Produktdokumentation
Citrix Secure Web Gateway
12.1
PDF anzeigen

Erste Schritte mit einer Citrix® ADC MPX und VPX SWG Appliance

September 29, 2025
Beitrag von: 
C C

Nach der Installation Ihrer Hardware- (MPX) oder Software-Appliance (VPX) und der Durchführung der Erstkonfiguration können Sie diese als Secure Web Gateway Appliance für den Empfang von Datenverkehr konfigurieren.

Wichtig:

  • Die OCSP-Prüfung erfordert eine Internetverbindung, um die Gültigkeit von Zertifikaten zu überprüfen. Wenn Ihre Appliance über die NSIP-Adresse nicht aus dem Internet zugänglich ist, fügen Sie Zugriffssteuerungslisten (ACLs) hinzu, um NAT von der NSIP-Adresse zur Subnetz-IP-Adresse (SNIP) durchzuführen. Die SNIP muss aus dem Internet zugänglich sein. Zum Beispiel:

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255

 set rnat a1 -natIP <SNIP>

 apply acls
 <!--NeedCopy-->
  • Geben Sie einen DNS-Nameserver an, um Domänennamen aufzulösen. Weitere Informationen finden Sie unter Erstkonfiguration.
  • Stellen Sie sicher, dass das Datum auf der Appliance mit den NTP-Servern synchronisiert ist. Wenn das Datum nicht synchronisiert ist, kann die Appliance nicht effektiv überprüfen, ob ein Ursprungsserverzertifikat abgelaufen ist.

Um die Citrix SWG Appliance zu verwenden, müssen Sie die folgenden Aufgaben ausführen:

  • Fügen Sie einen Proxyserver im expliziten oder transparenten Modus hinzu.
  • Aktivieren Sie die SSL-Interception.
    • Konfigurieren Sie ein SSL-Profil.
    • Fügen Sie SSL-Richtlinien hinzu und binden Sie diese an den Proxyserver.
    • Fügen Sie ein CA-Zertifikat-Schlüsselpaar für die SSL-Interception hinzu und binden Sie es.

Hinweis: Eine im transparenten Proxy-Modus konfigurierte Citrix SWG Appliance kann nur HTTP- und HTTPS-Protokolle abfangen. Um andere Protokolle, wie Telnet, zu umgehen, müssen Sie die folgende Listen-Richtlinie auf dem virtuellen Proxyserver hinzufügen.

Der virtuelle Server akzeptiert nun nur noch eingehenden HTTP- und HTTPS-Datenverkehr.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`
<!--NeedCopy-->

Je nach Ihrer Bereitstellung müssen Sie möglicherweise die folgenden Funktionen konfigurieren:

  • Authentifizierungsdienst (empfohlen) – zur Authentifizierung von Benutzern. Ohne den Authentifizierungsdienst basiert die Benutzeraktivität auf der Client-IP-Adresse.
  • URL-Filterung – zum Filtern von URLs nach Kategorien, Reputationswert und URL-Listen.
  • Analytics – zur Anzeige von Benutzeraktivitäten, Benutzerrisikoindikatoren, Bandbreitenverbrauch und Transaktionsaufschlüsselungen in Citrix Application Delivery Management (ADM).

Hinweis: SWG implementiert die meisten typischen HTTP- und HTTPS-Standards, die von ähnlichen Produkten befolgt werden. Diese Implementierung erfolgt ohne Berücksichtigung eines bestimmten Browsers und ist mit den gängigsten Browsern kompatibel. SWG wurde mit gängigen Browsern und aktuellen Versionen von Google Chrome, Internet Explorer und Mozilla Firefox getestet.

Secure Web Gateway-Assistent

Der SWG-Assistent bietet Administratoren ein Tool zur Verwaltung der gesamten SWG-Bereitstellung über einen Webbrowser. Er hilft Kunden, einen SWG-Dienst schnell einzurichten und vereinfacht die Konfiguration durch eine Abfolge klar definierter Schritte.

  1. Öffnen Sie Ihren Webbrowser und geben Sie die NSIP-Adresse ein, die Sie während der Erstkonfiguration angegeben haben. Weitere Informationen zur Erstkonfiguration finden Sie unter Erstkonfiguration.

  2. Geben Sie Ihren Benutzernamen und Ihr Kennwort ein.

    localized image

  3. Wenn Sie keine Subnetz-IP-Adresse (SNIP) angegeben haben, wird der folgende Bildschirm angezeigt.

    localized image

    Geben Sie unter Subnetz-IP-Adresse eine IP-Adresse und Subnetzmaske ein. Das Häkchen in einem grünen Kreis zeigt an, dass der Wert konfiguriert ist.

  4. Fügen Sie unter Host Name, DNS IP Address und Time Zone die IP-Adresse eines DNS-Servers hinzu, um Domänennamen aufzulösen, und geben Sie Ihre Zeitzone an.

  5. Klicken Sie auf Continue.

  6. (Optional) Möglicherweise sehen Sie ein Ausrufezeichen, wie folgt:

    localized image

    Dieses Zeichen weist darauf hin, dass die Funktion nicht aktiviert ist. Um die Funktion zu aktivieren, klicken Sie mit der rechten Maustaste auf die Funktion und dann auf Enable Feature.

    localized image

  7. Klicken Sie im Navigationsbereich auf Secure Web Gateway. Klicken Sie unter Getting Started auf Secure Web Gateway Wizard.

    localized image

  8. Befolgen Sie die Schritte im Assistenten, um Ihre Bereitstellung zu konfigurieren.

Eine Listen-Richtlinie zum transparenten Proxyserver hinzufügen

  1. Navigieren Sie zu Secure Web Gateway > Proxy Servers. Wählen Sie den transparenten Proxyserver aus und klicken Sie auf Edit.

  2. Bearbeiten Sie die Basic Settings und klicken Sie auf More.

  3. Geben Sie unter Listen priority den Wert 1 ein.

  4. Geben Sie unter Listen Policy Expression den folgenden Ausdruck ein:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
<!--NeedCopy-->

    Dieser Ausdruck geht von Standardports für HTTP- und HTTPS-Datenverkehr aus. Wenn Sie andere Ports konfiguriert haben, z. B. 8080 für HTTP oder 8443 für HTTPS, ändern Sie den Ausdruck entsprechend, um diese Ports widerzuspiegeln.

Einschränkungen

SWG wird in einer Cluster-Einrichtung, in Admin-Partitionen und auf einer Citrix ADC FIPS Appliance nicht unterstützt.

Erste Schritte mit einer Citrix® ADC MPX und VPX SWG Appliance
September 29, 2025
Beitrag von: 
C C
September 29, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.