常见问题解答

问:Citrix Secure Web Gateway (SWG) 支持哪些硬件平台?

答:Citrix SWG 不可用, 请访问以下硬件平台:

  • Citrix SWG MPX 14020/14030/14040
  • Citrix SWG MPX 14020-40G/14040-40G
  • Citrix SWG MPX 14060-40S/14080-40S/14100-40S
  • Citrix SWG MPX 5901/5905/5910
  • Citrix SWG MPX/SDX 8905/8910/8920/8930
  • 所有 Cavium N2 和基于 N3 的 SDX 平台

问: 在 SWG 设备上创建代理时, 可以设置两种捕获模式:

答:SWG 解决方案支持显式透明的代理模式。在显式代理模式下, 除非组织将此设置推送到客户端设备, 否则客户端必须在其浏览器中指定 IP 地址和端口。此地址是指在 SWG 设备上配置的代理服务器的 IP 地址。顾名思义, 透明代理对客户端而言是透明的。SWG 设备在串联部署中进行配置, 而设备会透明地接受所有 HTTP 和 HTTPS 流量。

问: Citrix SWG 是否有配置向导?

答:是。该向导位于配置实用程序中的 SWG 节点上。

问: 配置 Citrix SWG 时, 将使用 Citrix ADC 功能。

答:响应者、AAA-TM、内容交换、SSL、正向代理、SSL 截获以及 URL 过滤。

问: Citrix SWG 支持哪些身份验证方法?

答:在显式代理模式下,支持 LDAP、RADIUS、TACACS+ 和 NEGOTIATE 身份验证方法。在透明模式下, 仅支持 LDAP 身份验证。

问: 是否有必要在客户端设备上安装 CA 证书?

答:是。Citrix SWG 设备会模拟原始服务器证书。必须使用受信任的 CA 证书对此服务器证书进行签名, 该证书必须安装在客户端设备上, 以便客户端可以信任重新生成的服务器证书。

问: 我可以在 Citrix SWG 平台上使用 Citrix ADC 平台许可证吗?

答:不。Citrix SWG 平台需要自己的平台许可证。

问: 是否支持 Citrix Secure Web Gateway 部署使用高可用性功能?

答:是。

问: 哪个文件中包含 Citrix SWG 的日志?

答:Ns.log 文件记录 Citrix SWG 信息。必须使用 CLI 或 GUI 启用日志记录。在命令提示窗口中, 键入 set syslogparams -ssli Enabled

在 GUI 中, 导航到System >审计。在设置中, 单击更改审核 Syslog 设置。选择 SSL 截获

问: 我可以使用哪些 nsconmsg 命令对问题进行故障排除?

答:可以使用以下命令中的一个或两个:

nsconmsg -d current -g ssli
nsconmsg -d current -g err

问: 如果证书捆绑包是内置的, 我如何获取更新?

答:此版本中包含最新的捆绑包。有关更新, 请联系 Citrix 支持。

问:可以在 Citrix ADM from Citrix SWG 上捕获数据吗?

答:是。必须在 Secure Web Gateway 向导中启用分析

重要:请务必使用同一个12.0 内部版本的 MAS 和 SWG。

问: 什么是 URL 过滤服务?

答:URL 过滤是一种 Web 内容过滤器,用于控制对受限制的 Web 页面列表的访问权限。此过滤器基于 URL 类别、类别组和信誉分数限制用户访问 Internet 上不适宜的内容。网络管理员可以监视 Web 流量,并阻止用户访问非常危险的 Web 站点。可以通过使用 URL 分类或 URL 列表功能来实施此功能, 具体取决于策略实施。有关详细信息, 请参阅 URL 过滤主题。

问: URL 过滤如何适应 Citrix SWG?

答:URL 过滤利用 Citrix SWG 设备来控制对特定 Web 站点的访问。位于网络边缘的 SWG 设备用作代理,用来截获 Web 流量以及执行身份验证、检查、缓存和重定向等操作。此过滤器随后将控制使用 URL 分类或 URL 列表功能对 Web 站点的访问,并采用策略实施。

问: URL 分类数据库的更新频率如何?

答:如果您使用 URL 分类功能控制对受限 Web 站点的访问,您必须定期使用基于云的供应商服务的最新数据更新分类数据库。要更新数据库, Citrix SWG GUI 允许您配置 URL 过滤参数 (例如, DB 更新之间的小时数) 或 “更新数据库的时间。

问: 现在有哪些使用案例最适合使用 URL 过滤服务?

:下面是企业客户的一些目标用例:

问: 在 URL 分类服务中缓存是否存在内存限制?

答:是。缓存的内存限制设置为 10 GB, 您只能通过 CLI 界面对其进行配置。

问: 如果没有类别与传入请求相匹配, URL 分类数据库会返回什么内容?

答:如果传入请求与某个类别不匹配, 或者如果该 URL 的格式不正确, 设备会将该 URL 标记为 “未分类”, 并将该请求发送到由分类供应商维护的基于云的服务。设备将继续监视云查询反馈并更新缓存, 以便将来的请求可以受益于云查找。

问:URL 信誉分数是什么,您如何基于信誉分数控制对恶意 Web 站点的访问?

答:URL 信誉分数是 Citrix SWG 分配给 Web 站点的等级。此值的范围为 1 到 4,其中 4 为恶意 Web 站点,1 为干净的 Web 站点。如果网络管理员监视了访问高风险 Web 站点的用户,则将根据您在 Citrix SWG 设备上配置的 URL 信誉分数和安全级别来控制对这些站点的访问权限。有关详细信息,请参阅 URL 信誉分数

问:如果您使用 URL 集(但不正确过滤特定 Web 站点)过滤 Web 站点,启用卓越 Web 站点的过程是什么?

:URL 过滤使用响应程序策略控制对 Web 站点的访问。要将特定 URL 列入白名单, 请在 SWG 向导中创建 patset 策略, 并添加特殊 URL 的 “允许” 操作。创建策略后, 退出向导并执行以下步骤:

要使用 Citrix SWG GUI 更改策略表达式的优先级, 请执行以下操作:

  1. 登录 Citrix SWG 设备并导航到 Secure Web Gateway > 代理虚拟服务器
  2. 在 details (详细信息) 页面上, 选择一个服务器, 然后单击Edit (编辑)。
  3. 在 “代理虚拟服务器” 页面上, 转至策略部分, 然后单击铅笔图标以编辑详细信息。
  4. 选择 patset 策略并在Policy Binding (策略绑定) 页面上, 指定低于其他绑定策略的优先级值。
  5. 单击绑定完成

问: 使用 Citrix SWG URL 过滤功能时有哪些主要优势?

答:URL 过滤功能易于部署、配置和使用。它具有以下优点, 并允许企业客户:

  • 监视 Web 流量和用户事务
  • 过滤恶意软件和以 Internet 为载体的安全威胁。
  • 控制恶意 Web 站点的未经授权访问。
  • 强制实施公司安全策略以控制对受限制数据的访问。

问:如果您使用 URL 列表功能过滤 Web 站点,如何编辑 URL 列表策略?

答:可以通过 Citrix SWG 向导修改 URL 列表策略, 方法是覆盖或删除绑定到响应方策略的所导入列表。

问: 与 URL 关联的元数据中包含什么内容?

答:分类数据库中的每个 URL 都有与其关联的元数据。此元数据包含 URL 类别、类别组和信誉分数信息。例如, 如果 URL 是购物门户, 元数据将分别进行购物、购物/零售以及1。

使用以下表达式获取传入 URL 的这些值。这些表达式在下文中提供:

URL_CATEGORIZE(0,0).CATEGORY
URL_CATEGORIZE(0,0).GROUP
URL_CATEGORIZE(0,0).REPUTATION

问: URL 分类功能需要哪种类型的许可证和订阅?

答:URL 分类功能要求在 Citrix SWG edition 中使用 URL 威胁情报订阅服务 (为期一年或三年)。

问: 可以通过哪些方法配置 URL 过滤?

答:可以通过两种方式配置 URL 过滤。可以通过 Citrix SWG 命令界面或通过 Citrix SWG 向导执行此操作。Citrix 建议使用该向导配置过滤策略。

问: 您可以阻止使用哪些类型的 URL 类别?

答:URL 分类数据库包含数百万个包含元数据的 URL。管理员可以配置响应程序策略来确定哪些 URL 类别可以阻止, 以及可以允许用户访问的 URL 类别。有关 URL 类别映射的信息, 请参阅映射类别页面。

问: 如果我们无法访问使用 WebSocket 的原始服务器 (例如whatsapp

必须在默认 HTTP 配置文件中启用 webSocket。

在 CLI 中, 键入:

> set httpprofile nshttp_default_profile -webSocket ENABLED

ICAP 是什么?

ICAP 代表 Internet 内容适应协议。

哪个版本的 Citrix SWG 支持 ICAP?

在 Citrix SWG 12.0 build 57。 x 及更高版本中支持 ICAP。

Citrix SWG 支持哪两个 ICAP 模式?

支持请求修改REQMOD() 模式和响应修改RESPMOD() 模式。

默认的 ICAP 端口是什么?

1344.

常见问题解答