边安全
思杰SD-WAN Edge安全功能可为思杰SD-WAN分支设备提供高级安全性。它通过为各种安全功能提供单一的管理和报告窗格以及SD-WAN,简化了保护分支网络免受互联网威胁的信息安全管理。它通过在单个设备上整合路由、SD-WAN和安全功能,消除了对多个分支解决方案的需求,并降低了网络复杂性和成本。
Edge安全堆栈包括以下安全功能:
- 网络过滤
- 反恶意软件
- 入侵预防
- SSL检验
边缘安全功能在Citrix SD-WAN高级版设备上可用。有关版本的更多信息,请参见Citrix SD-WAN平台版本和思杰SD-WAN平台软件支持。有关受支持设备的详细信息,请参阅思杰SD-WAN数据表。
请注意
思杰SD-WAN 1100 SE、SD-WAN 210 SE、210 SE LTE和410 SE设备现在支持带有Advanced Security附加许可证的Advanced Edge Security功能。从Citrix SD-WAN 11.3.1.1000版本开始,210个平台支持Advanced安全附加许可证。高级安全吞吐量取决于您的高级安全附加许可。超出您的安全附加组件许可支持的吞吐量的高级安全吞吐量请求将被丢弃。
在故障连接部署模式下不支持高级边缘安全功能。建议使用“网关”或“失败到阻断”部署模式。
由于Edge Security特性对计算非常敏感,Citrix建议您仅在没有下一代防火墙解决方案的分支站点上使用Advanced Edition设备。
在配置具有边缘安全功能的分支站点时,请确保a设备模型选择支持高级版的手机版是AE。有关添加和配置站点的详细信息,请参见网站配置。
Citrix SD-WAN Orchestrator服务允许您定义边缘安全功能的安全配置文件,并将这些安全配置文件与防火墙策略相关联。增强防火墙策略以接受指定高级安全功能的安全配置文件参数。
请注意
您只能通过Citrix SD-WAN Orchestrator服务创建安全配置文件和配置边缘安全特性。
安全性配置文件
安全配置文件是一组特定的边缘安全选项,应用于防火墙策略定义的特定流量段。其目的是保护流量免受安全威胁。例如,您可以为网络的不同段定义具有不同安全级别和访问权限的安全配置文件。您可以为每个安全配置文件启用和配置Web过滤、反恶意软件和入侵防御功能。
然后将安全配置文件与防火墙策略相关联,以设置要检查的流量的标准。例如,在一个组织中,您可以为员工子网和客户防火墙区域创建不同的安全配置文件。然后,您可以将安全配置文件分配给相应的防火墙策略,以分别匹配员工流量和访客流量。
要创建安全配置文件,请在网络级别导航到配置>安全>安全性配置文件并点击添加安全配置文件。
为安全配置文件提供名称和描述。Web过滤、反恶意软件和入侵防御功能的开启和配置需要根据实际情况进行。
网络过滤
Web过滤允许您通过分类数据库过滤网络用户访问的网站,该数据库包括约320亿个url和7.5亿个域名。它可以防止暴露于不适当的网站、间谍软件、网络钓鱼、钓鱼、网站重定向和其他互联网威胁。它还可以执行互联网政策,阻止访问社交媒体、点对点通信、赌博和其他经常被公司政策禁止的网站。Web Filter监视您网络上的互联网流量,并通过记录网络活动和标记或阻止不适当的内容来过滤它。
当您访问一个网站并启用web过滤时,URL将被发送到云数据库进行分类。
请注意
配置有效的DNS服务器,并通过SD-WAN管理接口开启HTTPS访问internet功能。这使得云数据库可访问,因此web过滤可以工作。
然后将分类结果缓存在SD-WAN设备上,以提高未来请求的处理速度。然后,结果用于标记,阻止或允许网站,而不增加加载时间。您可以添加规则来阻止或绕过未分类或错误分类的站点,或者配置例外。您也可以绕过针对特定用户ip或子网的web过滤。
块/标记类别
你可以标记或阻止不同类别的网站。Web过滤将url分为IT资源类、杂项类、隐私类、生产力类、安全类和敏感类6类。这些组中的每一个都有不同的URL类别。当你选择屏蔽选项时,它也会隐式标记网站。当你试图访问一个被屏蔽的类别的网站时,它被标记为违规,网站被屏蔽。被标记的类别允许您访问网站,但事件被标记为违规。您可以在安全日志或报告。
屏蔽/旗帜网站
您可以添加规则来阻止或标记类别部分中的设置允许的特定站点。您还可以阻止/标记未分类或未分类的网站。输入域名,提供描述并选择块或国旗。中的url的决策屏蔽/旗帜网站列表优先于基于站点类别的决策。
请注意
- 只能添加完全限定的域名,例如-somedomain.com。不能添加URL路径,例如-somedomain.com/path/to/file。
- 任何添加到阻止/标志网站的域名也包括它的子域名。例如,添加domain.com将块/国旗subdomain1.domain.com,subdomain2.domain.com,subdomainlevel2.subdomainlevel1.domain.com。
绕过网站
您可以添加规则以允许被阻止的类别中的特定站点。添加到的任何域绕过网站列表是允许的,即使它被类别或单个URL阻止。输入域名并提供描述信息。选择活跃的允许URL。
请注意
- 只能添加完全限定的域名,例如-somedomain.com。不能添加URL路径,例如-somedomain.com/path/to/file。
- 添加到旁路站点的任何域也包括其子域。例如,添加domain.com绕过subdomain1.domain.com,subdomain2.domain.com,subdomainlevel2.subdomainlevel1.domain.com。
绕过客户端ip
您可以通过添加规则绕过针对特定IP地址或子网的web过滤。您可以提供IP地址或子网CIDR表示法和有意义的描述。web过滤器不阻止任何流量,无论被阻止的类别或网站。选择活跃的允许来自这些IP地址的流量。
请注意
由于DHCP的ip地址可能会发生变化,因此仅对具有静态ip地址或子网的客户端使用此特性。
高级选项
HTTPS选项
如果未配置SSL检测或流量匹配“忽略SSL检测”规则,则会考虑使用HTTPS选项进行web过滤。在这些情况下,当完整的URL不可见时,web过滤可能仍然会基于服务器名称指示(SNI),服务器证书或IP地址执行:
如果存在,则通过服务器名称指示(SNI)信息处理HTTPS流量: SNI是对传输层安全(TLS)协议的扩展,在安全连接握手过程开始时,客户端通过该协议指示用户试图连接的网站名称。
这不仅使服务器能够提供正确的证书,而且使SD-WAN设备能够识别目标网站并确定其URL类别,即使端到端通信是加密的。如果启用此选项,则使用HTTPS数据流中的SNI对HTTPS流量进行分类(如果存在)。
请注意
的通过SNI处理HTTPS流量该选项默认为启用状态。
当SNI信息不存在时,根据服务器证书中的主机名处理HTTPS流量:如果启用了此选项,并且SNI信息不存在,则从HTTPS服务器获取证书,证书上的服务器名称用于分类和过滤目的。
如果SNI和证书主机名信息都不可用,则按服务器IP处理HTTPS流量:如果启用了此选项,并且前面两个选项都不起作用,则使用IP地址对HTTPS流量进行分类。
安全浏览选项
下高级选项,增加了以下安全浏览选项,你可按需要选择/取消选择:
在流行的搜索引擎上加强安全搜索:使用支持的搜索引擎的所有搜索都强制执行安全搜索。例如,谷歌,雅虎!Bing、Ask等等。
在YouTube上执行限制模式:限制模式对所有YouTube内容强制执行。限制模式是一个选项,故意限制您的YouTube体验。
强制搜索通过儿童友好的搜索引擎:所有热门搜索引擎的搜索都会被重新定向到kidzsearch.com。Kidzsearch.com是一个由谷歌自定义搜索提供支持的门户网站,具有学术自动补全功能,强调儿童的安全。
请注意
“安全浏览”功能仅在相关流量经过SSL检验。为此,确保SSL检验为各自的安全配置文件和检查搜索引擎和YouTube的规则没有被禁用。
块的选择
阻塞QUIC (UDP端口443):防火墙阻断QUIC协议常用的UDP 443端口的出网通信,该端口不能被web过滤模块处理。阻塞QUIC导致浏览器退回到基于TCP的HTTP(S)通信。
阻止来自IP主机的页面:禁止用户输入IP地址而不是域名。
如果referter匹配任何旁路站点,则允许:如果包含外部内容的页面被允许通过绕过URL,则不管其他块策略如何,都将传递外部内容。
请注意
虽然此选项允许您访问外部网站,但它暴露了安全风险。HTTP头中的referrer选项可以被浏览器附加组件和插件覆盖。Citrix建议您谨慎使用此选项。
关闭被阻止的HTTPS会话的连接而不重定向到阻止页面:如果URL被阻止,SD-WAN设备会发出HTTP重定向到自定义阻止页面。但是,这种重定向对于HTTPS会话是不可能的,否则会导致中间人(MitM)会话终止,显示无效的证书浏览器警告页面。此选项会导致HTTPS会话被终止,以防止对目标网站的潜在攻击发出错误警告。
请注意
默认情况下启用该选项。启用后,并非所有HTTPS流量都得到SSL检查处理。
块的自定义URL:设置一个外部服务器位置,当用户被Web过滤器拒绝访问网站时,重定向用户。如果配置了自定义URL,则传递以下查询字符串变量,以便接收系统可以自定义其内容。
原因:用户被拒绝访问的原因。这是类别名称网络+电子邮件,以及更长的类别描述。例如,基于网站+产品+网络+ +电子邮件+和+电子邮件+客户(空间字符被替换为“+”),以防该网站因其类别而被屏蔽。否则,如果由于“阻止url”而被阻止,则为空。
浏览器名称:负责拒绝(Web过滤)的应用程序。
appid:应用程序标识符(web过滤的内部标识符,可以忽略)。
宿主:终端用户被拒绝访问的URL的域名。
clientAddress:被拒绝访问的终端用户的IP地址。
url请求的URL被拒绝访问。
请注意
如果您不使用自己的网页来处理拒绝,则内置的拒绝将重定向到不可路由的IP地址。
您可以通过Citrix SD-WAN Orchestrator服务查看详细的web过滤报表。有关详细信息,请参见报告- Web过滤
入侵预防
入侵防御检测并阻止网络中的恶意活动。它包括一个超过34,000个签名检测和启发式签名的数据库,用于端口扫描,允许您有效地监视和阻止大多数可疑请求。您可以选择启用或禁用“诱导多能性”在定义安全配置文件时。启用IPS时,会根据与站点相关的、由IPS配置文件站点映射决定的签名对网络流量进行检测。有关创建、管理和关联IPS配置文件到站点的更多信息,请参见入侵预防。
请注意
入侵防御只检测由防火墙策略捕获的恶意流量。
您可以通过Citrix SD-WAN Orchestrator服务查看详细的入侵防御报表。有关详细信息,请参见报告-入侵防御。
反恶意软件
Edge安全反恶意软件扫描并根除病毒、木马和其他恶意软件。反恶意软件可以扫描网络上的HTTP、FTP和SMTP流量,并根据已知签名和文件模式的数据库对其进行检查。如果未检测到感染,则将流量发送给接收方。如果检测到感染,反恶意软件将删除或隔离受感染的文件,并通知用户。
反恶意软件使用Bitdefender的引擎扫描下载的文件,使用特征数据库,可疑模式的启发式和动态模拟器分析的组合。如果这些测试中的任何一个失败,下载文件将被阻止。
不扫描绕过url
您可以绕过反恶意软件扫描受信任的内部网站或外部网站,这些网站用于定期更新,产生更多的流量,并且被认为是安全的。通过允许受信任的站点通过而不进行扫描,可以减少在扫描这些站点上花费的资源。
进入URL,提供简短的描述,并将该URL添加到bypass URL列表中。
按文件类型扫描
Anti-Malware默认支持扫描HTTP流量中的41个文件类型扩展。反恶意软件扫描涉及通过签名、启发式和仿真进行深度分析,是一个计算敏感的过程。
您还可以添加新的文件类型。如果需要添加新的文件类型,请单击管理>提供文件类型和描述>点击添加。选择扫描复选框以包含反恶意软件扫描的文件类型。清除扫描复选框选中不需要扫描的文件类型。如果需要,还可以编辑或删除文件类型。
请注意
默认选择的文件类型在防恶意软件的有效性和系统性能之间取得了平衡。启用更多的文件类型,增加Edge Security处理负载,降低系统整体容量。
按MIME类型扫描
多用途互联网邮件扩展(MIME)类型是一种基于性质和格式描述互联网文件内容的互联网标准。与文件类型类似,您还可以在反恶意软件扫描中添加和选择排除某些MIME类型。
要添加MIME类型,请单击管理中添加MIME类型MIME类型字段,并提供描述>点击添加。选择扫描复选框以包含用于反恶意软件扫描的MIME类型。清除扫描复选框选择不需要扫描的MIME类型。如果需要,还可以编辑或删除MIME类型。
请注意
默认选择的MIME类型是为了在反恶意软件有效性和系统容量之间取得平衡。启用更多的文件类型会增加Edge Security处理负载,并降低系统的整体容量。
其他扫描选项
您可以选择在以下互联网协议上启用或禁用反恶意软件扫描:
扫描HTTP:开启HTTP流量反恶意软件扫描功能。
扫描FTP:开启FTP下载反恶意软件扫描功能。
扫描SMTP:启用SMTP防恶意软件扫描功能消息附件并选择要执行的操作。
去除感染:删除受感染的附件,并将电子邮件发送给收件人。
传递消息:邮件将完整地发送给收件人。
请注意
为去除感染和传递消息电子邮件主题行以“[病毒]”开头。
块的信息:邮件被阻止,不发送给收件人。
当用户被反恶意软件拒绝访问网站时,您可以设置外部服务器位置来重定向用户。选择块页面复选框。
- 自定义块页面URL:创建自定义重定向页面。如果配置了自定义URL,则传递以下查询字符串变量,以便接收系统可以自定义其内容。
- 宿主:终端用户被拒绝访问的URL的域名。
- URL请求的URL被拒绝访问。
请注意
如果您不使用自己的网页来处理拒绝,那么内置的拒绝将重定向到不可路由的IP地址。
您可以在Citrix SD-WAN Orchestrator服务上查看详细的反恶意软件扫描报告。有关详细信息,请参见报告-反恶意软件。
SSL检验
SSL (Secure Sockets Layer)检测是对HTTPS和安全SMTP通信进行拦截、解密和扫描以查找恶意内容的过程。它可以执行以下操作:
- 扫描恶意软件
- 对整个URL路径进行过滤,而不是只对顶级域进行过滤
- 将用户重定向到类似于HTTP流量的自定义阻止页面
请注意
从Citrix SD-WAN 11.3.0版本开始支持SSL检查。
您可以启用SSL检查并创建SSL规则作为Security配置文件的一部分。SSL规则提供了定义处理HTTPS和安全SMTP通信的条件的能力。在配置SSL规则之前,请确保已经配置了组织的根CA,并将根CA部署到客户端设备。有关配置根CA的信息,请参见安全。
在SSL检验选项卡上,选择启用SSL检查器启用SSL检测。点击新规则并提供描述。选择以下条件之一:
- SSL检查器:SNI主机名:根据SNI (Server Name Indicator)主机名定义SSL规则。
- SSL检查员:证书主题:根据SSL证书定义SSL规则。
- SSL检查器:证书颁发者:根据证书颁发者定义SSL规则。
选择操作并提供价值来匹配条件。选择以下选项之一行动:
- 检查:对满足所选规则条件的流量进行SSL检测。
- 忽略:对满足所选规则条件的流量不进行SSL检测,允许流量畅通。仍然可以执行基于SNI的基本web过滤。
启用规则,然后点击完成。
在完成SSL检测配置前,请注意以下事项:
- SSL检查是一项对计算敏感的操作,可以将边缘安全吞吐量降低高达70%。建议您选择性地检查,而不是选择性地忽略。默认配置通过以下命令反映选择性检查忽略所有流量作为回退规则启用。
- 网络过滤安全浏览选项要求SSL检查搜索引擎和YouTube的流量。如果您计划使用安全浏览选项,则不能禁用或删除相应的默认规则。
边缘安全防火墙策略
边缘安全功能是使用防火墙策略触发的。您可以为匹配类型定义防火墙策略IP协议把它映射到安全档案上。如果进入的流量符合过滤条件,则触发检测动作,并应用所选安全配置文件配置的安全能力。
Citrix SD-WAN以“首次匹配”的方式评估防火墙策略,其中第一个匹配策略决定操作。防火墙策略的配置顺序如下:
- IP协议、Office 365和DNS应用防火墙策略均为非巡检动作
- 边缘安全防火墙策略(带巡检动作的IP协议防火墙策略)
- 应用防火墙策略
若要配置防火墙策略并启用边缘安全,请导航到配置>安全>防火墙配置文件并根据您的喜好添加个人资料。点击创建新规则。选择匹配类型作为IP协议并配置过滤条件。有关更多信息,请参见防火墙配置文件。选择Inspect (IP协议)操作并选择安全配置文件。
请注意
虽然您可以创建的安全配置文件数量没有限制,但您最多只能为站点分配32个Inspect防火墙策略。
限制
- 升级到高级版(AE)的Citrix SD-WAN标准版(SE)设备的软件下载时间较长。AE设备的边缘安全子系统是单独捆绑的,以防止对SE设备的下载大小产生任何影响。
- Citrix SD-WAN Edge Security web过滤功能只能检查HTTPS站点的SNI (Server Name Indication),以决定是否阻止、标记或允许流量。
- 对于Citrix SD-WAN Edge Security, Citrix SD-WAN Orchestrator服务不支持外部syslog服务器。