用例: 确保企业互联网访问合规性和安全性

财务组织中的网络安全主管希望以恶意软件形式从 Web 抵御来自 Web 的任何外部威胁来保护企业网络。要执行此操作,主管需要在其他情况下能够看到其他跳过加密流量的情况,并控制对恶意 Web 站点的访问。需要 director 才能执行以下操作:

  • 截获并检查所有通信, 包括 SSL/TLS (加密的通信), 进入企业网络并进入外部网络。
  • 跳过截获包含敏感信息的 Web 站点的请求,例如,用户财务信息或电子邮件。
  • 阻止访问被识别为有害或成人内容的有害 URL。
  • 确定企业中的最终用户(员工),这些用户在访问恶意 Web 站点时阻止这些用户的 Internet 访问权限或阻止使用有害的 URL。

为实现上述所有设备, director 可以在组织中的所有设备上设置代理, 并将其指向 Citrix Secure Web Gateway (SWG), 该服务器用作网络中的代理服务器。代理服务器截获所有加密和未加密的通信通过企业网络传输。它会提示用户进行身份验证, 并将流量与用户相关联。可以指定 URL 类别以阻止对非法的或有害、成人、恶意软件和垃圾 Web 站点的访问。

要实现上面的设置, 请配置以下实体:

  • 解析主机名的 DNS 名称服务器。
  • 子网 IP (SNIP) 地址,用于与源服务器建立连接。SNIP 地址应具有 Internet 访问权限。
  • 显式模式下的代理服务器, 用于截获出站 HTTP 和 HTTPS 流量。
  • SSL 配置文件, 用于定义连接的 SSL 设置, 例如密码和参数。
  • CA 证书 - 密钥对用于为 SSL 截获签名服务器证书。
  • 用于定义要截获并跳过的 Web 站点的 SSL 策略。
  • 身份验证虚拟服务器、策略和操作, 以确保仅授予有效用户访问权限。
  • 用于将数据发送到 Citrix Application Delivery Management (ADM) 的 Appflow 收集器。

此示例配置中列出了 CLI 和 GUI 过程。使用以下示例值。请将其替换为 IP 地址、SSL 证书和密钥以及 LDAP 参数的有效数据。

名称 在示例配置中使用的值
NSIP 地址 192.0.2.5
子网 IP 地址 198.51.100.5
LDAP 虚拟服务器 IP 地址 192.0.2.116
DNS 名称服务器 IP 地址 203.0.113.2
代理服务器 IP 地址 192.0.2.100
MAS IP 地址 192.0.2.41
用于 SSL 截获的 CA 证书 ns-swg-ca-certkey (certificate: ns_swg_ca.crt and key: ns_swg_ca.key)
LDAP 基础 DN CN=Users,DC=CTXNSSFB,DC=COM
LDAP 绑定 DN CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM
LDAP 绑定 DN 密码 zzzzz

使用 Secure Web Gateway 向导配置对企业网络流量的侦听与检查

创建用于截获和检查加密流量的配置 (以及进出网络的其他流量) 需要配置代理设置、SSLi 设置、用户身份验证设置以及 URL 过滤设置。以下过程介绍了输入的值的示例。

配置 SNIP 地址和 DNS 名称服务器

  1. 在 Web 浏览器中,键入 NSIP 地址。例如 http://192.0.2.5

  2. User Name(用户名)和 Password(密码)中,键入管理员凭据。此时将显示以下屏幕。

    本地化后的图片

  3. 单击内部子网 IP 地址部分,并输入 IP 地址。

    本地化后的图片

  4. 单击完成

  5. 主机名、DNS IP 地址和时区部分中单击,并为这些字段输入值。

    本地化后的图片

  6. 单击Done (完成), 然后单击Continue (继续)。

配置代理设置

  1. 导航到 Secure Web Gateway > Secure Web Gateway 向导

  2. 单击 “入门” (入门), 然后单击Continue (继续)。

  3. Proxy Settings (代理设置) 对话框中, 输入显式代理服务器的名称。

  4. 捕获模式中,选择显式

  5. 输入 IP 地址和端口号。

    本地化后的图片

  6. 单击 Continue(继续)。

配置 SSL 截获设置

  1. 选择启用 SSL 拦截。

    本地化后的图片

  2. SSL 配置文件中, 单击 “+” 以添加新的前端 SSL 配置文件并在此配置文件中启用 SSL 会话拦截。

    本地化后的图片

  3. 单击OK (确定), 然后单击Done (完成)。

  4. SELECT SSL 截获 CA 证书-密钥对中, 单击 “+” 以安装用于 SSL 截获的 CA 证书-密钥对。

    本地化后的图片

  5. 单击Install (安装), 然后单击Close (关闭)。

  6. 添加一个用于截获所有流量的策略。单击Bind (绑定), 然后单击Add (添加)。

    本地化后的图片

  7. 输入策略的名称, 然后选择 “高级“。在 Expression editor (表达式编辑器) 中, 输入 true。

  8. 对于操作, 请选择 “截获“。

    本地化后的图片

  9. 单击创建,然后单击添加以添加其他策略以绕过敏感信息。

  10. 输入策略的名称, 在URL 类别中, 单击添加

  11. 选择财务电子邮件类别, 并将其移动到已配置列表。

  12. 要执行操作, 请选择跳过

    本地化后的图片

  13. 单击创建

  14. 选择之前创建的两个策略, 然后单击Insert (插入)。

    本地化后的图片

  15. 单击 Continue(继续)。

    本地化后的图片

配置用户身份验证设置

  1. 选择Enable user authentication (启用用户身份验证)。在Authentication Type (身份验证类型) 字段中, 选择LDAP

    本地化后的图片

  2. 添加 LDAP 服务器详细信息。

    本地化后的图片

  3. 单击创建

  4. 单击 Continue(继续)。

配置 URL 过滤设置

  1. 选择启用 URL 分类,然后单击绑定

    本地化后的图片

  2. 单击添加

    本地化后的图片

  3. 输入策略的名称。对于操作, 请选择Deny (拒绝)。在URL 类别中,选择非法的或有害的、成人、成人以及恶意软件和垃圾邮件, 然后将其移动到已配置的列表中。

    本地化后的图片

  4. 单击创建

  5. 选择策略, 然后单击Insert (插入)。

    本地化后的图片

  6. 单击 Continue(继续)。

    本地化后的图片

  7. 单击 Continue(继续)。

  8. 单击启用分析

  9. 输入 Citrix ADM 的 IP 地址和端口,指定 5557。

    本地化后的图片

  10. 单击 Continue(继续)。

  11. 单击完成

    本地化后的图片

使用 Citrix ADM 查看用户的主要衡量指标,并确定以下各项:

  • 您的企业中的用户的浏览行为。
  • 您企业中的用户访问的 URL 类别。
  • 用于访问 URL 或域的浏览器。

使用此信息可确定用户的系统是否感染了恶意软件, 或者了解用户的带宽消耗模式。您可以对 Citrix SWG 设备上的策略进行微调,以限制这些用户或阻止某些更多的 Web 站点。有关在 MAS 上查看衡量指标的详细信息,请参阅MAS 用例中的“检查端点”用例。

注意

使用 CLI 设置以下参数。

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED

CLI 示例

下面的示例中包含用于配置对企业网络流量进行侦听和检查的所有命令。

常规配置:

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED

身份验证配置:

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1

代理服务器和 SSL 截获配置

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

URL 类别配置:

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ

AppFlow 配置,用于将数据提取到 Citrix ADM 中

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1