Citrix ADC MPX 和 VPX SWG 设备入门

安装硬件 (MPX) 或软件 (VPX) 设备并执行初始配置后,即可将其配置为用于接收流量的 Secure Web Gateway 设备。

重要:

  • OCSP 检查需要 Internet 连接以检查证书的有效性。如果您的设备无法通过使用 NSIP 地址从 Internet 访问,则添加访问控制列表 (ACL),以从 NSIP 地址向子网 IP (截图) 地址执行 NAT。必须可以从 Internet 访问 SNIP。例如,

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255
    
     set rnat a1 -natIP <SNIP>
    
     apply acls
    
  • 指定 DNS 名称服务器以解析域名。有关详细信息,请参阅初始配置
  • 请确保设备上的日期与 NTP 服务器同步。如果不同步日期, 设备将无法有效地确认原始服务器证书是否已过期。

要使用 Citrix SWG 设备, 必须执行以下任务:

  • 在显式或透明模式下添加代理服务器。
  • 启用 SSL 拦截。
    • 配置 SSL 配置文件。
    • 向代理服务器中添加 SSL 策略并将其绑定到该服务器。
    • 添加并绑定用于 SSL 截获的 CA 证书-密钥对。

注意:在透明代理模式下配置的 Citrix SWG 设备只能截获 HTTP 和 HTTPS 协议。要跳过任何其他协议 (例如 telnet), 必须在代理虚拟服务器上添加以下侦听策略。

虚拟服务器现在仅接受 HTTP 和 HTTPS 传入流量。

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`

根据您的部署, 您可能需要配置以下功能:

  • 身份验证服务 (建议)-对用户进行身份验证。如果不使用身份验证服务, 用户活动将基于客户端 IP 地址。
  • URL 过滤 – 按类别、信誉分数和 URL 列表过滤 URL。
  • 分析–查看用户活动、用户风险指示器、带宽占用情况以及事务在 Citrix Application Delivery Management (ADM) 中中断。

注意:SWG 实施了多数典型的 HTTP 和 HTTPS 标准, 然后是类似产品。此实现在不考虑任何特定浏览器的情况下完成, 并且与大多数常见浏览器兼容。SWG 已通过通用浏览器和最新版本的 Google Chrome、Internet Explorer 和 Mozilla Firefox 进行了测试。

Secure Web Gateway 向导

SWG 向导为管理员提供了使用 Web 浏览器管理整个 SWG 部署的工具。此功能有助于指导客户迅速提出 SWG service, 并通过遵循定义明确的步骤序列来帮助简化配置。

  1. 打开 Web 浏览器并输入在初始配置过程中指定的 NSIP 地址。有关初始配置的详细信息, 请参阅 初始配置

  2. 键入用户名和密码。

    本地化后的图片

  3. 如果未指定子网 IP (SNIP) 地址,则将显示以下屏幕。

    本地化后的图片

    在“子网 IP 地址”中,输入 IP 地址和子网掩码。绿色圆圈中的复选标记表示值已配置。

  4. 主机名DNS IP 地址和时区中,添加 DNS 服务器的 IP 地址以解析域名,并指定您的时区。

  5. 单击 Continue(继续)。

  6. 选择性您可能会看到一个惊叹号, 如下所示:

    本地化后的图片

    此标记指示该功能未启用。要启用该功能, 请在该功能上单击鼠标右键, 然后单击Enable feature (启用功能)。

    本地化后的图片

  7. 在 “导航” 窗格中, 单击Secure Web Gateway。在 “入门” 中, 单击Secure Web Gateway 向导“。

    本地化后的图片

  8. 按照向导中的步骤配置您的部署。

将侦听策略添加到透明代理服务器

  1. 导航到Secure Web Gateway >代理服务器。选择透明代理服务器, 然后单击Edit (编辑)。

  2. 编辑基本设置, 然后单击更多

  3. 侦听优先级中, 输入1。

  4. 在 “侦听策略” 表达式中, 输入以下表达式:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

    此表达式假定标准端口用于 HTTP 和 HTTPS 流量。如果您配置了不同的端口 (例如, 对于 HTTP 使用8080或8443表示 HTTPS), 请修改表达式以反映这些端口。

限制

在群集设置、管理分区以及 Citrix ADC FIPS 设备上, 不支持 SWG。