Citrix® ADC MPX 和 VPX SWG 设备入门
安装硬件 (MPX) 或软件 (VPX) 设备并执行初始配置后,即可将其配置为安全 Web 网关设备以接收流量。
重要提示:
-
OCSP 检查需要 Internet 连接来检查证书的有效性。如果您的设备无法通过 NSIP 地址从 Internet 访问,请添加访问控制列表 (ACL) 以执行从 NSIP 地址到子网 IP (SNIP) 地址的 NAT。SNIP 必须可从 Internet 访问。例如,
add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255 set rnat a1 -natIP <SNIP> apply acls <!--NeedCopy--> - 指定 DNS 名称服务器以解析域名。有关详细信息,请参阅初始配置。
- 确保设备上的日期与 NTP 服务器同步。如果日期不同步,设备将无法有效验证源服务器证书是否已过期。
要使用 Citrix SWG 设备,必须执行以下任务:
- 以显式或透明模式添加代理服务器。
- 启用 SSL 拦截。
- 配置 SSL 配置文件。
- 添加 SSL 策略并将其绑定到代理服务器。
- 添加 CA 证书密钥对并将其绑定以进行 SSL 拦截。
注意:以透明代理模式配置的 Citrix SWG 设备只能拦截 HTTP 和 HTTPS 协议。要绕过任何其他协议(例如 telnet),必须在代理虚拟服务器上添加以下侦听策略。
虚拟服务器现在仅接受 HTTP 和 HTTPS 入站流量。
set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`
<!--NeedCopy-->
根据您的部署,可能需要配置以下功能:
- 身份验证服务(推荐)– 用于对用户进行身份验证。如果没有身份验证服务,用户活动将基于客户端 IP 地址。
- URL 过滤 – 按类别、信誉评分和 URL 列表过滤 URL。
- 分析 – 在 Citrix Application Delivery Management (ADM) 中查看用户活动、用户风险指标、带宽消耗和事务细分。
注意:SWG 实现了类似产品所遵循的大多数典型 HTTP 和 HTTPS 标准。此实现未考虑任何特定浏览器,并且与大多数常见浏览器兼容。SWG 已通过常见浏览器以及最新版本的 Google Chrome、Internet Explorer 和 Mozilla Firefox 进行了测试。
安全 Web 网关向导
SWG 向导为管理员提供了一个工具,用于通过 Web 浏览器管理整个 SWG 部署。它通过遵循一系列明确定义的步骤,帮助客户快速启动 SWG 服务并简化配置。
-
打开 Web 浏览器并输入您在初始配置期间指定的 NSIP 地址。有关初始配置的详细信息,请参阅初始配置。
-
键入您的用户名和密码。
-
如果您尚未指定子网 IP (SNIP) 地址,将显示以下屏幕。
在“子网 IP 地址”中,输入 IP 地址和子网掩码。绿色圆圈中的复选标记表示该值已配置。
-
在“主机名”、“DNS IP 地址”和“时区”中,添加 DNS 服务器的 IP 地址以解析域名,并指定您的时区。
-
单击“继续”。
-
(可选)您可能会看到一个感叹号,如下所示:
此标记表示该功能未启用。要启用该功能,请右键单击该功能,然后单击“启用功能”。
-
在导航窗格中,单击“安全 Web 网关”。在“入门”中,单击“安全 Web 网关向导”。
-
按照向导中的步骤配置您的部署。
向透明代理服务器添加侦听策略
-
导航到“安全 Web 网关”>“代理服务器”。选择透明代理服务器,然后单击“编辑”。
-
编辑“基本设置”,然后单击“更多”。
-
在“侦听优先级”中,输入 1。
-
在“侦听策略表达式”中,输入以下表达式:
(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443)) <!--NeedCopy-->此表达式假定 HTTP 和 HTTPS 流量使用标准端口。如果您配置了不同的端口(例如 HTTP 为 8080 或 HTTPS 为 8443),请修改表达式以反映这些端口。
限制
SWG 不支持群集设置、管理分区和 Citrix ADC FIPS 设备。