SSL 错误自动学习

如果学习模式处于启用状态,Citrix SWG 设备将域添加到 SSL 绕过列表。学习模式基于从客户端或源服务器收到的 SSL 警报消息。也就是说,学习取决于发送警报消息的客户端或服务器。如果未发送警报消息,则无法学习。设备将了解是否满足以下任一条件:

  1. 从服务器接收客户端证书的请求。

  2. 作为握手的一部分,将收到以下任何一个警报:

    • BAD_CERTIFICATE
    • UNSUPPORTED_CERTIFICATE
    • CERTIFICATE_REVOKED
    • CERTIFICATE_EXPIRED
    • CERTIFICATE_UNKNOWN
    • UNKNOWN_CA(如果客户端使用固定,它会在收到服务器证书时发送此警报消息。)
    • HANDSHAKE_FAILURE

要启用学习,必须启用错误缓存并指定为此预留的内存。

使用 Citrix SWG GUI 启用学习

  1. 导航到 Secure Web Gateway > SSL

  2. 设置中,单击 更改高级 SSL 设置

  3. SSL 拦截中,选择 SSL 拦截错误缓存

  4. SSL 拦截最大错误缓存内存中,指定要保留的内存(以字节为单位)。

    本地化后的图片

  5. 单击确定

使用 Citrix SWG CLI 启用学习

在命令提示符下,键入:

set ssl parameter -ssliErrorCache ( ENABLED | DISABLED ) -ssliMaxErrorCacheMem <positive_integer>

参数

缓存

启用或禁用动态学习,并缓存学到的信息,以便后续决策拦截或绕过请求。启用后,设备将执行缓存查找以确定是否跳过请求。

可能的值:已启用、已禁用

默认值:已禁用

最大限度的误差

指定可用于缓存学习数据的最大内存(以字节为单位)。此内存用作 LRU 缓存,以便在设定的内存限制用完之后将旧条目替换为新条目。值 0 会自动决定限制。

默认值:0

最小值:0

最大值:4294967294
SSL 错误自动学习