製品ドキュメント
Citrix Secure Web Gateway
12.1
PDFを表示

ユースケース: エンタープライズインターネットアクセスを準拠させ、安全にする

September 29, 2025
寄稿者: 
C C

金融機関のネットワークセキュリティ担当ディレクターは、マルウェアの形でウェブから来る外部の脅威からエンタープライズネットワークを保護したいと考えています。この目的を達成するため、ディレクターは、通常バイパスされる暗号化されたトラフィックを可視化し、悪意のあるウェブサイトへのアクセスを制御する必要があります。ディレクターには、以下の対応が求められます。

  • SSL/TLS(暗号化されたトラフィック)を含む、エンタープライズネットワークに出入りするすべてのトラフィックをインターセプトして検査
  • ユーザーの財務情報やメールなどの機密情報を含むウェブサイトへのリクエストのインターセプトをバイパス
  • 有害または成人向けコンテンツを提供していると特定された有害なURLへのアクセスをブロック
  • 悪意のあるウェブサイトにアクセスしているエンタープライズ内のエンドユーザー(従業員)を特定し、これらのユーザーのインターネットアクセスをブロックするか、有害なURLをブロック

上記すべてを達成するために、ディレクターは組織内のすべてのデバイスにプロキシを設定し、それをネットワーク内のプロキシサーバーとして機能するCitrix Secure Web Gateway (SWG) に向けることができます。プロキシサーバーは、エンタープライズネットワークを通過するすべての暗号化および非暗号化トラフィックをインターセプトします。ユーザー認証を促し、トラフィックをユーザーに関連付けます。URLカテゴリを指定して、違法/有害、成人向け、マルウェアおよびスパムのウェブサイトへのアクセスをブロックできます。

上記を達成するには、以下のエンティティを設定します。

  • ホスト名を解決するためのDNSネームサーバー
  • オリジンサーバーとの接続を確立するためのサブネットIP (SNIP) アドレス。SNIPアドレスはインターネットアクセス可能である必要があります
  • すべての送信HTTPおよびHTTPSトラフィックをインターセプトするための明示モードのプロキシサーバー
  • 接続用の暗号やパラメーターなどのSSL設定を定義するためのSSLプロファイル
  • SSLインターセプト用のサーバー証明書に署名するためのCA証明書とキーのペア
  • インターセプトおよびバイパスするウェブサイトを定義するためのSSLポリシー
  • 有効なユーザーのみにアクセスを許可するための認証仮想サーバー、ポリシー、およびアクション
  • Citrix® Application Delivery Management (ADM) にデータを送信するためのAppflow®コレクター

このサンプル設定では、CLIとGUIの両方の手順が記載されています。以下のサンプル値が使用されています。これらをIPアドレス、SSL証明書とキー、LDAPパラメーターの有効なデータに置き換えてください。

名前 サンプル設定で使用される値
NSIPアドレス 192.0.2.5
サブネットIPアドレス 198.51.100.5
LDAP仮想サーバーIPアドレス 192.0.2.116
DNSネームサーバーIPアドレス 203.0.113.2
プロキシサーバーIPアドレス 192.0.2.100
MAS IPアドレス 192.0.2.41
SSLインターセプト用CA証明書 ns-swg-ca-certkey (certificate: ns_swg_ca.crt and key: ns_swg_ca.key)
LDAPベースDN CN=Users,DC=CTXNSSFB,DC=COM
LDAPバインドDN CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM
LDAPバインドDNパスワード zzzzz

セキュアウェブゲートウェイウィザードを使用したエンタープライズネットワークとの間のトラフィックのインターセプトと検査の設定

ネットワークとの間の他のトラフィックに加えて、暗号化されたトラフィックをインターセプトして検査するための設定を作成するには、プロキシ設定、SSLi設定、ユーザー認証設定、およびURLフィルタリング設定が必要です。以下の手順には、入力された値の例が含まれています。

SNIPアドレスとDNSネームサーバーの設定

  1. ウェブブラウザでNSIPアドレスを入力します。例: http://192.0.2.5

  2. User NamePassword に管理者資格情報を入力します。次の画面が表示されます。

    localized image

  3. Subnet IP Address セクション内をクリックし、IPアドレスを入力します。

    localized image

  4. Done をクリックします。

  5. Host Name, DNS IP Address, and Time Zone セクション内をクリックし、これらのフィールドの値を入力します。

    localized image

  6. Done をクリックし、次に Continue をクリックします。

プロキシ設定

  1. Secure Web Gateway > Secure Web Gateway Wizard に移動します。

  2. Get Started をクリックし、次に Continue をクリックします。

  3. Proxy Settings ダイアログボックスで、明示的プロキシサーバーの名前を入力します。

  4. Capture ModeExplicit を選択します。

  5. IPアドレスとポート番号を入力します。

    localized image

  6. Continue をクリックします。

SSLインターセプト設定

  1. Enable SSL Interception を選択します。

    localized image

  2. SSL Profile で「+」をクリックして新しいフロントエンドSSLプロファイルを追加し、このプロファイルで SSL Sessions Interception を有効にします。

    localized image

  3. OK をクリックし、次に Done をクリックします。

  4. Select SSL interception CA Certificate-Key Pair で「+」をクリックして、SSLインターセプト用のCA証明書とキーのペアをインストールします。

    localized image

  5. Install をクリックし、次に Close をクリックします。

  6. すべてのトラフィックをインターセプトするポリシーを追加します。Bind をクリックし、次に Add をクリックします。

    localized image

  7. ポリシーの名前を入力し、Advanced を選択します。Expressionエディターで true と入力します。

  8. ActionINTERCEPT を選択します。

    localized image

  9. Create をクリックし、次に Add をクリックして機密情報をバイパスする別のポリシーを追加します。

  10. ポリシーの名前を入力し、URL CategoriesAdd をクリックします。

  11. FinanceEmail カテゴリを選択し、Configured リストに移動します。

  12. ActionBYPASS を選択します。

    localized image

  13. Create をクリックします。

  14. 以前に作成した2つのポリシーを選択し、Insert をクリックします。

    localized image

  15. Continue をクリックします。

    localized image

ユーザー認証設定

  1. Enable user authentication を選択します。Authentication Type フィールドで LDAP を選択します。

    localized image

  2. LDAPサーバーの詳細を追加します。

    localized image

  3. Create をクリックします。

  4. Continue をクリックします。

URLフィルタリング設定

  1. Enable URL Categorization を選択し、次に Bind をクリックします。

    localized image

  2. Add をクリックします。

    localized image

  3. ポリシーの名前を入力します。ActionDeny を選択します。URL CategoriesIllegal/HarmfulAdultMalware and SPAM を選択し、Configured リストに移動します。

    localized image

  4. Create をクリックします。

  5. ポリシーを選択し、次に Insert をクリックします。

    localized image

  6. Continue をクリックします。

    localized image

  7. Continue をクリックします。

  8. Enable Analytics をクリックします。

  9. Citrix ADMのIPアドレスを入力し、Port5557 を指定します。

    localized image

  10. Continue をクリックします。

  11. Done をクリックします。

    localized image

Citrix ADMを使用して、ユーザーの主要なメトリクスを表示し、以下を判断します。

  • エンタープライズ内のユーザーのブラウジング行動
  • エンタープライズ内のユーザーがアクセスしたURLカテゴリ
  • URLまたはドメインへのアクセスに使用されたブラウザ

この情報を使用して、ユーザーのシステムがマルウェアに感染しているかどうかを判断したり、ユーザーの帯域幅消費パターンを理解したりできます。Citrix SWGアプライアンスのポリシーを微調整して、これらのユーザーを制限したり、さらにいくつかのウェブサイトをブロックしたりできます。MASでメトリクスを表示する方法の詳細については、MASユースケースの「エンドポイントの検査」ユースケースを参照してください。

CLIを使用して以下のパラメーターを設定します。

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

CLIの例

以下の例には、エンタープライズネットワークとの間のトラフィックのインターセプトと検査を設定するために使用されるすべてのコマンドが含まれています。

一般的な設定:

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

認証設定:

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1
<!--NeedCopy-->

プロキシサーバーとSSLインターセプト設定:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->

URLカテゴリ設定:

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ
<!--NeedCopy-->

Citrix ADMにデータをプルするためのAppFlow設定:

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1
<!--NeedCopy-->
ユースケース: エンタープライズインターネットアクセスを準拠させ、安全にする
September 29, 2025
寄稿者: 
C C
September 29, 2025
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.