用例:使企业 Internet 接入合规且安全

财务组织中的网络安全主管希望以恶意软件形式从 Web 抵御来自 Web 的任何外部威胁来保护企业网络。要执行此操作,主管需要在其他情况下能够看到其他跳过加密流量的情况,并控制对恶意 Web 站点的访问。董事必须执行以下操作:

  • 拦截并检查进出企业网络的所有流量,包括 SSL/TLS(加密流量)。
  • 跳过截获包含敏感信息的 Web 站点的请求,例如,用户财务信息或电子邮件。
  • 阻止访问被识别为有害或成人内容的有害 URL。
  • 确定企业中的最终用户(员工),这些用户在访问恶意 Web 站点时阻止这些用户的 Internet 访问权限或阻止使用有害的 URL。

为了实现上述所有目标,导演可以设置代理服务器。代理服务器拦截通过企业网络传递的所有加密和未加密的流量。它会提示用户进行身份验证,并将流量与用户关联。可以指定 URL 类别以阻止对非法的或有害、成人、恶意软件和垃圾 Web 站点的访问。

要实现上述目标,请配置以下实体:

  • DNS 名称服务器来解析主机名。
  • 子网 IP (SNIP) 地址,用于与源服务器建立连接。SNIP 地址应具有 Internet 访问权限。
  • 代理服务器以显式模式拦截所有出站 HTTP 和 HTTPS 流量。
  • SSL 配置文件来定义连接的 SSL 设置,例如密码和参数。
  • CA 证书 - 密钥对用于为 SSL 截获签名服务器证书。
  • 用于定义要截获并跳过的 Web 站点的 SSL 策略。
  • 身份验证虚拟服务器、策略和操作,以确保只授予有效用户的访问权限。
  • 将数据发送到 Citrix Application Delivery Management (ADM) 的应用程序流收集器。

此示例配置列出 CLI 和 GUI 过程。使用以下示例值。将它们替换为 IP 地址、SSL 证书和密钥以及 LDAP 参数的有效数据。

名称 示例配置中使用的值
NSIP 地址 192.0.2.5
子网 IP 地址 198.51.100.5
LDAP 虚拟服务器 IP 地址 192.0.2.116
DNS 名称服务器 IP 地址 203.0.113.2
代理服务器 IP 地址 192.0.2.100
MAS IP 地址 192.0.2.41
SSL 拦截的 CA 证书 ns-swg-ca-certkey (certificate: ns_swg_ca.crt and key: ns_swg_ca.key)
LDAP 基本 DN CN=Users,DC=CTXNSSFB,DC=COM
LDAP 绑定 DN CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM
LDAP 绑定 DN 密码 齐兹

使用 ssl 转发代理向导配置拦截和检查进出企业网络的流量

创建拦截和检查加密流量的配置以及进出网络的其他流量需要配置代理设置、SSLi 设置、用户身份验证设置和 URL 筛选设置。以下过程包括所输入值的示例。

配置代理设置

  1. 导航到 安全 > SSL 转发代理 > SSL 转发代理向导

  2. 点击 开始 ,然后点击 继续

  3. 在“代理设置”对话框中,输入显式代理服务器的名称。

  4. 对于 捕获模式,选择 式。

  5. 输入 IP 地址和端口号。

    本地化后的图片

  6. 单击继续

配置 SSL 拦截设置

  1. 选择 启用 SSL 拦截

    本地化后的图片

  2. SSL 配置文件中,单击“+”以添加新的前端 SSL 配置文件,并在此配置文件中启用 SSL 会话拦截功能。

    本地化后的图片

  3. 单击 确定,然后单击 完成

  4. 在“选择 SSL 拦截 CA 证书-密钥对”中,单击“+”以安装用于 SSL 拦截的 CA 证书-密钥对。

    本地化后的图片

  5. 单击 安装 ,然后单击 关闭

  6. 添加用于拦截所有流量的策略。单击 绑定 ,然后单击 添加

    本地化后的图片

  7. 输入策略的名称,然后选择“高级”。在表达式编辑器中,输入 true。

  8. 对于 作,请选择 拦截

    本地化后的图片

  9. 单击创建,然后单击添加以添加其他策略以绕过敏感信息。

  10. 输入策略的名称,然后在 URL 类别中单击 添加

  11. 选择 财务电子邮件 类别并将其移动到 已配置 列表。

  12. 对于“作”,请选择“绕过”。

    本地化后的图片

  13. 单击创建

  14. 选择之前创建的两个策略,然后单击“插入”。

    本地化后的图片

  15. 单击继续

    本地化后的图片

配置用户身份验证设置

  1. 选择 启用用户身份验证。在 身份验证类型 字段中,选择 LDAP

    本地化后的图片

  2. 添加 LDAP 服务器详细信息。

    本地化后的图片

  3. 单击创建

  4. 单击继续

配置 URL 过滤设置

  1. 选择“启用 URL 分类”, 然后单击“绑定”。

    本地化后的图片

  2. 单击添加

    本地化后的图片

  3. 输入策略的名称。对于 作,请选择 拒绝。对于 URL 类别,选择“非法/有害”、“成人”和“恶意软件”和“垃圾邮件”,然后将它们移至“已配置”列表。

    本地化后的图片

  4. 单击创建

  5. 选择策略,然后单击 插入

    本地化后的图片

  6. 单击继续

    本地化后的图片

  7. 单击继续

  8. 点击 启用分析

  9. 输入 Citrix ADM 的 IP 地址和端口,指定 5557。

    本地化后的图片

  10. 单击继续

  11. 单击 完成

    本地化后的图片

使用 Citrix ADM 查看用户的主要衡量指标,并确定以下各项:

  • 企业中用户的浏览行为。
  • 您企业中的用户访问的 URL 类别。
  • 用于访问 URL 或域的浏览器。

使用此信息可确定用户的系统是否受到恶意软件的感染,或了解用户的带宽消耗模式。您可以对 Citrix SWG 设备上的策略进行微调,以限制这些用户或阻止某些更多的 Web 站点。有关在 MAS 上查看衡量指标的详细信息,请参阅ADM 用例中的“检查端点”用例。

注意

使用 CLI 设置以下参数。

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED

CLI 示例

以下示例包括用于配置拦截和检查进出企业网络的流量的所有命令。

一般配置

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED

身份验证配置

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1

代理服务器和 SSL 截获配置

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

URL 类别配置

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ

AppFlow 配置,用于将数据提取到 Citrix ADM 中

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1