SSL 拦截
为 SSL 截获配置的 Citrix Secure Web Gateway (SWG) 设备用作代理。它可以拦截和解密 SSL/TLS 流量,检查未加密的请求,并使管理员能够强制执行合规性规则和安全检查。SSL 截获使用用于指定要截获、阻止或允许的流量的策略。例如,不能截获进出财务 Web 站点的流量(例如银行),但可以截获其他流量,并且可以确定和阻止列入黑名单的站点。Citrix 建议您配置一个通用策略以拦截流量,并配置更具体的策略以绕过某些流量。
客户端和 Citrix SWG 代理建立 HTTPS/TLS 握手。SWG 代理与服务器建立另一个 HTTPS/TLS 握手并接收服务器证书。代理代理代表客户端验证服务器证书,并使用联机证书状态协议 (OCSP) 检查服务器证书的有效性。它会重新生成服务器证书,使用设备上安装的 CA 证书的密钥对其进行签名,然后将其呈现给客户端。因此,在客户端和 Citrix ADC 设备之间使用一个证书,在设备和后端服务器之间使用另一个证书。
重要
必须在所有客户端设备上预安装用于签署服务器证书的 CA 证书,以便客户端信任重新生成的服务器证书。
对于截获的 HTTPS 流量,SWG 代理服务器解密出站流量,访问明文 HTTP 请求,并可以使用任何第 7 层应用程序处理流量,例如通过查看纯文本 URL 以及根据公司策略和 URL 信誉允许或阻止访问。如果策略决策是允许访问源服务器,则代理服务器会将重新加密的请求转发到目标服务(在源服务器上)。代理解密来自源服务器的响应,访问明文 HTTP 响应,并有选择地将任何策略应用于响应。然后,代理会重新加密响应并将其转发给客户端。如果策略决策是阻止对源服务器的请求,则代理可以向客户端发送错误响应,例如 HTTP 403。
要执行 SSL 截获,除了以前配置的代理服务器外,还必须在 SWG 设备上配置以下各项:
- SSL 配置文件
- SSL 策略
- CA 证书存储
- SSL - 错误自动学习和缓存