage d’URL ?

A. Le filtrage d’URL est un filtre de contenu Web qui contrôle l’accès à une liste de sites Web et de pages Web restreints. Le filtre limite l’accès des utilisateurs au contenu inapproprié sur Internet en fonction de la catégorie d’URL, des groupes de catégories et du score de réputation. Un administrateur réseau peut surveiller le trafic Web et bloquer l’accès des utilisateurs aux sites Web à risque élevé. Vous pouvez implémenter la fonctionnalité en utilisant la fonctionnalité Catégorisation d’URL ou Liste d’URL basée sur l’application de la stratégie. Pour plus d’informations, reportez-vous à la rubrique filtrage d’URL.

Q : Comment le filtrage d’URL s’insère-t-il dans Citrix SWG ?

A. Le filtrage d’URL s’appuie sur l’appliance Citrix SWG pour contrôler l’accès à des sites Web spécifiques. L’appliance SWG située en périphérie du réseau agit comme un proxy pour intercepter le trafic Web et effectuer des actions telles que l’authentification, l’inspection, la mise en cache et la redirection. Le filtre contrôle ensuite l’accès aux sites Web à l’aide de la fonction de catégorisation d’URL ou de liste d’URL avec application de stratégie.

Q : À quelle fréquence la base de données de catégorisation d’URL est-elle mise à jour ?

A. Si vous utilisez la fonctionnalité de catégorisation d’URL pour contrôler l’accès aux sites Web restreints, vous devez périodiquement actualiser la base de données de catégorisation avec les dernières données provenant du service fournisseur basé sur le cloud. Pour la mise à jour de la base de données, l’interface graphique de Citrix SWG vous permet de configurer les paramètres de filtrage d’URL tels que Heures entre les mises à jour DB » ou « Heure de la journée pour la mise à jour de la base de données.

Q : Quels cas d’utilisation conviennent le mieux au service de filtrage d’URL aujourd’hui ?

A. Voici quelques-uns des cas d’utilisation ciblés pour les clients d’entreprise :

Q : Existe-t-il une limite de mémoire pour la mise en cache dans le service de catégorisation d’URL ?

A. Oui. La limite de mémoire pour la mise en cache est fixée à 10 Go et vous pouvez la configurer uniquement via l’interface CLI.

Q : Que renvoie la base de données de catégorisation d’URL si aucune catégorie ne correspond à la demande entrante ?

A. Si la demande entrante ne correspond pas à une catégorie ou si l’URL est mal formée, l’appliance marque l’URL comme « Non classé » et envoie la demande au service basé sur le cloud géré par le fournisseur de catégorisation. L’appliance continue de surveiller les retours de requête dans le cloud et met à jour le cache afin que les demandes futures puissent bénéficier de la recherche dans le cloud.

Q : Qu’est-ce qu’un score de réputation d’URL et comment contrôlez-vous l’accès aux sites Web malveillants en fonction du score de réputation ?

A. Un score de réputation d’URL est une note que Citrix SWG attribue à un site Web. La valeur peut aller de 1 à 4, où 4 est un site Web malveillant et 1 est un site Web propre. Si un administrateur réseau surveille un utilisateur qui accède à des sites Web hautement risqués, l’accès à ces sites est contrôlé en fonction du score de réputation d’URL et du niveau de sécurité que vous avez configuré sur l’appliance Citrix SWG. Pour plus d’informations, reportez-vous à la section Score de réputation d’URL.

Q : Si vous filtrez des sites Web à l’aide d’un ensemble d’URL mais que vous filtrez de manière incorrecte un site Web spécifique, quel est le processus pour activer des sites Web exceptionnels ?

A. Le filtrage d’URL utilise une stratégie de répondeur pour contrôler l’accès aux sites Web. Pour inscrire une URL spécifique en tant qu’exception, dans l’assistant SWG, créez une stratégie de patset et ajoutez l’URL exceptionnelle avec l’action « autoriser ». Une fois la stratégie créée, quittez l’Assistant et procédez comme suit :

Pour modifier la priorité d’une expression de stratégie à l’aide de l’interface graphique graphique de Citrix SWG :

  1. Ouvrez une session sur l’appliance Citrix SWG et accédez à Secure Web Gateway > Proxy Virtual Servers.
  2. Dans la page de détails, sélectionnez un serveur et cliquez sur Modifier.
  3. Dans la page Serveurs virtuels proxy, accédez à la section Stratégies et cliquez sur l’icône crayon pour modifier les détails.
  4. Sélectionnez la stratégie de jeu de patset et, dans la page Liaison de stratégie, spécifiez la valeur de priorité inférieure à celle des autres stratégies liées.
  5. Cliquez sur Lier et Terminé.

Q : Quels sont les principaux avantages de l’utilisation de la fonctionnalité de filtrage d’URL de Citrix SWG ?

A. La fonctionnalité de filtrage d’URL est facile à déployer, configurer et utiliser. Il offre les avantages suivants et permet aux entreprises de :

  • Surveiller le trafic Web et les transactions utilisateur
  • Filtrer les logiciels malveillants et les menaces de sécurité sur Internet.
  • Contrôler l’accès non autorisé aux sites Web malveillants.
  • Appliquer les politiques de sécurité de l’entreprise pour contrôler l’accès aux données restreintes.

Q : Si vous utilisez une fonctionnalité de liste d’URL pour filtrer des sites Web, comment modifier une stratégie de liste d’URL ?

A. Vous pouvez modifier une stratégie de liste d’URL via l’Assistant Citrix SWG en écrasant ou en supprimant la liste importée liée à la stratégie de répondeur.

Q. Que contiennent les métadonnées associées à une URL ?

A. Chaque URL de la base de données de catégorisation est associée à des métadonnées. Les métadonnées contiennent une catégorie d’URL, un groupe de catégories et des informations de score de réputation. Par exemple, si l’URL est un portail d’achat, les métadonnées seront respectivement Shopping, Shopping/Retail et 1.

Utilisez les expressions suivantes pour obtenir ces valeurs pour l’URL entrante. Les expressions sont indiquées ci-dessous :

URL_CATEGORIZE(0,0).CATEGORY
URL_CATEGORIZE(0,0).GROUP
URL_CATEGORIZE(0,0).REPUTATION

Q : Quel type de licence et d’abonnement vous avez besoin pour la fonction de catégorisation d’URL ?

A. La fonctionnalité de catégorisation d’URL nécessite un service d’abonnement URL Threat Intelligence (disponible pour un an ou trois ans) avec Citrix SWG edition.

Q : Quelles sont les façons dont je peux configurer le filtrage d’URL ?

A. Il existe deux façons de configurer le filtrage d’URL. Vous pouvez le faire via l’interface de commande Citrix SWG ou via l’assistant Citrix SWG. Citrix vous recommande d’utiliser l’Assistant pour configurer les stratégies de filtrage.

Q : Quels sont les types de catégories d’URL que vous pouvez bloquer ?

A. La base de données de catégorisation d’URL contient des millions d’URL contenant des métadonnées. L’administrateur peut configurer une stratégie de répondeur pour décider quelles catégories d’URL peuvent être bloquées et quelles catégories d’URL peuvent être autorisées pour l’accès de l’utilisateur. Pour plus d’informations sur le mappage des catégories d’URL, reportez-vous àCartographie des catégoriesla page.

Q : Que doit-on faire si nous ne parvenons pas à accéder aux serveurs Origin qui utilisent WebSocket, tels queWhatsapp

Vous devez activer WebSocket dans le profil HTTP par défaut.

Dans l’interface de ligne de commande, tapez :

> set httpprofile nshttp_default_profile -webSocket ENABLED

Qu’est-ce que l’ICAP ?

ICAP signifie Internet Content Adaption Protocol.

Quelle version de Citrix SWG prend en charge ICAP ?

ICAP est pris en charge dans Citrix SWG version 12.0 build 57.x et versions ultérieures.

Quels sont les deux modes ICAP pris en charge sur Citrix SWG ?

Le mode de modification de requête (REQMOD) et le mode de modification de réponse (RESPMOD) sont pris en charge.

Quel est le port par défaut pour ICAP ?

1344.

Questions fréquentes