用例:使企业 Internet 接入合规且安全
财务组织中的网络安全主管希望以恶意软件形式从 Web 抵御来自 Web 的任何外部威胁来保护企业网络。要执行此操作,主管需要在其他情况下能够看到其他跳过加密流量的情况,并控制对恶意 Web 站点的访问。董事必须执行以下操作:
- 拦截并检查进出企业网络的所有流量,包括 SSL/TLS(加密流量)。
- 跳过截获包含敏感信息的 Web 站点的请求,例如,用户财务信息或电子邮件。
- 阻止访问被识别为有害或成人内容的有害 URL。
- 确定企业中的最终用户(员工),这些用户在访问恶意 Web 站点时阻止这些用户的 Internet 访问权限或阻止使用有害的 URL。
为了实现上述所有目标,主管可以在组织中的所有设备上设置代理,并将其指向 Citrix Secure Web Gateway (SWG),后者充当网络中的代理服务器。代理服务器拦截通过企业网络传递的所有加密和未加密的流量。它会提示用户进行身份验证,并将流量与用户关联。可以指定 URL 类别以阻止对非法的或有害、成人、恶意软件和垃圾 Web 站点的访问。
要实现上述目标,请配置以下实体:
- DNS 名称服务器来解析主机名。
- 子网 IP (SNIP) 地址,用于与源服务器建立连接。SNIP 地址应具有 Internet 访问权限。
- 代理服务器以显式模式拦截所有出站 HTTP 和 HTTPS 流量。
- SSL 配置文件来定义连接的 SSL 设置,例如密码和参数。
- CA 证书 - 密钥对用于为 SSL 截获签名服务器证书。
- 用于定义要截获并跳过的 Web 站点的 SSL 策略。
- 身份验证虚拟服务器、策略和操作,以确保只授予有效用户的访问权限。
- 将数据发送到 Citrix Application Delivery Management (ADM) 的应用程序流收集器。
此示例配置列出 CLI 和 GUI 过程。使用以下示例值。将它们替换为 IP 地址、SSL 证书和密钥以及 LDAP 参数的有效数据。
| 名称 | 示例配置中使用的值 |
|---|---|
| NSIP 地址 | 192.0.2.5 |
| 子网 IP 地址 | 198.51.100.5 |
| LDAP 虚拟服务器 IP 地址 | 192.0.2.116 |
| DNS 名称服务器 IP 地址 | 203.0.113.2 |
| 代理服务器 IP 地址 | 192.0.2.100 |
| MAS IP 地址 | 192.0.2.41 |
| SSL 拦截的 CA 证书 | ns-swg-ca-certkey (certificate: ns_swg_ca.crt and key: ns_swg_ca.key) |
| LDAP 基本 DN | CN=Users,DC=CTXNSSFB,DC=COM |
| LDAP 绑定 DN | CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM |
| LDAP 绑定 DN 密码 | 齐兹 |
使用 Secure Web Gateway 向导配置对企业网络流量的侦听与检查
创建拦截和检查加密流量的配置以及进出网络的其他流量需要配置代理设置、SSLi 设置、用户身份验证设置和 URL 筛选设置。以下过程包括所输入值的示例。
配置 SNIP 地址和 DNS 名称服务器
-
在 Web 浏览器中,键入 NSIP 地址。例如
http://192.0.2.5。 -
在 User Name(用户名)和 Password(密码)中,键入管理员凭据。此时将显示以下屏幕。
-
单击内部子网 IP 地址部分,并输入 IP 地址。
-
单击完成。
-
在主机名、DNS IP 地址和时区部分中单击,并为这些字段输入值。
-
单击 完成 ,然后单击 继续 。
配置代理设置
-
导航到 Secure Web Gateway > Secure Web Gateway 向导。
-
点击 开始 ,然后点击 继续 。
-
在“代理设置”对话框中,输入显式代理服务器的名称。
-
对于 Capture Mode(捕获模式),请选择 Explicit(显式)。
-
输入 IP 地址和端口号。
-
单击继续。
配置 SSL 拦截设置
-
选择 Enable SSL Interception(启用 SSL 拦截)。
-
在 SSL 配置文件中,单击 “+” 以添加新的前端 SSL 配置文件,然后在此配置文件中启用 SSL 会话拦截 。
-
单击 确定,然后单击 完成。
-
在 选择 SSL 拦截 CA 证书密钥对中,单击 “+” 以安装用于 SSL 拦截的 CA 证书密钥对。
-
单击 安装 ,然后单击 关闭 。
-
添加用于拦截所有流量的策略。单击 绑定 ,然后单击 添加 。
-
输入策略的名称,然后选择“高级”。在表达式编辑器中,输入 true。
-
对于 操作,请选择 拦截。
-
单击创建,然后单击添加以添加其他策略以绕过敏感信息。
-
输入策略的名称,然后在 URL 类别中单击 添加。
-
选择 财务 和 电子邮件 类别并将其移动到 已配置 列表。
-
对于“操作”,请选择“绕过”。
-
单击创建。
-
选择之前创建的两个策略,然后单击“插入”。
-
单击继续。
配置用户身份验证设置
-
选择 启用用户身份验证。在 身份验证类型 字段中,选择 LDAP 。
-
添加 LDAP 服务器详细信息。
-
单击创建。
-
单击继续。
配置 URL 过滤设置
-
选择“启用 URL 分类”, 然后单击“绑定”。
-
单击添加。
-
输入策略的名称。对于 操作,请选择 拒绝。对于 URL 类别,选择“非法/有害”、“成人”和“恶意软件”和“垃圾邮件”,然后将它们移至“已配置”列表。
-
单击创建。
-
选择策略,然后单击 插入。
-
单击继续。
-
单击继续。
-
点击 启用分析。
-
输入 Citrix ADM 的 IP 地址和端口,指定 5557。
-
单击继续。
-
单击完成。
使用 Citrix ADM 查看用户的主要衡量指标,并确定以下各项:
- 企业中用户的浏览行为。
- 您企业中的用户访问的 URL 类别。
- 用于访问 URL 或域的浏览器。
使用此信息可确定用户的系统是否受到恶意软件的感染,或了解用户的带宽消耗模式。您可以对 Citrix SWG 设备上的策略进行微调,以限制这些用户或阻止某些更多的 Web 站点。有关在 MAS 上查看衡量指标的详细信息,请参阅MAS 用例中的“检查端点”用例。
注意
使用 CLI 设置以下参数。
set syslogparams -sslInterception ENABLED
set cacheparameter -memLimit 100
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
CLI 示例
以下示例包括用于配置拦截和检查进出企业网络的流量的所有命令。
一般配置:
add ns ip 192.0.2.5 255.255.255.0
add ns ip 198.51.100.5 255.255.255.0 -type SNIP
add dns nameServer 203.0.113.2
add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
set syslogparams -sslInterception ENABLED
set cacheparameter -memLimit 100
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
身份验证配置:
add authentication vserver explicit-auth-vs SSL
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1
<!--NeedCopy-->
代理服务器和 SSL 截获配置:
add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs
set ssl parameter -defaultProfile ENABLED
add ssl profile swg_profile -sslInterception ENABLED
bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey
set ssl vserver explicitswg -sslProfile swg_profile
add ssl policy ssli-pol_ssli -rule true -action INTERCEPT
bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->
URL 类别配置:
add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS
bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ
add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET
bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ
<!--NeedCopy-->
AppFlow 配置,用于将数据提取到 Citrix ADM 中:
add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream
set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED
add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED
add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act
bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1
<!--NeedCopy-->