常见问题解答
Q. Citrix Secure Web Gateway™ (SWG) 支持哪些硬件平台?
A. Citrix® SWG 可在以下硬件平台上使用:
- Citrix SWG MPX 14020/14030/14040
- Citrix SWG MPX 14020-40G/14040-40G
- Citrix SWG MPX 14060-40S/14080-40S/14100-40S
- Citrix SWG MPX 5901/5905/5910
- Citrix SWG MPX/SDX 8905/8910/8920/8930
- 所有基于 Cavium N2 和 N3 的 SDX 平台
Q. 在 SWG 设备上创建代理时,可以设置哪两种捕获模式?
A. SWG 解决方案支持显式代理模式和透明代理模式。在显式代理模式下,客户端必须在其浏览器中指定 IP 地址和端口,除非组织将设置推送到客户端设备。此地址是 SWG 设备上配置的代理服务器的 IP 地址。顾名思义,透明代理对客户端是透明的。SWG 设备配置为内联部署,并且该设备透明地接受所有 HTTP 和 HTTPS 流量。
Q. Citrix SWG 是否有配置向导?
A. 是的。该向导位于配置实用程序中的 SWG 节点上。
Q. 配置 Citrix SWG 时使用哪些 Citrix ADC 功能?
A. 响应程序、AAA-TM、内容交换、SSL、正向代理、SSL 拦截和 URL 过滤。
Q. Citrix SWG 支持哪些身份验证方法?
A. 在显式代理模式下,支持 LDAP、RADIUS、TACACS+ 和 NEGOTIATE 身份验证方法。在透明模式下,仅支持 LDAP 身份验证。
Q. 是否需要在客户端设备上安装 CA 证书?
A. 是的。Citrix SWG 设备模拟源服务器证书。此服务器证书必须由受信任的 CA 证书签名,该证书必须安装在客户端设备上,以便客户端可以信任重新生成的服务器证书。
Q. 我可以在 Citrix SWG 平台上使用 Citrix ADC 平台许可证吗?
A. 不能。Citrix SWG 平台需要其自己的平台许可证。
Q. Citrix Secure Web™ Gateway 部署是否支持 HA?
A. 是的。
Q. 哪个文件包含 Citrix SWG 的日志?
A. ns.log 文件记录 Citrix SWG 信息。您必须使用 CLI 或 GUI 启用日志记录。在命令提示符下,键入:set syslogparams -ssli Enabled。
在 GUI 中,导航到“System” > “Auditing”。在“Settings”中,单击“Change Auditing Syslog Settings”。选择“SSL Interception”。
Q. 我可以使用哪些 nsconmsg 命令来排查问题?
A. 您可以使用以下一个或两个命令:
nsconmsg -d current -g ssli
<!--NeedCopy-->
nsconmsg -d current -g err
<!--NeedCopy-->
Q. 如果证书捆绑包是内置的,我如何获取更新?
A. 最新捆绑包包含在版本中。有关更新,请联系 Citrix 支持。
Q. 可以从 Citrix SWG 在 Citrix ADM 上捕获数据吗?
A. 是的。您必须在 Secure Web Gateway 向导中启用“Analytics”。
重要提示:确保您正在为 MAS 和 SWG 使用相同的 12.0 版本。
Q. 什么是 URL 过滤服务?
A. URL 过滤是一种 Web 内容过滤器,用于控制对受限网站和网页列表的访问。该过滤器根据 URL 类别、类别组和信誉评分限制用户访问互联网上的不当内容。网络管理员可以监控 Web 流量并阻止用户访问高风险网站。您可以通过使用 URL 分类或 URL 列表功能(基于策略实施)来实现此功能。有关更多信息,请参阅 URL 过滤 主题。
Q. URL 过滤如何融入 Citrix SWG?
A. URL 过滤利用 Citrix SWG 设备来控制对特定网站的访问。网络边缘的 SWG 设备充当代理,拦截 Web 流量并执行身份验证、检查、缓存和重定向等操作。然后,该过滤器使用 URL 分类或 URL 列表功能(通过策略实施)来控制对网站的访问。
Q. URL 分类数据库多久更新一次?
A. 如果您使用 URL 分类功能来控制对受限网站的访问,则必须定期使用来自基于云的供应商服务的最新数据更新分类数据库。要更新数据库,Citrix SWG GUI 允许您配置 URL 过滤参数,例如“数据库更新间隔小时数”或“数据库更新时间”。
Q. 目前哪些用例最适合 URL 过滤服务?
A. 以下是一些针对企业客户的用例:
Q. URL 分类服务中的缓存是否有内存限制?
A. 是的。缓存的内存限制设置为 10 GB,您只能通过 CLI 界面进行配置。
Q. 如果没有类别与传入请求匹配,URL 分类数据库会返回什么?
A. 如果传入请求与任何类别不匹配或 URL 格式错误,设备会将该 URL 标记为“Uncategorized”,并将请求发送到由分类供应商维护的基于云的服务。设备会继续监控云查询反馈并更新缓存,以便未来的请求可以从云查找中受益。
Q. 什么是 URL 信誉评分?您如何根据信誉评分控制对恶意网站的访问?
A. URL 信誉评分是 Citrix SWG 分配给网站的评级。该值范围为 1 到 4,其中 4 是恶意网站,1 是干净网站。如果网络管理员监控用户访问高风险网站,则会根据您在 Citrix SWG 设备上配置的 URL 信誉评分和安全级别来控制对此类网站的访问。有关更多信息,请参阅 URL 信誉评分。
Q. 如果您使用 URL 集过滤网站但错误地过滤了特定网站,启用例外网站的流程是什么?
A. URL 过滤使用响应程序策略来控制对网站的访问。要将特定 URL 列入白名单作为例外,请在 SWG 向导中创建 patset 策略,并添加具有“允许”操作的例外 URL。创建策略后,退出向导并执行以下步骤:
要使用 Citrix SWG GUI 更改策略表达式的优先级:
- 登录到 Citrix SWG 设备并导航到“Secure Web Gateway” > “Proxy Virtual Servers”。
- 在详细信息页面中,选择一个服务器并单击“Edit”。
- 在“Proxy Virtual Servers”页面中,转到“Policies”部分并单击铅笔图标以编辑详细信息。
- 选择 patset 策略,并在“Policy Binding”页面中,指定低于其他绑定策略的优先级值。
- 单击“Bind”和“Done”。
Q. 使用 Citrix SWG URL 过滤功能的主要优势是什么?
A. URL 过滤功能易于部署、配置和使用。它提供以下优势,并允许企业客户:
- 监控 Web 流量和用户事务
- 过滤恶意软件和互联网传播的安全威胁。
- 控制对恶意网站的未经授权访问。
- 实施企业安全策略以控制对受限数据的访问。
Q. 如果您使用 URL 列表功能过滤网站,如何编辑 URL 列表策略?
A. 您可以通过 Citrix SWG 向导修改 URL 列表策略,方法是覆盖或删除绑定到响应程序策略的导入列表。
Q. 与 URL 关联的元数据包含什么?
A. 分类数据库中的每个 URL 都关联有元数据。元数据包含 URL 类别、类别组和信誉评分信息。例如,如果 URL 是购物门户,则元数据将分别为 Shopping、Shopping/Retail 和 1。
使用以下表达式获取传入 URL 的这些值。表达式如下:
URL_CATEGORIZE(0,0).CATEGORY
<!--NeedCopy-->
URL_CATEGORIZE(0,0).GROUP
<!--NeedCopy-->
URL_CATEGORIZE(0,0).REPUTATION
<!--NeedCopy-->
Q. URL 分类功能需要哪种类型的许可证和订阅?
A. URL 分类功能需要 URL 威胁情报订阅服务(可提供一年或三年),并与 Citrix SWG 版本配合使用。
Q. 我可以通过哪些方式配置 URL 过滤?
A. 配置 URL 过滤有两种方式。您可以通过 Citrix SWG 命令行界面或通过 Citrix SWG 向导进行配置。Citrix 建议您使用向导来配置过滤策略。
Q. 您可以阻止哪些类型的 URL 类别?
A. URL 分类数据库包含数百万个带有元数据的 URL。管理员可以配置响应程序策略来决定哪些 URL 类别可以被阻止,哪些 URL 类别可以允许用户访问。有关 URL 类别映射的信息,请参阅 映射类别 页面。
Q. 如果我们无法访问使用 WebSocket 的源服务器(例如 whatsapp),我们必须怎么做?
您必须在默认 HTTP 配置文件中启用 webSocket。
在 CLI 中,键入:
> set httpprofile nshttp_default_profile -webSocket ENABLED
<!--NeedCopy-->
什么是 ICAP?
ICAP 代表 Internet Content Adaption Protocol。
哪个版本的 Citrix SWG 支持 ICAP?
Citrix SWG 12.0 build 57.x 及更高版本支持 ICAP。
Citrix SWG 支持哪两种 ICAP 模式?
支持请求修改 (REQMOD) 模式和响应修改 (RESPMOD) 模式。
ICAP 的默认端口是什么?
1344.