边缘安全性

Citrix SD-WAN 边缘安全功能可在 Citrix SD-WAN 分支设备上实现高级安全性。它通过为各种安全功能和 SD-WAN 提供单一的管理和报告窗格,简化了信息安全管理,从而保护分支机构网络免受 Internet 威胁。它通过在单个设备上整合路由、SD-WAN 和安全功能,消除了对多个分支机构解决方案的需求,并降低了网络复杂性和成本。边缘安全堆栈包括以下安全功能:

  • Web 过滤
  • 反恶意软件
  • 入侵防护

边缘安全功能可在 Citrix SD-WAN 高级版设备上使用。有关版本的详细信息,请参阅 Citrix SD-WAN 平台版本Citrix SD-WAN 平台软件支持。有关受支持设备的详细信息,请参阅 Citrix SD-WAN 数据表

注意

仅在 Citrix SD-WAN 1100 设备上支持 Citrix SD-WAN 高级版。

由于边缘安全功能对计算敏感,Citrix 建议仅在尚未具有下一代防火墙解决方案的分支站点使用高级版设备。

在配置具有边缘安全功能的分支站点时,请确保选择了支持高级版的设备型号,并且设备版本AE。有关添加和配置站点的更多详细信息,请参阅 基本设置

站点配置基本设置

Citrix SD-WAN Orchestrator 允许您为边缘安全功能定义安全配置文件,并将这些安全配置文件与防火墙策略相关联。增强了防火墙策略,以接受指定高级安全功能的安全配置文件参数。

注意

您只能通过 SD-WAN Orchestrator 创建安全配置文件并配置边缘安全功能。

安全性配置文件

安全配置文件是一组特定的边缘安全选项,应用于防火墙策略定义的特定流量段。其目的是保护流量免受安全威胁。例如,您可以为网络的不同段定义具有不同级别的安全性和访问权限的安全性配置文件。您可以为每个安全配置文件启用和配置 Web 过滤、反恶意软件和入侵防护设置。

然后,安全配置文件与防火墙策略相关联,以设置要检查的通信的条件。例如,在组织中,您可以为员工子网和来宾防火墙区域创建不同的安全配置文件。然后,您可以将安全配置文件分配给分别匹配员工和来宾流量的相应防火墙策略。

要创建安全配置文件,请在网络级别导航至配置 > 安全性 > 安全性配置文件,然后单击新建安全性配置文件

安全性配置文件

提供安全配置文件的名称和说明。根据需要启用和配置 Web 过滤、反恶意软件和入侵防护设置。

安全性配置文件

Web 过滤

Web 过滤允许您通过分类数据库过滤网络用户访问的网站,该数据库包括约 32 亿个 URL 和 7.5 亿个域。它可以防止暴露于不适当的站点、间谍软件、网络钓鱼、网络钓鱼、网站重定向和其他 Internet 威胁。它还可以强制执行互联网策略,阻止访问社交媒体、点对点通信、赌博和其他经常被公司政策禁止的网站。Web Filter 监控网络上的互联网流量,并通过记录 Web 活动和标记或阻止不适当的内容来过滤它。

当您访问网站并启用 Web 过滤时,URL 将发送到云数据库进行分类。

注意

配置有效的 DNS 服务器,并通过 SD-WAN 管理界面启用 HTTPS 互联网访问。这使得云数据库可以访问,以便 Web 过滤工作。

然后,分类结果将缓存在 SD-WAN 设备上,以提高将来请求的处理速度。然后,结果用于标记、阻止或允许网站而不增加加载时间。您可以添加规则来阻止或绕过未分类或错误分类的站点,或者配置例外。您还可以绕过特定用户 IP 或子网的 Web 过滤。

块/标志类别

您可以标记或阻止不同类别的网站。Web 过滤将 URL 分为六个类别组,即 IT 资源、杂项、隐私、生产力、安全性和敏感性。这些组中的每个组都有不同的 URL 类别。当你选择块选项时,它也会隐式标记网站。当您尝试访问被阻止的类别的网站时,该网站将被标记为违规,并且该网站被阻止。标记的类别允许您访问网站,但事件被标记为违规。您可以在 安全日志报告 中查看详细信息。

块/标志类别

阻止/标志网站

您可以添加规则来阻止或标记类别部分中的设置允许的特定站点。您还可以阻止/标记未分类或错误分类的网站。输入域名提供描述,然后选择“阻止”或“标志”。阻止/标记站点列表中的 URL 的决策优先于基于站点类别的决策。

注意

  • 您只能添加完全限定的域名 (FQDN),例如 - somedomain.com。您不能添加 URL 路径,例如- somedomain.com/path/to/file
  • 添加到阻止/标记站点的任何域也包括其子域。例如,添加 domain.com 将阻止/标记 subdomain1.domain.comsubdomain2.domain.comsubdomainlevel2.subdomainlevel1.domain.com

阻止/标志网址

绕过站点

您可以添加规则以允许被阻止的类别中的特定站点。允许添加到“绕过站点”列表的任何域,即使它被类别或单个 URL 阻止。输入域名并提供描述。选择“活动”以允许 URL。

注意

  • 您只能添加完全限定的域名 (FQDN),例如 - somedomain.com。您不能添加 URL 路径,例如- somedomain.com/path/to/file
  • 添加到绕过站点的任何域也包括其子域。例如,添加 domain.com 将绕过 subdomain1.domain.comsubdomain2.domain.comsubdomainlevel2.subdomainlevel1.domain.com

绕过站点

绕过客户端 IP

您可以添加规则来绕过特定 IP 地址或子网的 Web 过滤。您可以提供 IP 地址或子网 CIDR 表示法以及有意义的描述。Web 过滤器不会阻止任何流量,无论阻止的类别或站点如何。选择“活动”以允许来自这些 IP 地址的流量。

注意

由于 DHCP IP 可以更改,因此仅对具有静态 IP 或子网的客户端使用此功能。

绕过客户端 IP

高级选项

按 SNI 处理 HTTPS 流量(服务器名称指示)

SNI 是传输层安全性 (TLS) 协议的扩展,客户端通过该协议指示用户在安全连接握手过程开始时尝试连接到的网站的名称。这不仅使服务器能够提供正确的证书,而且 SD-WAN 设备可以识别目标网站并确定其 URL 类别,即使端到端通信已加密。如果启用此选项,则会使用 HTTPS 数据流中的 SNI 对 HTTPS 流量进行分类(如果存在)。

注意:

默认情况下,“按 SNI 处理 HTTPS 通信”选项处于启用状态。

块选项

  • 块 QUIC(UDP 端口 443):防火墙阻止 UDP 端口 443 上的任何传出通信,该端口通常用于 QUIC 协议,Web 过滤模块无法处理。阻止 QUIC 导致浏览器退回到基于 TCP 的 HTTP (S) 通信。

  • 如果反向链接匹配任何绕过站点,则传递:如果允许通过绕过 URL 包含外部内容的页面,则无论其他阻止策略如何,都会传递外部内容。

    注意

    虽然此选项允许您访问外部网站,但它会面临安全风险。HTTP 标头中的反向链接选项可被浏览器加载项和插件覆盖。Citrix 建议您谨慎使用此选项。

  • 关闭阻止 HTTPS 会话的连接,而不重定向到阻止页面: SD-WAN 设备会发出 HTTP 重定向到自定义阻止页面,以防 URL 被阻止。但是,对于 HTTPS 会话,如果不导致中间人 (MitM) 会话终止,显示无效的证书浏览器警告页面,则无法进行此重定向。此选项会导致 HTTPS 会话被终止,以防止对目标网站的潜在攻击发出错误警告。

    注意:默认情况下,

    此选项处于启用状态。

  • 阻止的自定义 URL: 设置外部服务器位置,以便在 Web Filter 拒绝访问网站时重定向用户。如果配置了自定义 URL,则会传递以下查询字符串变量,以便接收系统可以自定义其内容。

    • 原因:拒绝用户访问的原因。这是基于 Web 的类别名称 + 电子邮件,以及较长的类别描述。例如,Sites+offering+web+based+email+and+email+clients(“空格”字符替换为“+”),以防网站因其类别而被阻止。否则,如果由于“阻止 URL”而被阻止,则为空。

    • appname:负责拒绝(Web 过滤)的应用程序。

    • appid:应用程序标识符,可以忽略 Web 过滤的内部标识符)。

    • host:拒绝最终用户访问的 URL 的域名。

    • clientAddress:被拒绝访问的最终用户的 IP 地址。

    • url:被拒绝访问的请求 URL。

注意

如果您不使用自己的网页来处理拒绝,则内置拒绝会发出重定向到不可路由的 IP 地址。

块的自定义 URL

您可以在 Citrix SD-WAN 管理器上查看详细的 Web 过滤报告。有关详细信息,请参阅报告 — Web 过滤

入侵防护

入侵防护可检测并防止网络中的恶意活动。它包括一个包含超过 34,000 个签名检测和启发式签名的数据库,用于端口扫描,使您能够有效地监视和阻止大多数可疑请求。您可以选择在定义安全配置文件时启用或禁用入侵防护,但入侵防护规则在所有安全配置文件中都是通用的。您可以从“配置”>“安全”>“入侵防护”中创建和管理 入侵防护规则。有关详细信息,请参阅入侵防护

注意

入侵防护仅检测通过各自防火墙策略捕获的通信的恶意通信量。

块的自定义 URL

您可以在 Citrix SD-WAN Orchestrator 上查看详细的入侵防护报告。有关更多详细信息,请参阅报告 — 入侵防护

反恶意软件

边缘安全防恶意软件扫描并根除病毒、特洛伊木马和其他恶意软件。反恶意软件可以扫描网络中的 HTTP、FTP 和 SMTP 流量,并根据已知特征码和文件模式的数据库检查其是否感染。如果未检测到感染,则流量将发送给收件人。如果检测到感染,反恶意软件会删除或隔离受感染的文件并通知用户。

反恶意软件使用 Bitdefender 的引擎来扫描下载的文件,使用签名数据库,启发式可疑模式和动态模拟器分析的组合。如果任何这些测试失败,则会阻止下载文件。

在不扫描的情况下绕过 URL

您可以绕过用于定期更新的受信任内部站点或外部站点的反恶意软件扫描,生成更多流量,并被认为是安全的。通过允许受信任的站点在不扫描的情况下通过,您可以减少用于扫描这些站点的资源。

输入 URL,提供简要说明,然后将 URL 添加到绕过 URL 列表中。

在不扫描的情况下绕过 URL

按文件类型扫描

默认情况下,反恶意软件支持扫描 HTTP 流量中的 41 个文件类型扩展名。反恶意软件扫描涉及通过签名、启发式和仿真进行深度分析,使其成为一个计算敏感的过程。您可以选择从反恶意软件扫描中排除某些文件扩展名。清除不需要扫描的文件类型。

注意

默认情况下选择的文件类型在反恶意软件有效性和系统性能之间取得了平衡。启用更多文件类型会增加 Edge Security 处理负载并损害整体系统容量。

按文件类型扫描

按 MIME 类型扫描

多用途互联网邮件扩展 (MIME) 类型是一种互联网标准,它根据性质和格式描述互联网文件的内容。与文件类型类似,您可以选择从反恶意软件扫描中排除某些 MIME 类型。您可以通过清除某些 MIME 类型来选择从扫描中排除这些类型。

注意

选择默认情况下选择的 MIME 类型是为了在反恶意软件有效性和系统容量之间达成平衡。启用更多文件类型会增加 Edge Security 处理负载并损害整体系统容量。

按 mime 类型扫描

其他扫描选项

您可以选择在以下互联网协议上启用或禁用反恶意软件扫描:

  • 扫描 HTTP:启用对 HTTP 流量的反恶意软件扫描。

  • 扫描 FTP:在 FTP 下载时启用反恶意软件扫描。

  • 扫描 SMTP:对 SMTP 邮件附件启用反恶意软件扫描,然后选择要执行的操作。

    • 删除感染:删除受感染的附件,并将电子邮件传递给收件人。

    • 传递消息:电子邮件发送给收件人,附件完好无损。

      注意

      对于“删除感染”和“传递消息”操作,电子邮件主题行前面加上“[病毒]”。

    • 阻止邮件:电子邮件被阻止,而不是传递给收件人。

其他扫描选项

您可以在 Citrix SD-WAN Orchestrator 上查看详细的反恶意软件扫描报告。有关更多详细信息,请参阅报告 — 反恶意软件

边缘安全防火墙策略

边缘安全功能使用防火墙策略触发。您可以为匹配类型 IP 协议定义防火墙策略并映射到安全配置文件。如果传入通信符合筛选条件,则会触发检查操作,并应用根据所选安全配置文件配置的安全功能。

Citrix SD-WAN 以“首次匹配”的方式评估防火墙策略,其中第一个匹配策略决定操作。防火墙策略必须按以下顺序进行配置:

  1. 具有非检查操作的 IP 协议、Office 365 和 DNS 应用防火墙策略
  2. 边缘安全防火墙策略(带检查操作的 IP 协议防火墙策略)
  3. 应用程序防火墙策略

要配置防火墙策略并启用边缘安全,请导航到配置 > 安全性 > 防火墙策略,然后单击创建新规则

选择匹配类型IP 协议并配置筛选条件。有关详细信息,请参阅防火墙策略。选择检查(针对 IP 协议)操作并选择安全配置文件。

边缘安全防火墙策略

注意:

虽然您可以创建的安全配置文件的数量没有限制,但您最多只能为站点分配 32 个 Inspect 防火墙策略。

限制

  • 为升级到高级版 (AE) 的 Citrix SD-WAN 标准版 (SE) 设备下载设备软件所需的时间较长。AE 设备的边缘安全子系统单独捆绑,以防止对 SE 设备的下载大小产生任何影响。
  • Citrix SD-WAN 边缘安全 Web 过滤只能检查 HTTPS 站点的服务器名称指示 (SNI),以便决定是否阻止、标记或允许通信。
  • 当前不能通过 Citrix SD-WAN 边缘安全的协调程序提供外部系统日志服务器支持。

相关主题

边缘安全性