Citrix Secure Web Gateway

SSL 拦截

September 29, 2025

投稿者:

C C

配置为 SSL 拦截的 Citrix Secure Web Gateway (SWG) 设备充当代理。它可以拦截和解密 SSL/TLS 流量，检查未加密的请求，并使管理员能够强制执行合规性规则和安全检查。SSL 拦截使用策略来指定要拦截、阻止或允许哪些流量。例如，往返于金融网站（如银行）的流量不得被拦截，但其他流量可以被拦截，并且可以识别和阻止黑名单站点。Citrix 建议您配置一个通用策略来拦截流量，并配置更具体的策略来绕过某些流量。

客户端和 Citrix SWG 代理建立 HTTPS/TLS 握手。SWG 代理与服务器建立另一个 HTTPS/TLS 握手，并接收服务器证书。代理代表客户端验证服务器证书，并使用在线证书状态协议 (OCSP) 检查服务器证书的有效性。它重新生成服务器证书，使用安装在设备上的 CA 证书密钥对其进行签名，并将其呈现给客户端。因此，客户端与 Citrix ADC 设备之间使用一个证书，设备与后端服务器之间使用另一个证书。

重要

用于签署服务器证书的 CA 证书必须预先安装在所有客户端设备上，以便客户端信任重新生成的服务器证书。

对于被拦截的 HTTPS 流量，SWG 代理服务器会解密出站流量，访问明文 HTTP 请求，并可以使用任何第 7 层应用程序来处理流量，例如通过查看明文 URL 并根据公司策略和 URL 信誉允许或阻止访问。如果策略决定允许访问源服务器，代理服务器会将重新加密的请求转发到目标服务（在源服务器上）。代理解密来自源服务器的响应，访问明文 HTTP 响应，并可选择性地将任何策略应用于响应。然后，代理重新加密响应并将其转发给客户端。如果策略决定阻止对源服务器的请求，代理可以向客户端发送错误响应，例如 HTTP 403。

要执行 SSL 拦截，除了之前配置的代理服务器外，您还必须在 SWG 设备上配置以下各项：

SSL 配置文件
SSL 策略
CA 证书存储
SSL 错误自动学习和缓存

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

NetScaler Secure Deployment Guide

SSL 拦截

September 29, 2025

投稿者:

C C

September 29, 2025

投稿者:

C C

在本文中

这是否有帮助？

NetScaler Secure Deployment Guide