边缘安全

Citrix SD-WAN Edge 安全功能可在 Citrix SD-WAN 分支设备上启用高级安全性。它通过为各种安全功能提供单一的管理和报告窗格以及 SD-WAN,从而简化了保护分支网络免受互联网威胁的信息安全管理。它通过在单个设备上整合路由、SD-WAN 和安全功能,消除了对多分支机构解决方案的需求,并降低了网络复杂性和成本。

边缘安全堆栈包括以下安全功能:

  • Web 过滤
  • 反恶意软件
  • 入侵防御

Citrix SD-WAN 高级版设备上提供边缘安全功能。有关版本的详细信息,请参阅 Citrix SD-WAN 平台版本Citrix SD-WAN 平台软件支持。有关受支持的设备的详细信息,请参阅 Citrix SD-WAN 数据表

注意

Citrix SD-WAN 1100 设备支持 Citrix SD-WAN 高级版。Citrix SD-WAN 210 标准版 (SE) 和 210 SE LTE 设备现在支持具有高级安全附加许可证的高级边缘安全功能。

由于边缘安全功能对计算具有敏感性,Citrix 建议您仅在尚未安装下一代防火墙解决方案的分支站点使用高级版设备。

在配置具有边缘安全功能的分支站点时,请确保选择了支持高级版的设备型号并且设备版本AE。有关添加和配置站点的更多详细信息,请参阅基本设置

站点配置基本设置

Citrix SD-WAN Orchestrator 允许您为边缘安全功能定义安全配置文件,并将这些安全配置文件与防火墙策略相关联。防火墙策略得到了增强,可以接受指定高级安全功能的安全配置文件参数。

注意

您只能通过 SD-WAN Orchestrator 创建安全配置文件和配置边缘安全功能。

安全档案

安全配置文件是一组特定的边缘安全选项,应用于防火墙策略定义的特定流量段。目的是保护流量免受安全威胁。例如,您可以为网络的不同段定义具有不同级别的安全性和访问权限的安全配置文件。您可以为每个安全配置文件启用和配置 Web 过滤、反恶意软件和入侵防护设置。

然后,安全配置文件将与防火墙策略相关联,以设置要检查的流量的条件。例如,在组织中,您可以为员工子网和来宾防火墙区域创建不同的安全配置文件。然后,您可以将安全配置文件分配给适当的防火墙策略,以分别匹配员工和来宾流量。

要创建安全配置文件,请在网络级别导航到配置 > 安全 > 安全配置文件,然后单击新建安全配置文件

安全档案

提供安全配置文件的名称和描述。根据需要启用和配置 Web 过滤、反恶意软件和入侵防护设置。

安全档案

Web 过滤

Web 过滤允许您通过分类数据库过滤网络用户访问的网站,该数据库包括约 32 亿个 URL 和 7.5 亿个域。它可以防止暴露于不适当的站点、间谍软件、网络钓鱼、欺诈、网站重定向和其他互联网威胁。它还可以强制执行互联网策略,阻止访问社交媒体、点对点沟通、赌博以及公司政策经常禁止的其他网站。Web Filter 监控网络上的互联网流量,并通过记录 Web 活动以及标记或阻止不当内容来过滤流量。

当您访问网站并启用 Web 过滤时,URL 将发送到云数据库进行分类。

注意

配置有效的 DNS 服务器并通过 SD-WAN 管理界面启用 HTTPS 互联网访问。这使得云数据库可以访问,以便 Web 过滤工作。

然后,分类结果将缓存在 SD-WAN 设备上,以提高未来请求的处理速度。然后,结果将用于标记、阻止或允许网站,而不会增加加载时间。您可以添加规则来阻止或绕过未分类或错误分类的站点,或者配置例外。您还可以绕过特定用户 IP 或子网的 Web 过滤。

块/旗类别

您可以标记或阻止不同类别的网站。Web 过滤将 URL 分为六个类别组,即 IT 资源、杂项、隐私、生产力、安全性和敏感性。这些组中的每个组都有不同的 URL 类别。当你选择阻止选项时,它也会隐式标记网站。当您尝试访问被阻止的类别的网站时,该网站将被标记为违规,该网站将被阻止。标记的类别允许您访问网站,但事件会被标记为违规。您可以在安全日志报告中查看详细信息。

块/旗类别

块/标志网站

您可以添加规则以阻止或标记类别部分中的设置允许的特定站点。您还可以阻止/标记未分类或错误分类的站点。输入域名提供描述,然后选择阻止标记。对“区块/标记站点”列表中的 URL 的决策优先于基于网站类别的决策。

注意

  • 例如,你只能添加完全限定的域名 (FQDN),例如- somedomain.com。例如,你不能添加 URL 路径- somedomain.com/path//file
  • 添加到阻止/标记站点的任何域名也包含其子域名。例如,添加 domain.com 会阻止/标记 *subdomain1.domain.comsubdomain2.domainl2.subdomainl1.domain.com。*

阻止/标志URLs

绕过网站

您可以添加规则以允许被阻止的类别中的特定站点。允许添加到“绕过站点”列表中的任何域名,即使该域被类别或单个 URL 阻止也是如此。输入域名并提供描述。选择活动以允许该 URL。

注意

  • 例如,你只能添加完全限定的域名 (FQDN),例如- somedomain.com。例如,你不能添加 URL 路径- somedomain.com/path//file
  • 添加到绕过站点的任何域名也包括其子域名。例如,添加 domain.com 会 绕过 subdomain1.domain.comsubdomain2.domain.comsubdomainlevel2.subdomainl1.domain.com。

绕过网站

绕过客户端 IP

您可以添加规则来绕过特定 IP 地址或子网的 Web 过滤。您可以提供 IP 地址或子网 CIDR 表示法和有意义的描述。Web 过滤器不会阻止任何流量,无论阻止的类别或站点如何。选择活动可允许来自这些 IP 地址的流量。

注意

由于 DHCP IP 可以更改,因此只能对具有静态 IP 或子网的客户端使用此功能。

绕过客户端 IP

高级选项

按服务器名称指示 (SNI) 处理 HTTPS 流量

SNI 是传输层安全性 (TLS) 协议的扩展,客户端通过该协议指示用户在安全连接握手过程开始时尝试连接的网站的名称。

这不仅使服务器能够提供正确的证书,而且 SD-WAN 设备可以识别目标网站并确定其 URL 类别,即使端到端通信已加密也是如此。如果启用此选项,则使用 HTTPS 数据流中的 SNI 对 HTTPS 流量进行分类(如果存在)。

注意

默认情况下,按 SNI 处理 HTTPS 流量选项处于启用状态。

块选项

  • 阻止 QUIC(UDP 端口 443):防火墙阻止 UDP 端口 443 上的任何传出通信,该端口通常用于 QUIC 协议,Web 过滤模块无法处理该端口。阻止 QUIC 会导致浏览器回退到基于 TCP 的 HTTP (S) 通信。

  • 如果推荐人与任何绕过站点匹配,则通过:如果允许通过绕过 URL 包含外部内容的页面,则无论其他阻止策略如何,外部内容都会传递。

    注意

    尽管此选项允许您访问外部网站,但它会带来安全风险。浏览器加载项和插件可以覆盖 HTTP 标头中的反向链接选项。Citrix 建议您谨慎地使用此选项。

  • 在不重定向到阻止页面的情况下关闭已阻止的 HTTPS 会话的连接:如果 URL 被阻止,SD-WAN 设备将发出 HTTP 重定向到自定义阻止页面。但是,如果不导致中间人 (MitM) 会话终止,则无法进行此重定向,并显示无效的证书浏览器警告页面。此选项会导致 HTTPS 会话被终止,以防止对目标网站发生潜在攻击的错误警告。

    注意

    默认情况下启用此选项。

  • 阻止的自定义 URL:将外部服务器位置设置为在 Web 过滤器拒绝访问网站时重定向用户。如果配置了自定义 URL,则会传递以下查询字符串变量,以便接收系统可以自定义其内容。

    • 原因:用户被拒绝访问的原因。这是基于 Web + 电子邮件的类别名称,以及更长的类别描述。例如,网 站 + 优惠 + 网页 + 基础 + 电子邮件 + 和 + 电子邮件 + 客户端空格 字符被替换为“+”),以防网站因其类别而被阻止。否则,如果由于“阻止 URL”而被阻止,则为空。

    • appname:负责拒绝(Web 过滤)的应用程序。

    • appid:应用程序标识符,可以忽略 Web 过滤的内部标识符)。

    • host:最终用户被拒绝访问的 URL 的域名。

    • ClientAddress:被拒绝访问的最终用户的 IP 地址。

    • url:被拒绝访问的请求 URL。

注意

如果您不使用自己的网页处理拒绝,则内置拒绝会发出重定向到不可路由的 IP 地址。

区块的自定义 URL

您可以在 Citrix SD-WAN 管理器上查看详细的 Web 过滤报告。有关更多详细信息,请参阅 报告-Web 过滤

入侵防御

入侵防护可检测并防止网络中的恶意活动。它包括一个包含 34,000 多个签名检测和端口扫描启发式签名的数据库,使您能够有效地监控和阻止大多数可疑请求。您可以在定义安全配置文件时选择启用或禁用入侵防护,但入侵防护规则在所有安全配置文件中都是通用的。您可以从“配置”>“全”>“入侵防护”创建和管理 入侵防护规则。有关详细信息,请参阅入侵防护

注意

入侵防护仅检测通过各自防火墙策略捕获的流量的恶意流量。

区块的自定义 URL

您可以在 Citrix SD-WAN Orchestrator 上查看详细的入侵防护报告。有关更多详细信息,请参阅报告-入侵防护

反恶意软件

Edge Security 反恶意软件可扫描并根除病毒、木马和其他恶意软件。反恶意软件可以扫描网络中的 HTTP、FTP 和 SMTP 流量,并根据已知特征码和文件模式的数据库进行检查以发生感染。如果未检测到感染,则会将流量发送给收件人。如果检测到感染,反恶意软件会删除或隔离受感染的文件并通知用户。

反恶意软件使用 Bitdefender 的引擎来扫描下载的文件,使用签名数据库,启发式可疑模式和动态模拟器分析的组合。如果其中任何测试失败,下载文件将被阻止。

在不扫描的情况下绕过 URL

对于可信的内部站点或外部站点,您可以绕过反恶意软件扫描,这些站点用于定期更新、生成更多流量并被认为是安全的。通过允许受信任的站点在不扫描的情况下通过,您可以减少扫描这些站点所花费的资源。

输入 URL,提供简要描述,然后将 URL 添加到绕过 URL 列表中。

无需扫描即可绕过 URL

按文件类型扫描

默认情况下,反恶意软件支持扫描 HTTP 流量中的 41 个文件类型扩展。反恶意软件扫描涉及通过签名、启发式和仿真进行深入分析,使其成为计算敏感的过程。您可以选择从反恶意软件扫描中排除某些文件扩展名。清除不必扫描的文件类型。

注意

默认情况下选择的文件类型在反恶意软件有效性和系统性能之间取得平衡。启用更多文件类型、增加边缘安全处理负载并损害整体系统容量。

按文件类型扫描

按 MIME 类型扫描

多用途互联网邮件扩展程序 (MIME) 类型是基于性质和格式描述互联网文件内容的互联网标准。与文件类型类似,您可以选择从反恶意软件扫描中排除某些 MIME 类型。您可以选择通过清除某些 MIME 类型将其排除在扫描之外。

注意

默认情况下选择的 MIME 类型是为了在反恶意软件有效性和系统容量之间保持平衡。启用更多文件类型会增加 Edge Security 处理负载并影响整体系统容量。

按 mime 类型扫描

其他扫描选项

您可以选择在以下 Internet 协议上启用或禁用反恶意软件扫描:

  • 扫描 HTTP:对 HTTP 流量启用反恶意软件扫描。

  • 扫描 FTP:在 FTP 下载时启用反恶意软件扫描。

  • 扫描 SMTP:在 SMTP 邮件附件上启用反恶意软件扫描,然后选择要执行的操作。

    • 删除感染:已删除受感染的附件并将电子邮件发送给收件人。

    • 传递消息:电子邮件将在附件完好无损的情况下发送给收件人。

    注意

    对于删除感染传递消息操作,电子邮件主题行前面有[病毒]。

    • 阻止消息:电子邮件被阻止且未发送给收件人。

其他扫描选项

您可以在 Citrix SD-WAN Orchestrator 上查看详细的反恶意软件扫描报告。有关详细信息,请参阅报告-反恶意软件

边缘安全防火墙策略

边缘安全功能是使用防火墙策略触发的。您可以为匹配类型 IP 协议定义防火墙策略 并将其映射到安全配置文件。如果传入流量符合筛选条件,则会触发检查操作,并应用根据所选安全配置文件配置的安全功能。

Citrix SD-WAN 以“首次匹配”的方式评估防火墙策略,其中第一个匹配策略决定了操作。必须按以下顺序配置防火墙策略:

  1. 具有非检查操作的 IP 协议、Office 365 和 DNS 应用程序防火墙策略
  2. 边缘安全防火墙策略(带检查操作的 IP 协议防火墙策略)
  3. 应用防火墙策略

要配置防火墙策略并启用边缘安全,请导航到 配置 > 安全 > 防火墙配置文件, 然后根据您的首选项添加配置文件。单击 创建新规则。选择 IP 协议作为匹配类型,然后配置筛选条件。有关详细信息,请参阅 防火墙配置文选择“检查(针对 IP 协议)”操作,然后选择安全配置文件。

边缘安全防火墙策略

注意

虽然您可以创建的安全配置文件的数量没有限制,但您最多只能为站点分配 32 个 Inspect 防火墙策略。

限制

  • 为升级到高级版 (AE) 的 Citrix SD-WAN 标准版 (SE) 设备下载该设备软件需要更长的时间。AE 设备的 Edge Security 子系统是单独捆绑的,以防止对 SE 设备的下载大小产生任何影响。
  • Citrix SD-WAN Edge Security Web 筛选只能检查 HTTPS 站点的服务器名称指示 (SNI),以决定是阻止、标记还是允许流量。
  • 适用于 Citrix SD-WAN 边缘安全的 Orchestrator 不提供外部 syslog 服务器支持。

相关主题

边缘安全