This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
用例:使企业 Internet 接入合规且安全
财务组织中的网络安全主管希望以恶意软件形式从 Web 抵御来自 Web 的任何外部威胁来保护企业网络。为此,主管需要了解以其他方式绕过加密流量并控制对恶意网站的访问。董事必须执行以下操作:
- 拦截并检查进出企业网络的所有流量,包括 SSL/TLS(加密流量)。
- 跳过截获包含敏感信息的 Web 站点的请求,例如,用户财务信息或电子邮件。
- 阻止访问被识别为有害或成人内容的有害 URL。
- 确定企业中的最终用户(员工),这些用户在访问恶意 Web 站点时阻止这些用户的 Internet 访问权限或阻止使用有害的 URL。
为了实现上述所有目标,导演可以设置代理服务器。代理服务器拦截通过企业网络传递的所有加密和未加密的流量。它会提示用户进行身份验证,并将流量与用户关联。可以指定 URL 类别以阻止对非法的或有害、成人、恶意软件和垃圾 Web 站点的访问。
配置以下实体:
- DNS 名称服务器来解析主机名。
- 子网 IP (SNIP) 地址,用于与源服务器建立连接。SNIP 地址必须有互联网访问权限。
- 代理服务器以显式模式拦截所有出站 HTTP 和 HTTPS 流量。
- SSL 配置文件来定义连接的 SSL 设置,例如密码和参数。
- CA 证书 - 密钥对用于为 SSL 截获签名服务器证书。
- 用于定义要截获并跳过的 Web 站点的 SSL 策略。
- 身份验证虚拟服务器、策略和操作,以确保只授予有效用户的访问权限。
- AppFlow 收集器将数据发送到 Citrix Application Delivery Management (ADM)。
此示例配置列出 CLI 和 GUI 过程。使用以下示例值。将它们替换为 IP 地址、SSL 证书和密钥以及 LDAP 参数的有效数据。
名称 | 示例配置中使用的值 |
---|---|
NSIP 地址 | 192.0.2.5 |
子网 IP 地址 | 198.51.100.5 |
LDAP 虚拟服务器 IP 地址 | 192.0.2.116 |
DNS 名称服务器 IP 地址 | 203.0.113.2 |
代理服务器 IP 地址 | 192.0.2.100 |
MAS IP 地址 | 192.0.2.41 |
SSL 拦截的 CA 证书 |
ns-swg-ca-certkey (证书:ns_swg_ca.crt 和键:ns_swg_ca.key) |
LDAP 基本 DN | CN=Users,DC=CTXNSSFB,DC=COM |
LDAP 绑定 DN | CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM |
LDAP 绑定 DN 密码 | 齐兹 |
使用 SSL 转发代理向导配置拦截和检查进出企业网络的流量
创建配置以便拦截和检查进出网络的其他流量之外,还需要配置代理、SSL 拦截、用户身份验证和 URL 过滤设置。以下过程包括所输入值的示例。
配置代理设置
-
导航到 安全 > SSL 转发代理 > SSL 转发代理向导 。
-
点击 开始 ,然后点击 继续 。
-
在“代理设置”对话框中,输入显式代理服务器的名称。
-
对于 捕捉模式,选择 显式。
-
输入 IP 地址和端口号。
-
单击继续。
配置 SSL 拦截设置
-
选择 启用 SSL 拦截。
-
在 SSL 配置文件中,单击“+”以添加新的前端 SSL 配置文件,并在此配置文件中启用 SSL 会话拦截功能。
-
单击 确定,然后单击 完成。
-
在“选择 SSL 拦截 CA 证书-密钥对”中,单击“+”以安装用于 SSL 拦截的 CA 证书-密钥对。
-
单击 安装 ,然后单击 关闭 。
-
添加用于拦截所有流量的策略。单击 绑定 ,然后单击 添加 。
-
输入策略的名称,然后选择“高级”。在表达式编辑器中,输入 true。
-
对于 操作,请选择 拦截。
-
单击创建,然后单击添加以添加其他策略以绕过敏感信息。
-
输入策略的名称,然后在 URL 类别中单击 添加。
-
选择 财务 和 电子邮件 类别并将其移动到 已配置 列表。
-
对于“操作”,请选择“绕过”。
-
单击创建。
-
选择之前创建的两个策略,然后单击“插入”。
-
单击继续。
配置用户身份验证设置
-
选择 启用用户身份验证。在 身份验证类型 字段中,选择 LDAP 。
-
添加 LDAP 服务器详细信息。
-
单击创建。
-
单击继续。
配置 URL 过滤设置
-
选择“启用 URL 分类”, 然后单击“绑定”。
-
单击添加。
-
输入策略的名称。对于 操作,请选择 拒绝。对于 URL 类别,选择“非法/有害”、“成人”和“恶意软件”和“垃圾邮件”,然后将它们移至“已配置”列表。
-
单击创建。
-
选择策略,然后单击 插入。
-
单击继续。
-
单击继续。
-
点击 启用分析。
-
输入 Citrix ADM 的 IP 地址和端口,指定 5557。
-
单击继续。
-
单击完成。
使用 Citrix ADM 查看用户的主要衡量指标,并确定以下各项:
- 企业中用户的浏览行为。
- 您企业中的用户访问的 URL 类别。
- 用于访问 URL 或域的浏览器。
使用此信息可确定用户的系统是否受到恶意软件的感染,或了解用户的带宽消耗模式。您可以微调 Citrix SWG 设备上的策略以限制这些用户,或阻止其他一些网站。有关查看 MAS 上的指标的更多信息,请参阅 ADM 用例中的 “检查终端节点” 使用案例。
注意
使用 CLI 设置以下参数。
set syslogparams -sslInterception ENABLED
set cacheparameter -memLimit 100
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
CLI 示例
以下示例包括用于配置拦截和检查进出企业网络的流量的所有命令。
一般配置:
add ns ip 192.0.2.5 255.255.255.0
add ns ip 198.51.100.5 255.255.255.0 -type SNIP
add dns nameServer 203.0.113.2
add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
set syslogparams -sslInterception ENABLED
set cacheparameter -memLimit 100
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
身份验证配置:
add authentication vserver explicit-auth-vs SSL
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1
<!--NeedCopy-->
代理服务器和 SSL 截获配置:
add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs
set ssl parameter -defaultProfile ENABLED
add ssl profile swg_profile -sslInterception ENABLED
bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey
set ssl vserver explicitswg -sslProfile swg_profile
add ssl policy ssli-pol_ssli -rule true -action INTERCEPT
bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->
URL 类别配置:
add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS
bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ
add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET
bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ
<!--NeedCopy-->
AppFlow 配置,用于将数据提取到 Citrix ADM 中:
add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream
set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED
add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED
add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act
bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1
<!--NeedCopy-->
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.