ICAP für die Remote-Inhaltsprüfung verwenden

Das Internet Content Adaptation Protocol (ICAP) ist ein einfaches, leichtgewichtiges offenes Protokoll. Es wird typischerweise verwendet, um HTTP-Nachrichten zwischen dem Proxy und den Geräten zu transportieren, die Antimalware-Unterstützung und Dienste zur Verhinderung von Datenlecks bereitstellen. ICAP hat eine Standardschnittstelle für die Inhaltsanpassung geschaffen, um eine größere Flexibilität bei der Inhaltsverteilung zu ermöglichen und einen Mehrwertdienst bereitzustellen. Ein ICAP-Client leitet HTTP-Anfragen und -Antworten zur Verarbeitung an einen ICAP-Server weiter. Der ICAP-Server führt eine Transformation der Anfragen durch und sendet Antworten an den ICAP-Client zurück, mit entsprechender Aktion auf die Anfrage oder Antwort.

ICAP auf der Citrix Secure Web Gateway™ Appliance verwenden

Hinweis

Die Funktion zur Inhaltsprüfung erfordert eine SWG Edition-Lizenz.

Die Citrix Secure Web™ Gateway (SWG) Appliance fungiert als ICAP-Client und verwendet Richtlinien zur Interaktion mit ICAP-Servern. Die Appliance kommuniziert mit ICAP-Servern von Drittanbietern, die auf Funktionen wie Antimalware und Data Leak Prevention (DLP) spezialisiert sind. Wenn Sie ICAP auf einer SWG-Appliance verwenden, werden auch verschlüsselte Dateien gescannt. Sicherheitsanbieter haben diese Dateien zuvor umgangen. Die Appliance führt eine SSL-Interzeption durch, entschlüsselt den Client-Traffic und sendet ihn an den ICAP-Server. Der ICAP-Server prüft auf Viren-, Malware- oder Spyware-Erkennung, Datenleck-Inspektion oder andere Inhaltsanpassungsdienste. Die Appliance fungiert als Proxy, entschlüsselt die Antwort vom Ursprungsserver und sendet sie im Klartext zur Prüfung an den ICAP-Server. Konfigurieren Sie Richtlinien, um den Traffic auszuwählen, der an die ICAP-Server gesendet wird.

Der Ablauf im Anforderungsmodus funktioniert wie folgt:

(1) Die Citrix® SWG Appliance fängt Anfragen vom Client ab. (2) Die Appliance leitet diese Anfragen basierend auf den auf der Appliance konfigurierten Richtlinien an den ICAP-Server weiter. (3) Der ICAP-Server antwortet mit einer Meldung, die “Keine Anpassung erforderlich”, einen Fehler oder eine geänderte Anfrage anzeigt. Die Appliance leitet entweder (4) den Inhalt an den vom Client angeforderten Ursprungsserver weiter oder (5) sendet eine entsprechende Meldung an den Client zurück.

Der Ablauf im Antwortmodus funktioniert wie folgt:

(1) Der Ursprungsserver antwortet der Citrix SWG Appliance. (2) Die Appliance leitet die Antwort basierend auf den auf der Appliance konfigurierten Richtlinien an den ICAP-Server weiter. (3) Der ICAP-Server antwortet mit einer Meldung, die “Keine Anpassung erforderlich”, einen Fehler oder eine geänderte Anfrage anzeigt. (4) Abhängig von der Antwort des ICAP-Servers leitet die Appliance entweder den angeforderten Inhalt an den Client weiter oder sendet eine entsprechende Meldung.

ICAP auf der Citrix Secure Web Gateway Appliance konfigurieren

Die folgenden Schritte erläutern, wie ICAP auf der Citrix SWG Appliance konfiguriert wird.

1. Aktivieren Sie die Funktion zur Inhaltsprüfung.
2. Konfigurieren Sie einen Proxy-Server.
3. Konfigurieren Sie einen TCP-Dienst, der den ICAP-Server darstellt. Um eine sichere Verbindung zwischen der SWG-Appliance und dem ICAP-Dienst herzustellen, geben Sie den Diensttyp als SSL_TCP an. Weitere Informationen zu sicherem ICAP finden Sie im Abschnitt “Sicheres ICAP” weiter unten auf dieser Seite.
4. Fügen Sie optional einen virtuellen Lastausgleichsserver hinzu, um die ICAP-Server auszugleichen und den ICAP-Dienst an diesen virtuellen Server zu binden.
5. Konfigurieren Sie ein benutzerdefiniertes ICAP-Profil. Das Profil muss den URI oder den Dienstpfad für den ICAP-Dienst und den ICAP-Modus (Anfrage oder Antwort) enthalten. Es gibt keine ICAP-Standardprofile, die den HTTP- und TCP-Standardprofilen ähneln.
6. Konfigurieren Sie eine Aktion zur Inhaltsprüfung und geben Sie den ICAP-Profilnamen an. Geben Sie den Namen des virtuellen Lastausgleichsservers oder den TCP/SSL_TCP-Dienstnamen im Parameter für den Servernamen an.
7. Konfigurieren Sie eine Richtlinie zur Inhaltsprüfung, um den Client-Traffic zu bewerten und an den Proxy-Server zu binden. Geben Sie die Aktion zur Inhaltsprüfung in dieser Richtlinie an.

ICAP über die CLI konfigurieren

Konfigurieren Sie die folgenden Entitäten:

1. Aktivieren Sie die Funktion.

   enable ns feature contentInspection

2. Konfigurieren Sie einen Proxy-Server.

   add cs vserver <name> PROXY <IPAddress>

   Beispiel:

   add cs vserver explicitswg PROXY 192.0.2.100 80

3. Konfigurieren Sie einen TCP-Dienst, der die ICAP-Server darstellt.

   add service <name> <IP> <serviceType> <port>

   Geben Sie den Diensttyp als SSL_TCP für eine sichere Verbindung mit dem ICAP-Server an.

   Beispiel:

   add service icap_svc1 203.0.113.100 TCP 1344

   add service icap_svc 203.0.113.200 SSL_TCP 11344

4. Konfigurieren Sie einen virtuellen Lastausgleichsserver.

   add lb vserver <name> <serviceType> <IPAddress> <port>

   Beispiel:

   add lbvserver lbicap TCP 0.0.0.0 0

   Binden Sie den ICAP-Dienst an den virtuellen Lastausgleichsserver.

   bind lb vserver <name> <serviceName>

   Beispiel:

   bind lb vserver lbicap icap_svc

5. Fügen Sie ein benutzerdefiniertes ICAP-Profil hinzu.

   add ns icapProfile <name> -uri <string> -Mode ( REQMOD | RESPMOD )

   Beispiel:

   add icapprofile icapprofile1 -uri /example.com -Mode REQMOD

   Parameter

   name

   Name für ein ICAP-Profil. Muss mit einem alphanumerischen ASCII-Zeichen oder einem Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Rauten (#), Punkte (.), Leerzeichen, Doppelpunkte (:), At-Zeichen (@), Gleichheitszeichen (=) und Bindestriche (-) enthalten.

   CLI-Benutzer: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “my icap profile” oder ‘my icap profile’).

   Maximale Länge: 127

   uri

   URI, die den ICAP-Dienstpfad darstellt.

   Maximale Länge: 511 Zeichen

   Mode

   ICAP-Modus. Die verfügbaren Einstellungen funktionieren wie folgt:

   • REQMOD: Im Anforderungsmodifikationsmodus leitet der ICAP-Client eine HTTP-Anfrage an den ICAP-Server weiter.

   • RESPMOD: Im Antwortmodifikationsmodus leitet der ICAP-Server eine HTTP-Antwort vom Ursprungsserver an den ICAP-Server weiter.

     Mögliche Werte: REQMOD, RESPMOD

6. Konfigurieren Sie eine Aktion, die ausgeführt werden soll, wenn die Richtlinie “true” zurückgibt.

   add contentInspection action <name> -type ICAP -serverName <string> -icapProfileName <string>

   Beispiel:

   add contentInspection action CiRemoteAction -type ICAP -serverName lbicap -icapProfileName icapprofile1

7. Konfigurieren Sie eine Richtlinie zur Bewertung des Traffics.

   add contentInspection policy <name> -rule <expression> -action <string>

   Beispiel:

   add contentInspection policy CiPolicy -rule true -action CiRemoteAction

8. Binden Sie die Richtlinie an den Proxy-Server.

   bind cs vserver <vServerName> -policyName <string> -priority <positive_integer> -type [REQUEST | RESPONSE]

   Beispiel:

   bind cs vserver explicitswg -policyName CiPolicy -priority 200 -type REQUEST

ICAP über die GUI konfigurieren

Führen Sie die folgenden Schritte aus:

1. Navigieren Sie zu Load Balancing > Services und klicken Sie auf Add.

   

2. Geben Sie einen Namen und eine IP-Adresse ein. Wählen Sie unter Protocol die Option TCP. Geben Sie unter Port den Wert 1344 ein. Klicken Sie auf OK.

   Für eine sichere Verbindung zu den ICAP-Servern wählen Sie das TCP_SSL-Protokoll und geben Sie den Port als 11344 an.

   

3. Navigieren Sie zu Secure Web Gateway > Proxy Virtual Servers. Fügen Sie einen virtuellen Proxy-Server hinzu oder wählen Sie einen virtuellen Server aus und klicken Sie auf Edit. Nachdem Sie die Details eingegeben haben, klicken Sie auf OK.

   

   Klicken Sie erneut auf OK.

   

4. Klicken Sie unter Advanced Settings auf Policies.

   

5. Wählen Sie unter Choose Policy die Option Content Inspection aus. Klicken Sie auf Continue.

   

6. Klicken Sie unter Select Policy auf das “+”-Zeichen, um eine Richtlinie hinzuzufügen.

   

7. Geben Sie einen Namen für die Richtlinie ein. Klicken Sie unter Action auf das “+”-Zeichen, um eine Aktion hinzuzufügen.

   

8. Geben Sie einen Namen für die Aktion ein. Geben Sie unter Server Name den Namen des zuvor erstellten TCP-Dienstes ein. Klicken Sie unter ICAP Profile auf das “+”-Zeichen, um ein ICAP-Profil hinzuzufügen.

   

9. Geben Sie einen Profilnamen und einen URI ein. Wählen Sie unter Mode die Option REQMOD aus.

   

10. Klicken Sie auf Create.

    

11. Klicken Sie auf der Seite Create ICAP Action auf Create.

    

12. Geben Sie auf der Seite Create ICAP Policy im Expression Editor den Wert “true” ein. Klicken Sie dann auf Create.

    

13. Klicken Sie auf Bind.

    

14. Wenn Sie aufgefordert werden, die Funktion zur Inhaltsprüfung zu aktivieren, wählen Sie Yes.

    

15. Klicken Sie auf Done.

    

Sicheres ICAP

Sie können eine sichere Verbindung zwischen der SWG-Appliance und den ICAP-Servern herstellen. Erstellen Sie dazu einen SSL_TCP-Dienst anstelle eines TCP-Dienstes. Konfigurieren Sie einen virtuellen Lastausgleichsserver vom Typ SSL_TCP. Binden Sie den ICAP-Dienst an den virtuellen Lastausgleichsserver.

Sicheres ICAP über die CLI konfigurieren

Geben Sie an der Eingabeaufforderung Folgendes ein:

• add service <name> <IP> SSL_TCP <port>
• add lb vserver <name> <serviceType> <IPAddress> <port>
• bind lb vserver <name> <serviceName>

Beispiel:

add service icap_svc 203.0.113.100 SSL_TCP 1344

add lbvserver lbicap SSL_TCP 0.0.0.0 0

bind lb vserver lbicap icap_svc
<!--NeedCopy-->

Sicheres ICAP über die GUI konfigurieren

1. Navigieren Sie zu Load Balancing > Virtual Servers und klicken Sie auf Add.
2. Geben Sie einen Namen für den virtuellen Server, die IP-Adresse und den Port an. Geben Sie das Protokoll als SSL_TCP an.
3. Klicken Sie auf OK.
4. Klicken Sie in den Abschnitt Load Balancing virtual Server Service Binding, um einen ICAP-Dienst hinzuzufügen.
5. Klicken Sie auf “+”, um einen Dienst hinzuzufügen.
6. Geben Sie einen Dienstnamen, eine IP-Adresse, ein Protokoll (SSL_TCP) und einen Port (Standardport für sicheres ICAP ist 11344) an.
7. Klicken Sie auf OK.
8. Klicken Sie auf Done.
9. Klicken Sie auf Bind.
10. Klicken Sie zweimal auf Continue.
11. Klicken Sie auf Done.

Einschränkungen

Die folgenden Funktionen werden nicht unterstützt:

• ICAP-Antwort-Caching.
• Einfügen des X-Auth-User-URI-Headers.
• Einfügen der HTTP-Anfrage in die ICAP-Anfrage im RESPMOD.