常见问题解答
问:Citrix Secure Web Gateway (SWG) 支持哪些硬件平台?
答:Citrix SWG 可在以下硬件平台上使用:
- Citrix SWG MPX 14020/14030/14040
- Citrix SWG MPX 14020-40G/14040-40G
- Citrix SWG MPX 14060-40S/14080-40S/14100-40S
- Citrix SWG MPX 5901/5905/5910
- Citrix SWG MPX/SDX 8905/8910/8920/8930
- 所有基于 Cavium N2 和 N3 的 SDX 平台
问:在 SWG 设备上创建代理时,我可以设置哪两种捕获模式?
答:SWG 解决方案支持显式和透明的代理模式。在显式代理模式下,客户端必须在浏览器中指定 IP 地址和端口,除非组织将设置推送到客户端的设备上。此地址是在 SWG 设备上配置的代理服务器的 IP 地址。顾名思义,透明代理对客户端是透明的。SWG 设备是在内联部署中配置的,设备以透明方式接受所有 HTTP 和 HTTPS 流量。
问:Citrix SWG 是否有配置向导?
答:是。该向导位于配置实用程序中的 SWG 节点上。
问:配置 Citrix SWG 时使用哪些 Citrix ADC 功能?
答:响应程序、AAA-TM、内容切换、SSL、转发代理、SSL 拦截和 URL 过滤。
问:Citrix SWG 支持哪些身份验证方法?
答:在显式代理模式下,支持 LDAP、RADIUS、TACACS+ 和 NEGOTIATE 身份验证方法。在透明模式下,仅支持 LDAP 身份验证。
问:是否有必要在客户端设备上安装 CA 证书?
答:是。Citrix SWG 设备模拟源服务器证书。此服务器证书必须由受信任的 CA 证书签名,该证书必须安装在客户端的设备上,以便客户端能够信任重新生成的服务器证书。
问:我可以在 Citrix SWG 平台上使用 Citrix ADC 平台许可证吗?
答:不。Citrix SWG 平台需要自己的平台许可证。
问:Citrix Secure Web Gateway 部署是否支持 HA?
答:是。
问:哪个文件包含 Citrix SWG 的日志?
答:ns.log 文件记录 Citrix SWG 信息。必须使用 CLI 或 GUI 启用日志记录。在命令提示窗口中, 键入 set syslogparams -ssli Enabled。
在 GUI 中,导航到系统 > 审核。在设置中,单击更改审核系统日志设置。选择 SSL 截获。
问:我可以使用哪些 nsconmsg 命令来解决问题?
答:您可以使用以下一个或两个命令:
nsconmsg -d current -g ssli
nsconmsg -d current -g err
问:如果证书捆绑包是内置的,我该如何获取更新?
答:版本中包含最新的捆绑包。有关更新,请联系 Citrix 支持。
问:可以在 Citrix ADM from Citrix SWG 上捕获数据吗?
答:是。必须在 Secure Web Gateway 向导中启用 Analytics 。
重要:请务必使用同一个12.0 内部版本的 MAS 和 SWG。
问:什么是 URL 过滤服务?
答:URL 过滤是一种 Web 内容过滤器,用于控制对受限制的 Web 页面列表的访问权限。此过滤器基于 URL 类别、类别组和信誉分数限制用户访问 Internet 上不适宜的内容。网络管理员可以监视 Web 流量,并阻止用户访问非常危险的 Web 站点。您可以通过使用 URL 分类或基于策略实施的 URL 列表功能来实现此功能。有关详细信息, 请参阅 URL 过滤 主题。
问:URL 过滤如何适合 Citrix SWG?
答. URL 过滤利用 Citrix SWG 设备来控制对特定 Web 站点的访问。位于网络边缘的 SWG 设备用作代理,用来截获 Web 流量以及执行身份验证、检查、缓存和重定向等操作。此过滤器随后将控制使用 URL 分类或 URL 列表功能对 Web 站点的访问,并采用策略实施。
问:URL 分类数据库多久更新一次?
答:如果您使用 URL 分类功能控制对受限 Web 站点的访问,您必须定期使用基于云的供应商服务的最新数据更新分类数据库。要更新数据库,Citrix SWG GUI 允许您配置 URL 过滤参数,例如数据库更新之间的小时数” 或 “更新数据库的每日时间。
问:今天哪些用例最适合 URL 过滤服务?
答. 以下是面向企业客户的一些目标使用案例:
问:URL 分类服务中的缓存是否有内存限制?
答:是。缓存的内存限制设置为 10 GB,您只能通过 CLI 界面进行配置。
问:如果没有类别与传入请求匹配,URL 分类数据库将返回什么?
答:如果传入的请求与类别不匹配或 URL 格式错误,设备将该 URL 标记为 “未分类”,然后将请求发送到分类供应商维护的基于云的服务。设备继续监视云查询反馈并更新缓存,以便将来的请求可以从云查找中受益。
问:URL 信誉分数是什么,您如何基于信誉分数控制对恶意 Web 站点的访问?
答:URL 信誉分数是 Citrix SWG 分配给 Web 站点的等级。此值的范围为 1 到 4,其中 4 为恶意 Web 站点,1 为干净的 Web 站点。如果网络管理员监视了访问高风险 Web 站点的用户,则将根据您在 Citrix SWG 设备上配置的 URL 信誉分数和安全级别来控制对这些站点的访问权限。有关详细信息,请参阅URL 信誉分数。
问:如果您使用 URL 集(但不正确过滤特定 Web 站点)过滤 Web 站点,启用卓越 Web 站点的过程是什么?
答. URL 过滤使用响应程序策略控制对 Web 站点的访问。要将特定 URL 列入白名单作为例外情况,请在 SWG 向导中创建一个 patset 策略,然后使用 “允许” 操作添加特殊 URL。创建策略后,退出向导并执行以下步骤:
要使用 Citrix SWG GUI 更改策略表达式的优先级,请执行以下操作:
- 登录 Citrix SWG 设备并导航到 Secure Web Gateway > 代理虚拟服务器。
- 在详细信息页面中,选择一个服务器,然后单击 编辑。
- 在“代理虚拟服务器”页面中,转到“策略”部分,然后单击铅笔图标以编辑详细信息。
- 选择 Patset 策略,然后在策略绑定页面中,指定低于其他绑定策略的优先级值。
- 点击 绑定 并 完成 。
问:使用 Citrix SWG URL 过滤功能的主要好处是什么?
答:URL 过滤功能易于部署、配置和使用。它提供了以下好处,并允许企业客户:
- 监视 Web 流量和用户事务
- 过滤恶意软件和互联网传播的安全威胁。
- 控制恶意 Web 站点的未经授权访问。
- 强制执行企业安全策略以控制对受限数据的访问。
问:如果您使用 URL 列表功能过滤 Web 站点,如何编辑 URL 列表策略?
答:您可以通过 Citrix SWG 向导修改 URL 列表策略,方法是覆盖或删除绑定到响应程序策略的导入列表。
问:与 URL 关联的元数据包含什么?
答:分类数据库中的每个 URL 都有一个与之关联的元数据。元数据包含 URL 类别、类别组和信誉评分信息。例如,如果 URL 是购物门户网站,则元数据将分别为 “购物”、“购物/零售” 和 1。
使用以下表达式获取传入 URL 的这些值。这些表达式如下:
URL_CATEGORIZE(0,0).CATEGORY
URL_CATEGORIZE(0,0).GROUP
URL_CATEGORIZE(0,0).REPUTATION
问:URL 分类功能需要什么类型的许可证和订阅?
答:URL 分类功能需要使用 Citrix SWG 版的 URL 威胁智能订阅服务(可用一年或三年)。
问:我可以配置 URL 过滤的方法是什么?
答:配置 URL 过滤的方法有两种。您可以通过 Citrix SWG 命令界面或 Citrix SWG 向导执行此操作。Citrix 建议您使用向导配置筛选策略。
问:您可以阻止哪些类型的 URL 类别?
答:URL 分类数据库包含数百万个包含元数据的 URL。管理员可以配置响应程序策略来决定可以阻止哪些 URL 类别以及允许用户访问哪些 URL 类别。有关 URL 类别映射的信息,请参阅 映射类别 页面。
问:如果我们无法访问使用 WebSocket 的源服务器,我们该怎么办,例如 whatsapp
您必须在默认 HTTP 配置文件中启用 WebSocket。
在 CLI 中,键入:
> set httpprofile nshttp_default_profile -webSocket ENABLED
什么是会计师协会?
ICAP 代表互联网内容适应协议。
Citrix SWG 的哪个版本支持 ICAP?
Citrix SWG 版本 12.0 版本 57.x 及更高版本支持 ICAP。
Citrix SWG 支持哪两种 ICAP 模式?
支持请求修改 (REQMOD) 模式和响应修改 (RESPMOD) 模式。
ICAP 的默认端口是什么?
1344.