SSL-Richtlinieninfrastruktur für SSL-Interzeption
Eine Richtlinie fungiert als Filter für eingehenden Datenverkehr. Richtlinien auf der Citrix Secure Web Gateway™ (SWG)-Appliance helfen dabei, die Verwaltung von Proxy-Verbindungen und -Anfragen zu definieren. Die Verarbeitung basiert auf den für diese Richtlinie konfigurierten Aktionen. Das heißt, Daten in Verbindungsanfragen werden mit einer in der Richtlinie angegebenen Regel verglichen, und die Aktion wird auf Verbindungen angewendet, die der Regel (Ausdruck) entsprechen. Nachdem Sie eine Aktion für die Richtlinie definiert und die Richtlinie erstellt haben, binden Sie sie an einen Proxy-Server, damit sie für den Datenverkehr gilt, der durch diesen Proxy-Server fließt.
Eine SSL-Richtlinie für die SSL-Interzeption bewertet eingehenden Datenverkehr und wendet eine vordefinierte Aktion auf Anfragen an, die einer Regel (Ausdruck) entsprechen. Eine Entscheidung, eine Verbindung abzufangen (intercept), zu umgehen (bypass) oder zurückzusetzen (reset), wird basierend auf der definierten SSL-Richtlinie getroffen. Sie können eine von drei Aktionen für eine Richtlinie konfigurieren – INTERCEPT, BYPASS oder RESET. Geben Sie eine Aktion an, wenn Sie eine Richtlinie erstellen. Um eine Richtlinie in Kraft zu setzen, müssen Sie sie an einen Proxy-Server auf der Appliance binden. Um anzugeben, dass eine Richtlinie für die SSL-Interzeption vorgesehen ist, müssen Sie den Typ (Bindungspunkt) als INTERCEPT_REQ angeben, wenn Sie die Richtlinie an einen Proxy-Server binden. Beim Aufheben der Bindung einer Richtlinie müssen Sie den Typ als INTERCEPT_REQ angeben.
Hinweis:
Der Proxy-Server kann nur dann eine Interzeption entscheiden, wenn Sie eine Richtlinie angeben.
Die Datenverkehrsinterzeption kann auf jedem SSL-Handshake-Attribut basieren. Am häufigsten wird die SSL-Domäne verwendet. Die SSL-Domäne wird normalerweise durch die Attribute des SSL-Handshakes angezeigt. Dies kann der aus der SSL Client Hello-Nachricht extrahierte Server Name Indicator-Wert sein, falls vorhanden, oder der aus dem Ursprungsserverzertifikat extrahierte Server Alternate Name (SAN)-Wert. Die SSLi-Richtlinie auf Citrix SWG bietet ein spezielles Attribut namens DETECTED_DOMAIN, das es Kunden erleichtert, Interzeptionsrichtlinien basierend auf der SSL-Domäne aus dem Ursprungsserverzertifikat zu erstellen. Der Kunde kann den Domänennamen mit einer Zeichenfolge, einer URL-Liste (URL-Set oder patset) oder einer vom Domänennamen abgeleiteten URL-Kategorie abgleichen.
Erstellen einer SSL-Richtlinie mithilfe der Citrix® SWG CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
add ssl policy <name> -rule <expression> -action <string>
<!--NeedCopy-->
Beispiele:
Die folgenden Beispiele gelten für Richtlinien mit Ausdrücken, die das Attribut detected_domain verwenden, um nach einem Domänennamen zu suchen.
Datenverkehr zu einem Finanzinstitut, z. B. XYZBANK, nicht abfangen
add ssl policy pol1 -rule client.ssl.detected_domain.contains("XYZBANK") -action BYPASS
<!--NeedCopy-->
Einem Benutzer nicht erlauben, sich von einem Unternehmensnetzwerk aus mit YouTube zu verbinden.
add ssl policy pol2 -rule client.ssl.client.ssl.detected_domain.url_categorize(0,0).category.eq ("YouTube") -action RESET
<!--NeedCopy-->
Den gesamten Benutzerdatenverkehr abfangen.
add ssl policy pol3 –rule true –action INTERCEPT
<!--NeedCopy-->
Wenn der Kunde detected_domain nicht verwenden möchte, kann er beliebige SSL-Handshake-Attribute verwenden, um die Domäne zu extrahieren und abzuleiten.
Beispielsweise wird ein Domänenname nicht in der SNI-Erweiterung der Client Hello-Nachricht gefunden. Der Domänenname muss aus dem Ursprungsserverzertifikat entnommen werden. Die folgenden Beispiele gelten für Richtlinien mit Ausdrücken, die nach einem Domänennamen im Antragstellernamen des Ursprungsserverzertifikats suchen.
Den gesamten Benutzerdatenverkehr zu jeder Yahoo-Domäne abfangen.
add ssl policy pol4 -rule client.ssl.origin_server_cert.subject.contains("yahoo") –action INTERCEPT
<!--NeedCopy-->
Den gesamten Benutzerdatenverkehr für die Kategorie “Shopping/Retail” abfangen.
add ssl policy pol_url_category -rule client.ssl.origin_server_cert.subject.URL_CATEGORIZE(0,0).CATEGORY.eq("Shopping/Retail") -action INTERCEPT
<!--NeedCopy-->
Den gesamten Benutzerdatenverkehr zu einer nicht kategorisierten URL abfangen.
add ssl policy pol_url_category -rule client.ssl.origin_server_cert.subject.url_categorize(0,0).category.eq("Uncategorized") -action INTERCEPT
<!--NeedCopy-->
Die folgenden Beispiele gelten für Richtlinien, die die Domäne mit einem Eintrag in einem URL-Set abgleichen.
Den gesamten Benutzerdatenverkehr abfangen, wenn der Domänenname in SNI mit einem Eintrag im URL-Set “top100” übereinstimmt.
add ssl policy pol_url_set -rule client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top100") -action INTERCEPT
<!--NeedCopy-->
Den gesamten Benutzerdatenverkehr des Domänennamens abfangen, wenn das Ursprungsserverzertifikat mit einem Eintrag im URL-Set “top100” übereinstimmt.
add ssl policy pol_url_set -rule client.ssl.origin_server_cert.subject.URLSET_MATCHES_ANY("top100") -action INTERCEPT
<!--NeedCopy-->
Erstellen einer SSL-Richtlinie für einen Proxy-Server mithilfe der SWG-GUI
- Navigieren Sie zu Secure Web Gateway > SSL > Policies.
- Klicken Sie auf der Registerkarte SSL Policies auf Add und geben Sie die folgenden Parameter an:
- Richtlinienname
- Richtlinienaktion – Wählen Sie zwischen Intercept, Bypass oder Reset.
- Ausdruck
- Klicken Sie auf Create.
Binden einer SSL-Richtlinie an einen Proxy-Server mithilfe der SWG CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type INTERCEPT_REQ
<!--NeedCopy-->
Beispiel:
bind ssl vserver <name> -policyName pol1 -priority 10 -type INTERCEPT_REQ
<!--NeedCopy-->
Binden einer SSL-Richtlinie an einen Proxy-Server mithilfe der Citrix SWG GUI
- Navigieren Sie zu Secure Web Gateway > Proxy Virtual Servers.
- Wählen Sie einen virtuellen Server aus und klicken Sie auf Edit.
- Klicken Sie unter Advanced Settings auf SSL Policies.
- Klicken Sie in das Feld SSL Policy.
- Wählen Sie unter Select Policy eine zu bindende Richtlinie aus.
- Wählen Sie unter Type die Option INTERCEPT_REQ.
- Klicken Sie auf Bind und dann auf OK.
Aufheben der Bindung einer SSL-Richtlinie an einen Proxy-Server mithilfe der Befehlszeile
Geben Sie an der Eingabeaufforderung Folgendes ein:
unbind ssl vserver <vServerName> -policyName <string> -type INTERCEPT_REQ
<!--NeedCopy-->
In SSL-Richtlinien für SWG verwendete SSL-Ausdrücke
| Ausdruck | Beschreibung |
|---|---|
CLIENT.SSL.CLIENT_HELLO.SNI.* |
Gibt die SNI-Erweiterung im Zeichenfolgenformat zurück. Werten Sie die Zeichenfolge aus, um festzustellen, ob sie den angegebenen Text enthält. Beispiel: client.ssl.client_hello.sni.contains("xyz.com") |
CLIENT.SSL.ORIGIN_SERVER_CERT.* |
Gibt ein von einem Back-End-Server empfangenes Zertifikat im Zeichenfolgenformat zurück. Werten Sie die Zeichenfolge aus, um festzustellen, ob sie den angegebenen Text enthält. Beispiel: client.ssl.origin_server_cert.subject.contains("xyz.com") |
CLIENT.SSL.DETECTED_DOMAIN.* |
Gibt eine Domäne, entweder aus der SNI-Erweiterung oder aus dem Ursprungsserverzertifikat, im Zeichenfolgenformat zurück. Werten Sie die Zeichenfolge aus, um festzustellen, ob sie den angegebenen Text enthält. Beispiel: client.ssl.detected_domain.contains("xyz.com") |
In diesem Artikel
- Erstellen einer SSL-Richtlinie mithilfe der Citrix® SWG CLI
- Erstellen einer SSL-Richtlinie für einen Proxy-Server mithilfe der SWG-GUI
- Binden einer SSL-Richtlinie an einen Proxy-Server mithilfe der SWG CLI
- Binden einer SSL-Richtlinie an einen Proxy-Server mithilfe der Citrix SWG GUI
- Aufheben der Bindung einer SSL-Richtlinie an einen Proxy-Server mithilfe der Befehlszeile
- In SSL-Richtlinien für SWG verwendete SSL-Ausdrücke