边缘安全
Citrix SD-WAN Edge 安全功能可在 Citrix SD-WAN 分支设备上启用高级安全性。它通过为各种安全功能提供单一的管理和报告窗格以及 SD-WAN,从而简化了保护分支网络免受互联网威胁的信息安全管理。它通过在单个设备上整合路由、SD-WAN 和安全功能,消除了对多分支机构解决方案的需求,并降低了网络复杂性和成本。
边缘安全堆栈包括以下安全功能:
- Web 过滤
- 反恶意软件
- 入侵防护
- SSL 检查
Citrix SD-WAN 高级版设备上提供边缘安全功能。有关版本的更多信息,请参阅 Citrix SD-WAN 平台版本 和 Citrix SD-WAN 平台软件支持。有关支持的设备的更多信息,请参阅 Citrix SD-WAN 数据表。
注意
Citrix SD-WAN 1100 SE、SD-WAN 210 SE、210 SE LTE 和 410 SE 设备现在支持带有高级安全附加许可证的高级边缘安全功能。从 Citrix SD-WAN 11.3.1.1000 版本起,210 个平台均支持高级安全附加许可证。高级安全吞吐量取决于您的高级安全附加许可证。超出您的安全附加许可证支持的吞吐量的高级安全吞吐量请求将被删除。
在 “故障到线” 部署模式下不支持高级边缘安全功能。建议使用 Gateway 或 “故障到块” 部署模式。
由于边缘安全功能对计算具有敏感性,Citrix 建议您仅在尚未安装下一代防火墙解决方案的分支站点使用高级版设备。
在配置具有 Edge Security 功能的分支站点时,请确保选择支持高级版的 设备型号 且 设备版本 为 AE。有关添加和配置站点的更多详细信息,请参阅 站点配置。
Citrix SD-WAN Orchestrator 服务允许您为 Edge Security 功能定义安全配置文件并将这些安全配置文件与防火墙策略关联起来。防火墙策略得到了增强,可以接受指定高级安全功能的安全配置文件参数。
注意
您只能通过 Citrix SD-WAN Orchestrator 服务创建安全配置文件和配置边缘安全功能。
安全档案
安全配置文件是一组特定的边缘安全选项,应用于防火墙策略定义的特定流量段。目的是保护流量免受安全威胁。例如,您可以为网络的不同段定义具有不同级别的安全性和访问权限的安全配置文件。您可以为每个安全配置文件启用和配置 Web 过滤、防恶意软件和入侵防护设置。
然后,安全配置文件将与防火墙策略相关联,以设置要检查的流量的条件。例如,在组织中,您可以为员工子网和来宾防火墙区域创建不同的安全配置文件。然后,您可以将安全配置文件分配给适当的防火墙策略,以分别匹配员工和来宾流量。
要创建安全配置文件,请在网络级别导航到 配置 > 安全 > 安全配置文件,然后单击添加安全配置文件。
提供安全配置文件的名称和描述。根据需要启用和配置 Web 过滤、防恶意软件和入侵防护设置。
Web 过滤
Web 筛选允许您通过分类数据库筛选网络用户访问的网站,该数据库包括大约 32 亿个 URL 和 7.5 亿个域。它可以防止暴露于不适当的站点、间谍软件、网络钓鱼、欺诈、网站重定向和其他互联网威胁。它还可以强制执行互联网策略,阻止访问社交媒体、点对点沟通、赌博以及公司政策经常禁止的其他网站。Web Filter 监控网络上的互联网流量,并通过记录 Web 活动以及标记或阻止不当内容来过滤流量。
当您访问网站并启用 Web 筛选时,该 URL 将发送到云数据库进行分类。
注意
配置有效的 DNS 服务器并通过 SD-WAN 管理界面启用 HTTPS 互联网访问。这使得云数据库可访问,因此 Web 筛选可以正常运行。
然后,分类结果将缓存在 SD-WAN 设备上,以提高未来请求的处理速度。然后,结果将用于标记、阻止或允许网站,而不会增加加载时间。您可以添加规则来阻止或绕过未分类或错误分类的站点,或者配置例外。您也可以绕过针对特定用户 IP 或子网的 Web 筛选。
块/旗类别
您可以标记或阻止不同类别的网站。Web 筛选将 URL 分为六个类别组:IT 资源、其他、隐私、工作效率、安全和敏感。这些组中的每个组都有不同的 URL 类别。当你选择阻止选项时,它也会隐式标记网站。当您尝试访问被阻止的类别的网站时,该网站将被标记为违规,该网站将被阻止。标记的类别允许您访问网站,但事件会被标记为违规。您可以在 安全日志 或 报告中查看详细信息。
块/标志网站
您可以添加规则以阻止或标记类别部分中的设置允许的特定站点。您还可以阻止/标记未分类或错误分类的站点。输入域名,提供描述,然后选择 “ 屏蔽 ” 或 “ 标记”。在 “ 屏蔽/举报站点 ” 列表中对 URL 的决定优先于基于网站类别的决定。
注意
- 您只能添加完全限定域名 (FQDN),例如- somedomain.com。你无法添加 URL 路径,例如- somedomain.com/path/to/file。
- 添加到阻止/标记站点的任何域名也包含其子域名。例如,添加 domain.com 将封锁/标记 s ubdomain1.domain.com、s**ubdomain2.domain.com和 s ubdomainlevel2.subdomainlevel1.domain.com。
绕过网站
您可以添加规则以允许被阻止的类别中的特定站点。允许添加到 “ 绕过站点 ” 列表中的任何域,即使该域是按类别或单个 URL 屏蔽的。输入域名并提供描述。选择 “ 激活 ” 以允许使用 URL。
注意
- 您只能添加完全限定域名 (FQDN),例如- somedomain.com。你无法添加 URL 路径,例如- somedomain.com/path/to/file。
- 添加到绕过站点的任何域名也包括其子域名。例如,添加 domain.com 会绕过 s ubdomain1.domain.com、s**ubdomain2.domain.com和 s ubdomainlevel2.subdomainlevel1.domain.com。
绕过客户端 IP
您可以添加规则以绕过针对特定 IP 地址或子网的 Web 过滤。您可以提供 IP 地址或子网 CIDR 表示法和有意义的描述。无论被屏蔽的类别或站点如何,网络过滤器都不会阻止任何流量。选择 “ 活动 ” 以允许来自这些 IP 地址的流量。
注意
由于 DHCP IP 可以更改,因此只能对具有静态 IP 或子网的客户端使用此功能。
高级选项
HTTPS 选项
如果未配置 SSL 检查或流量与 “忽略 SSL 检查规则” 相匹配,则会考虑 HTTPS 选项进行 Web 过滤。在这些情况下,虽然看不到完整的 URL,但可能仍会根据服务器名称指示 (SNI)、服务器证书或 IP 地址执行 Web 过滤:
-
按服务器名称指示 (SNI) 信息(如果有)处理 HTTPS 流量:SNI 是传输层安全 (TLS) 协议的扩展,客户端通过该协议指示用户在安全连接握手过程开始时尝试连接的网站的名称。
这不仅使服务器能够提供正确的证书,而且 SD-WAN 设备可以识别目标网站并确定其 URL 类别,即使端到端通信已加密也是如此。如果启用此选项,则使用 HTTPS 数据流中的 SNI 对 HTTPS 流量进行分类(如果存在)。
注意
默认情况下,“ 通过 SNI 处理 HTTPS 流量 ” 选项处于启用状态。
-
当 SNI 信息不存在时,按服务器证书中的主机名处理 HTTPS 流量:如果启用此选项但不存在 SNI 信息,则从 HTTPS 服务器获取证书,并将证书上的服务器名称用于分类和筛选目的。
-
如果 SNI 和证书主机名信息均不可用,则按服务器 IP 处理 HTTPS 流量:如果启用此选项且之前的选项均不起作用,则使用 IP 地址对 HTTPS 流量进行分类。
安全浏览选项
在 “高级选项”下,添加了以下安全浏览选项,您可以根据需要选择/取消选择这些选项:
-
在常用搜索引擎上强制执行安全搜索:使用支持的搜索引擎对所有搜索强制执行安全搜索。例如,谷歌、雅虎!、Bing、Ask 等。
-
在 YouTube 上强制执行限制模式:限制模式适用于所有 YouTube 内容。限制模式是一种故意限制您的YouTube体验的选项。
-
通过适合儿童的搜索引擎进行强制搜索:热门搜索引擎中的所有搜索都将通过 kidzsearch.com 重定向。KidzSearch.com是一个由谷歌自定义搜索提供支持的门户网站,具有学术自动完成功能,强调儿童安全。
注意
只有在相关流量经过 SSL 检查时,安全浏览才会生效。为此,请确保为相应的安全配置文件开启了 SSL 检查 ,并且未禁用搜索引擎和 YouTube 的 检查 规则。
块选项
-
阻止 QUIC(UDP 端口 443):防火墙阻止 UDP 端口 443 上的任何传出通信,该端口通常用于 QUIC 协议,Web 过滤模块无法处理该协议。阻止 QUIC 会导致浏览器回退到基于 TCP 的 HTTP (S) 通信。
-
屏蔽来自仅限 IP 的主机的页面:用户输入 IP 地址而不是域名将被屏蔽。
-
如果反向链接与任何 “绕过站点” 匹配,则允许:如果允许通过 B ypass URL 访问包含外部内容的页面,则无论其他封禁策略如何,外部内容都会被传递。
注意
尽管此选项允许您访问外部网站,但它会带来安全风险。浏览器加载项和插件可以覆盖 HTTP 标头中的反向链接选项。Citrix 建议您谨慎地使用此选项。
-
在不重定向到屏蔽页面的情况下关闭被阻止的 HTTPS 会话的连接: 如果 URL 被阻止,SD-WAN 设备会向自定义屏蔽页面发出 HTTP 重定向。但是,如果不导致中间人 (MitM) 会话终止,则无法进行此重定向,并显示无效的证书浏览器警告页面。此选项会导致 HTTPS 会话被终止,以防止对目标网站发生潜在攻击的错误警告。
注意
默认情况下,此选项处于启用状态。启用后,并非所有 HTTPS 流量都得到 SSL 检查处理。
-
用于屏蔽的自定义 URL: 设置外部服务器位置,以便在 Web Filter 拒绝用户访问网站时重定向用户。如果配置了自定义 URL,则会传递以下查询字符串变量,以便接收系统可以自定义其内容。
-
原因:用户被拒绝访问的原因。这是 基于网络+电子邮件的类别名称,也是较长的类别描述。例如, 网站+优惠+基于Web+email+和+Email+Client s( 空 格字符替换为 “+”),以防网站因其类别被封锁。否则,如果由于“阻止 URL”而被阻止,则为空。
-
appname:负责拒绝(Web 过滤)的应用程序。
-
appid:应用程序标识符,用于网络过滤的内部标识符,可以忽略)。
-
主机:拒绝最终用户访问的 URL 的域名。
-
客户端地址:被拒绝访问的最终用户的 IP 地址。
-
url:请求的被拒绝访问的 URL。
-
注意
如果您不使用自己的网页处理拒绝,则内置拒绝会发出重定向到不可路由的 IP 地址。
您可以在 Citrix SD-WAN Orchestrator 服务上查看详细的 Web 筛选报告。有关更多详细信息,请参阅 报告-Web 过滤
入侵防护
入侵防护可检测并防止网络中的恶意活动。它包括一个包含 34,000 多个签名检测和端口扫描启发式签名的数据库,使您能够有效地监控和阻止大多数可疑请求。在定义安全配置文件时,您可以选择启用或禁用 IPS 。启用 IPS 时,它会根据签名检查网络流量,签名取决于站点,由 IPS 配置文件站点映射确定。有关创建、管理 IPS 配置文件并将其与站点关联的更多信息,请访问 入侵防护。
注意
入侵防护仅检测通过各自防火墙策略捕获的流量的恶意流量。
您可以在 Citrix SD-WAN Orchestrator 服务上查看详细的入侵防护报告。有关更多详细信息,请参阅 报告-入侵防御。
反恶意软件
Edge Security 反恶意软件可扫描并根除病毒、木马和其他恶意软件。反恶意软件可以扫描网络中的 HTTP、FTP 和 SMTP 流量,并根据已知特征码和文件模式的数据库进行检查以发生感染。如果未检测到感染,则会将流量发送给收件人。如果检测到感染,反恶意软件会删除或隔离受感染的文件并通知用户。
Anti-Malware 使用 Bitdefender 的引擎结合使用签名数据库、可疑模式的启发式方法和动态仿真器分析来扫描下载的文件。如果其中任何测试失败,下载文件将被阻止。
在不扫描的情况下绕过 URL
对于可信的内部站点或外部站点,您可以绕过反恶意软件扫描,这些站点用于定期更新、生成更多流量并被认为是安全的。通过允许受信任的站点在不扫描的情况下通过,您可以减少扫描这些站点所花费的资源。
输入 URL,提供简短描述,然后将 URL 添加到绕过 URL 列表中。
按文件类型扫描
默认情况下,反恶意软件支持扫描 HTTP 流量中的 41 个文件类型扩展。反恶意软件扫描涉及通过签名、启发式和仿真进行深入分析,使其成为计算敏感的过程。
您也可以添加新的文件类型。要添加新的文件类型,请单击 “ 管理 ” > “提供 文件类型 和 描述 ” > 单击 “ 添加”。选中 “ 扫描 ” 复选框以包括用于防恶意软件扫描的文件类型。清除无需 扫描 的文件类型的 “扫描” 复选框。如有必要,您还可以编辑或删除文件类型。
注意
默认情况下选择的文件类型在反恶意软件有效性和系统性能之间取得平衡。启用更多文件类型、增加边缘安全处理负载并损害整体系统容量。
按 MIME 类型扫描
多用途互联网邮件扩展程序 (MIME) 类型是基于性质和格式描述互联网文件内容的互联网标准。与文件类型类似,您还可以添加某些 MIME 类型并选择将其排除在防恶意软件扫描之外。
要添加 MIME 类型,请单击 “ 管理 ” > 在 “MIME 类型” 字段中添加 MIME 类型 并提供 描述 > 单击 “ 添加”。选中 “ 扫描 ” 复选框以包括用于防恶意软件扫描的 MIME 类型。清除无需 扫描 的 MIME 类型的 “扫描” 复选框。如有必要,您还可以编辑或删除 MIME 类型。
注意
选择默认情况下选择的 MIME 类型是为了在反恶意软件的有效性和系统容量之间取得平衡。启用更多文件类型会增加 Edge Security 处理负载并影响整体系统容量。
其他扫描选项
您可以选择在以下 Internet 协议上启用或禁用反恶意软件扫描:
-
扫描 HTTP:对 HTTP 流量启用防恶意软件扫描。
-
扫描 FTP:在 FTP 下载时启用防恶意软件扫描。
-
扫描 SMTP:对 SMTP 邮件附件 启用防恶意软件扫描并选择要执行的处理措施。
-
移除感染:删除受感染的附件并将电子邮件发送给收件人。
-
传递消息:将电子邮件发送给收件人,附件完好无损。
注意
对于 “ 删除感染 ” 和 “ 传递邮件 ” 操作,电子邮件主题行前面带有 “[VIRUS]”。
-
屏蔽消息:电子邮件被屏蔽且未发送给收件人。
-
您可以设置外部服务器位置,以便在用户被防恶意软件拒绝访问网站时重定向用户。选中 “ 屏蔽页面” 复选框。
-
自定义屏蔽页面 URL:创建自定义重定向页面。如果配置了自定义 URL,则会传递以下查询字符串变量,以便接收系统可以自定义其内容。
- 主机:拒绝最终用户访问的 URL 的域名。
- URL:请求的被拒绝访问的 URL。
注意
如果您不使用自己的网页来处理拒绝,则内置的拒绝会重定向到不可路由的 IP 地址。
您可以在 Citrix SD-WAN Orchestrator 服务上查看详细的反恶意软件扫描报告。有关更多详细信息,请参阅 报告-防恶意软件。
SSL 检查
安全套接字层 (SSL) 检查是拦截、解密和扫描 HTTPS 和安全 SMTP 流量中是否存在恶意内容的过程。它可以执行以下操作:
- 扫描恶意软件
- 对完整的 URL 路径执行 URL 过滤,而不是仅对顶级域执行 URL 过滤
- 将用户重定向到 HTTPS 流量的自定义屏蔽页面,类似于 HTTP 流量
注意
Citrix SD-WAN 11.3.0 版本以后支持 SSL 检查。
您可以启用 SSL 检查并创建 SSL 规则作为安全配置文件的一部分。SSL 规则允许定义处理 HTTPS 和安全 SMTP 流量的条件。在配置 SSL 规则之前,请确保您已配置组织的根 CA 并将根 CA 部署到客户端设备。有关配置根 CA 的信息,请参阅 安全。
在 SSL 检查 选项卡上,选择 启用 SSL 检查器 以启用 SSL 检查。单击 “ 新建规则 ” 并提供描述。选择以下条件之一:
- SSL 检查器:SNI 主机名:根据服务器名称指示器 (SNI) 主机名定义 SSL 规则。
- SSL 检查器:证书主题:定义基于 SSL 证书的 SSL 规则。
- SSL 检查器:证书颁发者:根据证书颁发者是谁来定义 SSL 规则。
选择 操作 并提供符合条件的 值 。选择以下 操作之一:
- 检查:符合选定规则条件的流量经过 SSL 检查。
- 忽略:符合选定规则条件的流量不经过 SSL 检查,允许畅通无阻地流动。仍然可以执行基于 SNI 的基本网页过滤。
启用 该规则,然后单击 “ 完成”。
在完成 SSL 检查配置之前,请考虑以下事项:
- SSL 检查是一种计算敏感型操作,可将边缘安全吞吐量降低多达 70%。建议您有选择地检查而不是有选择地忽略。默认配置通过启用 “ 忽略所有流量 ” 作为回退规则来反映选择性检查。
- 网页过滤 安全浏览选项 需要对搜索引擎和 YouTube 流量进行 SSL 检查。如果您计划使用安全浏览选项,则不得禁用或删除相应的默认规则。
边缘安全防火墙策略
边缘安全功能是使用防火墙策略触发的。您可以为匹配类型 IP 协议 定义防火墙策略并将其映射到安全配置文件。如果传入流量符合筛选条件,则会触发检查操作,并应用根据所选安全配置文件配置的安全功能。
Citrix SD-WAN 以“首次匹配”的方式评估防火墙策略,其中第一个匹配策略决定了操作。必须按以下顺序配置防火墙策略:
- 具有非检查操作的 IP 协议、Office 365 和 DNS 应用程序防火墙策略
- 边缘安全防火墙策略(带检查操作的 IP 协议防火墙策略)
- 应用防火墙策略
要配置防火墙策略并启用边缘安全,请导航到 配置 > 安全 > 防火墙配置文件 ,然后根据您的喜好添加配置文件。单击 “ 创建新规则”。选择 “ 匹配类型 ” 作为 IP 协议 并配置筛选条件。有关更多信息,请参阅 防火墙配置文件。选择 “ 检查(对于 IP 协议) ” 操作并选择安全配置文件。
注意
虽然您可以创建的安全配置文件数量没有限制,但您最多只能为一个站点分配 32 个 Inspect 防火墙策略。
限制
- 为升级到高级版 (AE) 的 Citrix SD-WAN 标准版 (SE) 设备下载该设备软件需要更长的时间。AE 设备的 Edge Security 子系统是单独捆绑的,以防止对 SE 设备的下载大小产生任何影响。
- Citrix SD-WAN Edge Security Web 筛选只能检查 HTTPS 站点的服务器名称指示 (SNI),以决定是阻止、标记还是允许流量。
- Citrix SD-WAN Edge Security 的 Citrix SD-WAN Orchestrator 服务无法提供外部 syslog 服务器支持。