Questions fréquentes

Q : Quelles plates-formes matérielles sont prises en charge pour Citrix Secure Web Gateway (SWG) ?

A. Citrix SWG est disponible sur les plates-formes matérielles suivantes :

  • Citrix SWG MPX 14020/14030/14040
  • Citrix SWG MPX 14020-40G/14040-40G
  • Citrix SWG MPX 14060-40S/14080-40S/14100-40S
  • Citrix SWG MPX 5901/5905/5910
  • Citrix SWG MPX/SDX 8905/8910/8920/8930
  • Toutes les plates-formes SDX basées sur Cavium N2 et N3

Q : Quels sont les deux modes de capture que je peux définir lors de la création d’un proxy sur l’appliance SWG ?

A. La solution SWG prend en charge les modes proxy explicites et transparents. En mode proxy explicite, les clients doivent spécifier une adresse IP et un port dans leur navigateur, à moins que l’organisation n’envoie le paramètre sur le périphérique du client. Cette adresse est l’adresse IP d’un serveur proxy configuré sur l’appliance SWG. Le proxy transparent, comme son nom l’indique, est transparent pour le client. L’appliance SWG est configurée dans un déploiement en ligne et elle accepte de manière transparente tout le trafic HTTP et HTTPS.

Q : Citrix SWG a-t-il un assistant de configuration ?

A. Oui. L’assistant se trouve sur le nœud SWG dans l’utilitaire de configuration.

Q : Quelles fonctionnalités Citrix ADC sont utilisées lors de la configuration de Citrix SWG ?

A. Répondeur, AAA-TM, commutation de contenu, SSL, proxy de transfert, interception SSL et filtrage d’URL.

Q : Quelles méthodes d’authentification sont prises en charge sur Citrix SWG ?

A. En mode proxy explicite, les méthodes d’authentification LDAP, RADIUS, TACACS+ et NEGOTIATE sont prises en charge. En mode transparent, seule l’authentification LDAP est prise en charge.

Q : Est-il nécessaire d’installer le certificat d’autorité de certification sur le périphérique client ?

A. Oui. L’appliance Citrix SWG émule le certificat du serveur d’origine. Ce certificat de serveur doit être signé par un certificat d’autorité de certification approuvée, qui doit être installé sur les périphériques des clients afin que le client puisse approuver le certificat de serveur régénéré.

Q : Puis-je utiliser une licence Citrix ADC Platform sur la plate-forme Citrix SWG ?

A. Non. La plate-forme Citrix SWG nécessite sa propre licence de plate-forme.

Q : La haute disponibilité est-elle prise en charge pour un déploiement Citrix Secure Web Gateway ?

A. Oui.

Q : Quel fichier contient les journaux de Citrix SWG ?

A. Le fichier ns.log enregistre les informations de Citrix SWG. Vous devez activer la journalisation à l’aide de l’interface de ligne de commande ou de l’interface graphique. À l’invite de commandes, tapez : set syslogparams -ssli Enabled.

Dans l’interface graphique, accédez à Système > Audit . Dans Paramètres, cliquez sur Modifier les paramètres Syslog d’audit. Sélectionnez Interception SSL.

Q : Quelles commandes nsconmsg puis-je utiliser pour résoudre les problèmes ?

A. Vous pouvez utiliser l’une des commandes suivantes ou les deux :

nsconmsg -d current -g ssli
nsconmsg -d current -g err

Q : Si l’ensemble de certificats est intégré, comment puis-je obtenir les mises à jour ?

A. Le dernier bundle est inclus dans la construction. Pour les mises à jour, contactez le support Citrix.

Q : Les données peuvent-elles être capturées sur Citrix ADM à partir de Citrix SWG ?

A. Oui. Vous devez activer Analytics dans l’Assistant Secure Web Gateway.

Important : Assurez-vous que vous utilisez la même version 12.0 pour MAS et SWG.

Q : Qu’est-ce que le service de filtrage d’URL ?

A. Le filtrage d’URL est un filtre de contenu Web qui contrôle l’accès à une liste de sites Web et de pages Web restreints. Le filtre limite l’accès des utilisateurs au contenu inapproprié sur Internet en fonction de la catégorie d’URL, des groupes de catégories et du score de réputation. Un administrateur réseau peut surveiller le trafic Web et bloquer l’accès des utilisateurs aux sites Web à haut risque. Vous pouvez implémenter la fonctionnalité à l’aide de la catégorisation d’URL ou de la fonctionnalité Liste d’URL basée sur l’application des stratégies. Pour plus d’informations, reportez-vous à la rubrique filtrage d’URL.

Q : Comment le filtrage d’URL s’insère-t-il dans Citrix SWG ?

A. Le filtrage d’URL s’appuie sur l’appliance Citrix SWG pour contrôler l’accès à des sites Web spécifiques. L’appliance SWG située à la périphérie du réseau agit comme un proxy pour intercepter le trafic Web et effectuer des actions telles que l’authentification, l’inspection, la mise en cache et la redirection. Le filtre contrôle ensuite l’accès aux sites Web à l’aide de la fonction de catégorisation d’URL ou de liste d’URL avec application des stratégies.

Q : À quelle fréquence la base de données de catégorisation des URL est-elle mise à jour ?

A. Si vous utilisez la fonctionnalité de catégorisation d’URL pour contrôler l’accès aux sites Web restreints, vous devez périodiquement actualiser la base de données de catégorisation avec les dernières données provenant du service fournisseur basé sur le cloud. Pour mettre à jour la base de données, l’interface utilisateur graphique Citrix SWG vous permet de configurer les paramètres de filtrage d’URL tels que Heures entre les mises à jour de base de données » ou « Heure du jour pour mettre à jour la base de données.

Q : Quels cas d’utilisation conviennent le mieux au service de filtrage d’URL aujourd’hui ?

A. Voici quelques-uns des cas d’utilisation ciblés pour les clients d’entreprise :

Q : Existe-t-il une limite de mémoire pour la mise en cache dans le service de catégorisation d’URL ?

A. Oui. La limite de mémoire pour la mise en cache est définie sur 10 Go et vous pouvez la configurer via l’interface CLI uniquement.

Q : Que renvoie la base de données de catégorisation d’URL si aucune catégorie ne correspond à la demande entrante ?

A. Si la demande entrante ne correspond pas à une catégorie ou si l’URL est mal formée, l’appliance marque l’URL comme « Non classé » et envoie la demande au service basé sur le cloud géré par le fournisseur de catégorisation. L’appliance continue de surveiller les retours de requête dans le cloud et met à jour le cache afin que les demandes futures puissent bénéficier de la recherche dans le cloud.

Q : Qu’est-ce qu’un score de réputation d’URL et comment contrôlez-vous l’accès aux sites Web malveillants en fonction du score de réputation ?

A. Un score de réputation d’URL est une note attribuée par Citrix SWG à un site Web. La valeur peut varier de 1 à 4, où 4 est un site Web malveillant et 1 est un site Web propre. Si un administrateur réseau surveille un utilisateur accédant à des sites Web à haut risque, l’accès à ces sites est contrôlé en fonction du score de réputation d’URL et du niveau de sécurité que vous avez configuré sur l’appliance Citrix SWG. Pour de plus amples informations, consultez Score de réputation d’URL.

Q : Si vous filtrez des sites Web à l’aide d’un jeu d’URL mais que vous filtrez incorrectement un site Web spécifique, quel est le processus pour activer des sites Web exceptionnels ?

A. Le filtrage d’URL utilise une stratégie de répondeur pour contrôler l’accès aux sites Web. Pour mettre en liste blanche une URL spécifique en tant qu’exception, dans l’assistant SWG, créez une stratégie de jeu de patchs et ajoutez l’URL exceptionnelle avec l’action « autoriser ». Une fois la stratégie créée, quittez l’Assistant et procédez comme suit :

Pour modifier la priorité d’une expression de stratégie à l’aide de l’interface graphique SWG Citrix :

  1. Ouvrez une session sur l’appliance Citrix SWG et accédez à Secure Web Gateway > Proxy Virtual Servers.
  2. Dans la page de détails, sélectionnez un serveur et cliquez sur Modifier.
  3. Dans la page Serveurs virtuels proxy, accédez à la section Stratégies et cliquez sur l’icône crayon pour modifier les détails.
  4. Sélectionnez la stratégie de jeu de patset et, dans la page Liaison de stratégie, spécifiez la valeur de priorité inférieure à celle des autres stratégies liées.
  5. Cliquez sur Lier et Terminé.

Q : Quels sont les principaux avantages de l’utilisation de la fonction de filtrage d’URL SWG Citrix ?

A. La fonctionnalité de filtrage d’URL est facile à déployer, configurer et utiliser. Il offre les avantages suivants et permet aux clients d’entreprise de :

  • Surveiller le trafic Web et les transactions utilisateur
  • Filtrer les logiciels malveillants et les menaces de sécurité transmises par Internet.
  • Contrôler l’accès non autorisé à des sites Web malveillants.
  • Appliquer les stratégies de sécurité de l’entreprise pour contrôler l’accès aux données restreintes.

Q : Si vous utilisez une fonctionnalité de liste d’URL pour filtrer les sites Web, comment modifier une stratégie de liste d’URL ?

A. Vous pouvez modifier une stratégie de liste d’URL via l’Assistant Citrix SWG en écrasant ou en supprimant la liste importée liée à la stratégie de répondeur.

Q : Que contiennent les métadonnées associées à une URL ?

A. Chaque URL de la base de données de catégorisation a une métadonnées qui lui est associée. Les métadonnées contiennent une catégorie d’URL, un groupe de catégories et des informations de score de réputation. Par exemple, si l’URL est un portail commercial, les métadonnées seront Shopping, Shopping/Retail et 1 respectivement.

Utilisez les expressions suivantes pour obtenir ces valeurs pour l’URL entrante. Les expressions sont données ci-dessous :

URL_CATEGORIZE(0,0).CATEGORY
URL_CATEGORIZE(0,0).GROUP
URL_CATEGORIZE(0,0).REPUTATION

Q : Quel type de licence et d’abonnement vous avez besoin pour la fonction de catégorisation d’URL ?

A. La fonction de catégorisation d’URL nécessite un service d’abonnement URL Threat Intelligence (disponible pendant un an ou trois ans) avec Citrix SWG édition.

Q : Quelles sont les façons de configurer le filtrage d’URL ?

A. Il existe deux façons de configurer le filtrage d’URL. Vous pouvez le faire via l’interface de commande Citrix SWG ou via l’Assistant Citrix SWG. Citrix vous recommande d’utiliser l’Assistant pour configurer les stratégies de filtrage.

Q : Quels sont les types de catégories d’URL que vous pouvez bloquer ?

A. La base de données de catégorisation d’URL contient des millions d’URL avec des métadonnées. L’administrateur peut configurer une stratégie de répondeur pour décider quelles catégories d’URL peuvent être bloquées et quelles catégories d’URL peuvent être autorisées pour l’accès de l’utilisateur. Pour plus d’informations sur le mappage des catégories d’URL, reportez-vous à la page Catégories de mappage.

Q : Que doit-on faire si nous ne parvenons pas à accéder aux serveurs Origin qui utilisent WebSocket, tels que Whatsapp

Vous devez activer WebSocket dans le profil HTTP par défaut.

Dans l’interface de ligne de commande, tapez :

> set httpprofile nshttp_default_profile -webSocket ENABLED

Qu’est-ce que ICAP ?

ICAP signifie Internet Content Adaption Protocol.

Quelle version de Citrix SWG prend en charge ICAP ?

ICAP est pris en charge dans Citrix SWG version 12.0 build 57.x et versions ultérieures.

Quels sont les deux modes ICAP pris en charge sur Citrix SWG ?

Le mode Demande modification (REQMOD) et le mode modification de réponse (RESPMOD) sont pris en charge.

Quel est le port par défaut pour ICAP ?

1344.

Questions fréquentes