SSL 错误自动学习
如果学习模式处于开启状态,Citrix® SWG 设备会将一个域添加到 SSL 旁路列表中。学习模式基于从客户端或源服务器接收到的 SSL 警报消息。也就是说,学习取决于客户端或服务器是否发送警报消息。如果未发送警报消息,则不会进行学习。如果满足以下任一条件,设备将进行学习:
-
从服务器接收到客户端证书请求。
-
在握手过程中接收到以下任一警报:
BAD_CERTIFICATEUNSUPPORTED_CERTIFICATECERTIFICATE_REVOKEDCERTIFICATE_EXPIREDCERTIFICATE_UNKNOWN-
UNKNOWN_CA(如果客户端使用证书锁定,则在收到服务器证书时会发送此警报消息。) HANDSHAKE_FAILURE
要启用学习,您必须启用错误缓存并指定为此保留的内存。
使用 Citrix SWG GUI 启用学习
-
导航到“Secure Web Gateway”>“SSL”。
-
在“设置”中,单击“更改高级 SSL 设置”。
-
在“SSL 拦截”中,选择“SSL 拦截错误缓存”。
-
在“SSL 拦截最大错误缓存内存”中,指定要保留的内存(以字节为单位)。
-
单击“确定”。
使用 Citrix SWG CLI 启用学习
在命令提示符下键入:
set ssl parameter -ssliErrorCache ( ENABLED | DISABLED ) -ssliMaxErrorCacheMem <positive_integer>
参数
ssliErrorCache:
启用或禁用动态学习,并缓存学习到的信息,以便后续决定是拦截还是旁路请求。启用后,设备会执行缓存查找以决定是否旁路请求。
可能的值:`ENABLED, DISABLED`
默认值:`DISABLED`
ssliMaxErrorCacheMem:
指定可用于缓存学习数据的最大内存量(以字节为单位)。此内存用作 LRU 缓存,因此在达到设定的内存限制后,旧条目将被新条目替换。值为 0 时会自动决定限制。
默认值:0
最小值:0
最大值:4294967294
已复制!
失败!