Citrix Secure Web Gateway

SSL 拦截

April 27, 2021

投稿者:

为 SSL 截获配置的 Citrix Secure Web Gateway (SWG) 设备用作代理。它可以拦截和解密 SSL/TLS 流量，检查未加密的请求，并使管理员能够强制执行合规性规则和安全检查。SSL 截获使用用于指定要截获、阻止或允许的流量的策略。例如，不能截获进出财务 Web 站点的流量（例如银行），但可以截获其他流量，并且可以确定和阻止列入黑名单的站点。Citrix 建议您配置一个通用策略以拦截流量，并配置更具体的策略以绕过某些流量。

客户端和 Citrix SWG 代理建立 HTTPS/TLS 握手。SWG 代理与服务器建立另一个 HTTPS/TLS 握手并接收服务器证书。代理代理代表客户端验证服务器证书，并使用联机证书状态协议 (OCSP) 检查服务器证书的有效性。它会重新生成服务器证书，使用设备上安装的 CA 证书的密钥对其进行签名，然后将其呈现给客户端。因此，在客户端和 Citrix ADC 设备之间使用一个证书，在设备和后端服务器之间使用另一个证书。

重要

必须在所有客户端设备上预安装用于签署服务器证书的 CA 证书，以便客户端信任重新生成的服务器证书。

对于截获的 HTTPS 流量，SWG 代理服务器解密出站流量，访问明文 HTTP 请求，并可以使用任何第 7 层应用程序处理流量，例如通过查看纯文本 URL 以及根据公司策略和 URL 信誉允许或阻止访问。如果策略决策是允许访问源服务器，则代理服务器会将重新加密的请求转发到目标服务（在源服务器上）。代理解密来自源服务器的响应，访问明文 HTTP 响应，并有选择地将任何策略应用于响应。然后，代理会重新加密响应并将其转发给客户端。如果策略决策是阻止对源服务器的请求，则代理可以向客户端发送错误响应，例如 HTTP 403。

要执行 SSL 截获，除了以前配置的代理服务器外，还必须在 SWG 设备上配置以下各项：

SSL 配置文件
SSL 策略
CA 证书存储
SSL - 错误自动学习和缓存

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

SSL 拦截

April 27, 2021

投稿者:

April 27, 2021

投稿者:

在本文中

这是否有帮助？