边缘安全
Citrix SD-WAN Edge 安全功能可在 Citrix SD-WAN 分支设备上启用高级安全性。它通过为各种安全功能提供单一的管理和报告窗格以及 SD-WAN,从而简化了保护分支网络免受互联网威胁的信息安全管理。它通过在单个设备上整合路由、SD-WAN 和安全功能,消除了对多分支机构解决方案的需求,并降低了网络复杂性和成本。边缘安全堆栈包括以下安全功能:
- Web 过滤
- 反恶意软件
- 入侵防护
Citrix SD-WAN 高级版设备上提供边缘安全功能。有关版本的更多信息,请参阅 Citrix SD-WAN 平台版本 和 Citrix SD-WAN 平台软件支持。有关支持的设备的更多信息,请参阅 Citrix SD-WAN 数据表。
注意
仅 Citrix SD-WAN 1100 设备支持 Citrix SD-WAN 高级版。
由于边缘安全功能对计算具有敏感性,Citrix 建议仅在尚未安装下一代防火墙解决方案的分支站点使用高级版设备。
在配置具有 Edge Security 功能的分支站点时,请确保选择支持高级版的 设备型号 且 设备版本 为 AE。有关添加和配置站点的更多详细信息,请参阅 站点配置。
Citrix SD-WAN Orchestrator 服务允许您为 Edge Security 功能定义安全配置文件并将这些安全配置文件与防火墙策略关联起来。防火墙策略得到了增强,可以接受指定高级安全功能的安全配置文件参数。
注意
您只能通过 Citrix SD-WAN Orchestrator 服务创建安全配置文件和配置边缘安全功能。
安全档案
安全配置文件是一组特定的边缘安全选项,应用于防火墙策略定义的特定流量段。目的是保护流量免受安全威胁。例如,您可以为网络的不同段定义具有不同级别的安全性和访问权限的安全配置文件。您可以为每个安全配置文件启用和配置 Web 过滤、防恶意软件和入侵防护设置。
然后,安全配置文件将与防火墙策略相关联,以设置要检查的流量的条件。例如,在组织中,您可以为员工子网和来宾防火墙区域创建不同的安全配置文件。然后,您可以将安全配置文件分配给适当的防火墙策略,以分别匹配员工和来宾流量。
要创建安全配置文件,请在网络级别导航到 配置 > 安全 > 安全配置文件,然后单击新建安全配置文件。
提供安全配置文件的名称和描述。根据需要启用和配置 Web 过滤、防恶意软件和入侵防护设置。
Web 过滤
Web 筛选允许您通过分类数据库筛选网络用户访问的网站,该数据库包括大约 32 亿个 URL 和 7.5 亿个域。它可以防止暴露于不适当的站点、间谍软件、网络钓鱼、欺诈、网站重定向和其他互联网威胁。它还可以强制执行互联网策略,阻止访问社交媒体、点对点沟通、赌博以及公司政策经常禁止的其他网站。Web Filter 监控网络上的互联网流量,并通过记录 Web 活动以及标记或阻止不当内容来过滤流量。
当您访问网站并启用 Web 筛选时,该 URL 将发送到云数据库进行分类。
注意
配置有效的 DNS 服务器并通过 SD-WAN 管理界面启用 HTTPS 互联网访问。这使得云数据库可访问,因此 Web 筛选可以正常运行。
然后,分类结果将缓存在 SD-WAN 设备上,以提高未来请求的处理速度。然后,结果将用于标记、阻止或允许网站,而不会增加加载时间。您可以添加规则来阻止或绕过未分类或错误分类的站点,或者配置例外。您也可以绕过针对特定用户 IP 或子网的 Web 筛选。
块/旗类别
您可以标记或阻止不同类别的网站。Web 筛选将 URL 分为六个类别组:IT 资源、杂项、隐私、工作效率、安全和敏感。这些组中的每个组都有不同的 URL 类别。当你选择阻止选项时,它也会隐式标记网站。当您尝试访问被阻止的类别的网站时,该网站将被标记为违规,该网站将被阻止。标记的类别允许您访问网站,但事件会被标记为违规。您可以在 安全日志 或 报告中查看详细信息。
块/标志网站
您可以添加规则以阻止或标记类别部分中的设置允许的特定站点。您还可以阻止/标记未分类或错误分类的站点。输入域名,提供描述,然后选择 “ 屏蔽 ” 或 “ 标记”。在 “ 屏蔽/举报站点 ” 列表中对 URL 的决定优先于基于网站类别的决定。
注意
- 您只能添加完全限定域名 (FQDN),例如- somedomain.com。你无法添加 URL 路径,例如- somedomain.com/path/to/file。
- 添加到阻止/标记站点的任何域名也包含其子域名。例如,添加 domain.com 将封锁/标记 s ubdomain1.domain.com、s**ubdomain2.domain.com和 s ubdomainlevel2.subdomainlevel1.domain.com。
绕过 URL
您可以添加规则以允许被阻止的类别中的特定站点。允许添加到 “ 绕过 URL ” 列表中的任何域,即使该域是按类别或单个 URL 阻止的。输入域名并提供描述。选择 “ 激活 ” 以允许使用 URL。
注意
- 您只能添加完全限定域名 (FQDN),例如- somedomain.com。你无法添加 URL 路径,例如- somedomain.com/path/to/file。
- 添加到绕过 URL 的任何域名也包含其子域名。例如,添加 domain.com 会绕过 s ubdomain1.domain.com、s**ubdomain2.domain.com和 s ubdomainlevel2.subdomainlevel1.domain.com。
绕过客户端 IP
您可以添加规则以绕过针对特定 IP 地址或子网的 Web 过滤。您可以提供 IP 地址或子网 CIDR 表示法和有意义的描述。无论被屏蔽的类别或站点如何,网络过滤器都不会阻止任何流量。选择 “ 活动 ” 以允许来自这些 IP 地址的流量。
注意
由于 DHCP IP 可以更改,因此只能对具有静态 IP 或子网的客户端使用此功能。
高级选项
通过 SNI 处理 HTTPS 流量(服务器名称指示)
SNI 是传输层安全性 (TLS) 协议的扩展,客户端通过该协议指示用户在安全连接握手过程开始时尝试连接的网站的名称。这不仅使服务器能够提供正确的证书,而且 SD-WAN 设备可以识别目标网站并确定其 URL 类别,即使端到端通信已加密也是如此。如果启用此选项,则使用 HTTPS 数据流中的 SNI 对 HTTPS 流量进行分类(如果存在)。
注意
默认情况下,“ 通过 SNI 处理 HTTPS 流量 ” 选项处于启用状态。
块选项
-
阻止 QUIC(UDP 端口 443):防火墙阻止 UDP 端口 443 上的任何传出通信,该端口通常用于 QUIC 协议,Web 过滤模块无法处理该协议。阻止 QUIC 会导致浏览器回退到基于 TCP 的 HTTP (S) 通信。
-
如果反向链接与任何 “绕过站点” 匹配,则不予通过:如果允许包含外部内容的页面通过 B ypass URL,则无论其他封禁政策如何,外部内容都会被传递。
注意
尽管此选项允许您访问外部网站,但它会带来安全风险。浏览器加载项和插件可以覆盖 HTTP 标头中的反向链接选项。Citrix 建议您谨慎地使用此选项。
-
在不重定向到屏蔽页面的情况下关闭被阻止的 HTTPS 会话的连接: 如果 URL 被阻止,SD-WAN 设备会向自定义屏蔽页面发出 HTTP 重定向。但是,如果不导致中间人 (MitM) 会话终止,则无法进行此重定向,并显示无效的证书浏览器警告页面。此选项会导致 HTTPS 会话被终止,以防止对目标网站发生潜在攻击的错误警告。
注意
默认情况下,此选项处于启用状态。
-
用于屏蔽的自定义 URL: 设置外部服务器位置,以便在 Web Filter 拒绝用户访问网站时重定向用户。如果配置了自定义 URL,则会传递以下查询字符串变量,以便接收系统可以自定义其内容。
-
原因:用户被拒绝访问的原因。这是 基于网络+电子邮件的类别名称,也是较长的类别描述。例如, 网站+优惠+基于Web+Email+和+Email+Client s(“空格” 字符替换为 “+”),以防网站因其类别被屏蔽。否则,如果由于“阻止 URL”而被阻止,则为空。
-
appname:负责拒绝(Web 过滤)的应用程序。
-
appid:应用程序标识符,用于网络过滤的内部标识符,可以忽略)。
-
主机:拒绝最终用户访问的 URL 的域名。
-
客户端地址:被拒绝访问的最终用户的 IP 地址。
-
url:请求的被拒绝访问的 URL。
-
注意
如果您不使用自己的网页处理拒绝,则内置拒绝会发出重定向到不可路由的 IP 地址。
您可以在 Citrix SD-WAN Orchestrator 服务上查看详细的 Web 筛选报告。有关更多详细信息,请参阅 报告-Web 过滤
入侵防护
入侵防护可检测并防止网络中的恶意活动。它包括一个包含 34,000 多个签名检测和端口扫描启发式签名的数据库,使您能够有效地监控和阻止大多数可疑请求。在定义安全配置文件时,您可以选择启用或禁用 入侵防 护,但入侵防护规则在所有安全配置文件中都通用。您可以通过 “ 配置” > “安全” > “入侵防御” 创建和管理规则。有关更多信息,请参阅 入侵防御。
注意
入侵防护仅检测通过各自防火墙策略捕获的流量的恶意流量。
您可以在 Citrix SD-WAN Orchestrator 服务上查看详细的入侵防护报告。有关更多详细信息,请参阅 报告-入侵防御。
反恶意软件
Edge Security 反恶意软件可扫描并根除病毒、木马和其他恶意软件。反恶意软件可以扫描网络中的 HTTP、FTP 和 SMTP 流量,并根据已知特征码和文件模式的数据库进行检查以发生感染。如果未检测到感染,则会将流量发送给收件人。如果检测到感染,反恶意软件会删除或隔离受感染的文件并通知用户。
Anti-Malware 使用 Bitdefender 的引擎结合使用签名数据库、可疑模式的启发式方法和动态仿真器分析来扫描下载的文件。如果其中任何测试失败,下载文件将被阻止。
在不扫描的情况下绕过 URL
对于可信的内部站点或外部站点,您可以绕过反恶意软件扫描,这些站点用于定期更新、生成更多流量并被认为是安全的。通过允许受信任的站点在不扫描的情况下通过,您可以减少扫描这些站点所花费的资源。
输入 URL,提供简要描述,然后将 URL 添加到绕过 URL 列表中。
按文件类型扫描
默认情况下,反恶意软件支持扫描 HTTP 流量中的 41 个文件类型扩展。反恶意软件扫描涉及通过签名、启发式和仿真进行深入分析,使其成为计算敏感的过程。您可以选择从反恶意软件扫描中排除某些文件扩展名。清除不必扫描的文件类型。
注意
默认情况下选择的文件类型在反恶意软件有效性和系统性能之间取得平衡。启用更多文件类型会增加 Edge Security 处理负载并影响整体系统容量。
按 MIME 类型扫描
多用途互联网邮件扩展程序 (MIME) 类型是基于性质和格式描述互联网文件内容的互联网标准。与文件类型类似,您可以选择从反恶意软件扫描中排除某些 MIME 类型。您可以选择通过清除某些 MIME 类型将其排除在扫描之外。
注意
选择默认情况下选择的 MIME 类型是为了在反恶意软件的有效性和系统容量之间取得平衡。启用更多文件类型会增加 Edge Security 处理负载并影响整体系统容量。
其他扫描选项
您可以选择在以下 Internet 协议上启用或禁用反恶意软件扫描:
-
扫描 HTTP:对 HTTP 流量启用防恶意软件扫描。
-
扫描 FTP:在 FTP 下载时启用防恶意软件扫描。
-
扫描 SMTP:对 SMTP 邮件附件 启用防恶意软件扫描并选择要执行的处理措施。
-
移除感染:删除受感染的附件并将电子邮件发送给收件人。
-
传递消息:将电子邮件发送给收件人,附件完好无损。
注意
对于 “ 删除感染 ” 和 “ 传递邮件 ” 操作,电子邮件主题行前面带有 “[VIRUS]”。
-
屏蔽消息:电子邮件被屏蔽且未发送给收件人。
-
您可以在 Citrix SD-WAN Orchestrator 服务上查看详细的反恶意软件扫描报告。有关更多详细信息,请参阅 报告-防恶意软件。
边缘安全防火墙策略
边缘安全功能是使用防火墙策略触发的。您可以为匹配类型 IP 协议 定义防火墙策略,并将安全配置文件映射到该策略。如果传入流量符合筛选条件,则会触发检查操作,并应用根据所选安全配置文件配置的安全功能。
Citrix SD-WAN 以“首次匹配”的方式评估防火墙策略,其中第一个匹配策略决定了操作。必须按以下顺序配置防火墙策略:
- 具有非检查操作的 IP 协议、Office 365 和 DNS 应用程序防火墙策略
- 边缘安全防火墙策略(带检查操作的 IP 协议防火墙策略)
- 应用防火墙策略
要配置防火墙策略并启用 Edge 安全,请导航到 配置 > 安全 > 防火墙策略 ,然后单击 创建新规则。
选择 “ 匹配类型 ” 作为 IP 协议 并配置筛选条件。有关更多信息,请参阅 防火墙策略。选择 “ 检查(对于 IP 协议) ” 操作并选择安全配置文件。
注意
虽然您可以创建的安全配置文件数量没有限制,但您最多只能为一个站点分配 32 个 Inspect 防火墙策略。