Erste Schritte mit einer Citrix ADC MPX- und VPX-SWG-Appliance
Nachdem Sie Ihre Hardware (MPX) oder Software (VPX) -Appliance installiert und die Erstkonfiguration durchgeführt haben, können Sie sie als sichere Web-Gateway-Appliance konfigurieren, um Datenverkehr zu empfangen.
WICHTIG:
-
OCSP-Prüfung erfordert eine Internetverbindung, um die Gültigkeit von Zertifikaten zu überprüfen. Wenn die Appliance über die NSIP-Adresse nicht über das Internet zugegriffen werden kann, fügen Sie Zugriffssteuerungslisten (ACLs) hinzu, um NAT von der NSIP-Adresse zur Subnetz-IP-Adresse (SNIP) auszuführen. Das SNIP muss über das Internet zugänglich sein. Zum Beispiel:
add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255 set rnat a1 -natIP <SNIP> apply acls <!--NeedCopy-->
- Geben Sie einen DNS-Namensserver an, um Domänennamen aufzulösen. Weitere Informationen finden Sie unter Erstmalige Konfiguration.
- Stellen Sie sicher, dass das Datum auf der Appliance mit den NTP-Servern synchronisiert ist. Wenn das Datum nicht synchronisiert wird, kann die Appliance nicht effektiv überprüfen, ob es sich bei einem Ursprungsserverzertifikat um ein abgelaufenes Zertifikat handelt.
Um die Citrix SWG-Appliance zu verwenden, müssen Sie die folgenden Aufgaben ausführen:
- Fügen Sie einen Proxyserver im expliziten oder transparenten Modus hinzu.
- Aktivieren Sie SSL-Interception.
- Konfigurieren Sie ein SSL-Profil.
- Fügen Sie SSL-Richtlinien hinzu und binden Sie sie an den Proxyserver.
- Fügen Sie ein Zertifizierungsstellen-Zertifikatschlüsselpaar für SSL-Interception hinzu und binden Sie sie.
Hinweis: Eine Citrix SWG-Appliance, die im transparenten Proxymodus konfiguriert ist, kann nur HTTP- und HTTPS-Protokolle abfangen. Um andere Protokolle wie Telnet zu umgehen, müssen Sie die folgende Abhörrichtlinie auf dem virtuellen Proxyserver hinzufügen.
Der virtuelle Server akzeptiert jetzt nur den eingehenden HTTP- und HTTPS-Datenverkehr.
set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`
<!--NeedCopy-->
Je nach Bereitstellung müssen Sie möglicherweise die folgenden Funktionen konfigurieren:
- Authentifizierungsdienst (empfohlen) — zur Authentifizierung von Benutzern. Ohne den Authentifizierungsdienst basiert die Benutzeraktivität auf der Client-IP-Adresse.
- URL-Filter — zum Filtern von URLs nach Kategorien, Reputationsbewertung und URL-Listen.
- Analytics: Zum Anzeigen von Benutzeraktivitäten, Benutzerrisikoindikatoren, Bandbreitenverbrauch und Transaktionen in Citrix Application Delivery Management (ADM).
Hinweis: SWG implementiert die meisten typischen HTTP- und HTTPS-Standards, gefolgt von ähnlichen Produkten. Diese Implementierung wird ohne einen bestimmten Browser durchgeführt und ist mit den meisten gängigen Browsern kompatibel. SWG wurde mit gängigen Browsern und aktuellen Versionen von Google Chrome, Internet Explorer und Mozilla Firefox getestet.
Secure Web Gateway-Assistent
Der SWG-Assistent stellt Administratoren ein Tool zur Verfügung, mit dem Sie die gesamte SWG-Bereitstellung mithilfe eines Webbrowsers verwalten können. Es hilft den Kunden dabei, einen SWG-Service schnell einzurichten und vereinfacht die Konfiguration durch eine Reihe von klar definierten Schritten.
-
Öffnen Sie Ihren Webbrowser und geben Sie die NSIP-Adresse ein, die Sie bei der Erstkonfiguration angegeben haben. Weitere Hinweise zur Erstkonfiguration finden Sie unterErstmalige Konfiguration.
-
Geben Sie Ihren Benutzernamen und Ihr Kennwort ein.
-
Wenn Sie keine Subnetz-IP-Adresse (SNIP) angegeben haben, wird der folgende Bildschirm angezeigt.
Geben Sie unter Subnetz-IP-Adresse eine IP-Adresse und eine Subnetzmaske ein. Das Häkchen in einem grünen Kreis zeigt an, dass der Wert konfiguriert ist.
-
Fügen Sie unter Hostname, DNS-IP-Adresse und Zeitzonedie IP-Adresse eines DNS-Servers hinzu, um Domänennamen aufzulösen, und geben Sie Ihre Zeitzone an.
-
Klicken Sie auf Weiter.
-
(Optional) Möglicherweise wird ein Ausrufezeichen wie folgt angezeigt:
Diese Markierung zeigt an, dass das Feature nicht aktiviert ist. Um das Feature zu aktivieren, klicken Sie mit der rechten Maustaste auf das Feature, und klicken Sie dann auf Feature aktivieren.
-
Klicken Sie im Navigationsbereich auf Secure Web Gateway. Klicken Sie unter Erste Schritteauf Secure Web Gateway-Assistent.
-
Führen Sie die Schritte im Assistenten aus, um Ihre Bereitstellung zu konfigurieren.
Hinzufügen einer Listenrichtlinie zum transparenten Proxyserver
-
Navigieren Sie zu Secure Web Gateway > Proxyserver. Wählen Sie den transparenten Proxyserver aus, und klicken Sie auf Bearbeiten.
-
Bearbeiten Sie die Grundeinstellungen, und klicken Sie auf Mehr.
-
Geben Sie unter Listenpriorität 1 ein.
-
Geben Sie unter Listen-Richtlinienausdruck den folgenden Ausdruck ein:
(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443)) <!--NeedCopy-->
Dieser Ausdruck setzt Standardports für HTTP- und HTTPS-Datenverkehr voraus. Wenn Sie verschiedene Ports konfiguriert haben, z. B. 8080 für HTTP oder 8443 für HTTPS, ändern Sie den Ausdruck so, dass er diese Ports widerspiegelt.
Einschränkungen
SWG wird in einem Cluster-Setup, in Administratorpartitionen und auf einer Citrix ADC FIPS-Appliance nicht unterstützt.