PoC指南:思杰安全互联网接入与思杰安全私人接入
概述
思杰安全互联网接入提供了一个完整的云交付安全堆栈,以保护用户、应用程序和数据免受所有威胁,而不会影响员工的体验。本概念验证(PoC)指南旨在帮助您在Citrix云环境中快速配置Citrix安全互联网访问。在本PoC指南的最后,您将能够使用Citrix Secure Internet Access保护您的Citrix Secure Private Access部署。您可以允许用户使用直接Internet访问(DIA)访问应用程序,而不会影响性能。
范围
在本概念验证指南中,您将体验到Citrix管理员的角色,并在组织的安全私有访问部署和Citrix企业自有设备安全Internet访问之间创建连接。
本指南展示了如何执行以下操作:
- 登录思杰安全互联网接入(CSIA)
- 连接CSIA安全组和来自域集成的组
- 配置CSIA云平台代理设置
- 通过CSIA控制台配置web安全策略,允许/拒绝访问某些网站或类别。
- 将策略应用到安全组
- 下载CSIA代理(云连接器)
- 通过代理策略配置CSIA代理(云连接器)
- 手动配置CSIA代理(云连接器)(可选-仅限Windows)
- 通过AD组策略在企业Windows设备上部署CSIA代理(云连接器)
- 通过端点管理解决方案在企业设备上部署CSIA代理(云连接器)
- 手动部署CSIA代理(云连接器)到企业设备
先决条件
- Microsoft Windows 7、8、10 (x86、x64和ARM64)
- Microsoft Server 2008R2, 2012, 2016, 2019
- Microsoft .NET 4.5或更高版本
- PowerShell 7(仅适用于Windows 7)
- 以下防火墙规则
网络需求
端口/防火墙设置
CSIA - >出站
源 | 目的地 | 协议 | 港口 | 描述 |
---|---|---|---|---|
相 | ibosscloud.com | TCP | 80 | 代理连接&自定义块页面 |
TCP | 443 | PAC脚本检索在HTTPS和代理认证在HTTPS | ||
TCP | 7443 | 通过HTTPS进行PAC脚本检索的备选端口 | ||
TCP | 8009 | 代理连接的备选端口 | ||
TCP | 8015 | HTTP代理身份验证 | ||
TCP | 8016 | 代理身份验证的备选端口 | ||
TCP | 8026 | Android企业云分类端口 | ||
TCP | 8080 | 默认块页面 | ||
TCP | 10080 | 通过HTTP检索PAC脚本 | ||
相 | api.ibosscloud.com | TCP | 443 | PAC脚本检索在HTTPS和代理认证在HTTPS |
TCP | 7443 | 通过HTTPS进行PAC脚本检索的备选端口 | ||
TCP | 8009 | 代理连接的备选端口 | ||
TCP | 8015 | HTTP代理身份验证 | ||
TCP | 8016 | 代理身份验证的备选端口 | ||
TCP | 8026 | Android企业云分类端口 | ||
TCP | 8080 | 默认块页面 | ||
TCP | 10080 | 通过HTTP检索PAC脚本 | ||
相 | accounts.iboss.com | TCP | 443 | PAC脚本检索在HTTPS和代理认证在HTTPS |
TCP | 7443 | 通过HTTPS进行PAC脚本检索的备选端口 | ||
TCP | 8009 | 代理连接的备选端口 | ||
TCP | 8015 | HTTP代理身份验证 | ||
TCP | 8016 | 代理身份验证的备选端口 | ||
TCP | 8026 | Android企业云分类端口 | ||
TCP | 8080 | 默认块页面 | ||
TCP | 10080 | 通过HTTP检索PAC脚本 | ||
相 | 客户CSIA节点-swg.ibosscloud.com | TCP | 443 | PAC脚本检索在HTTPS和代理认证在HTTPS |
TCP | 7443 | 通过HTTPS进行PAC脚本检索的备选端口 | ||
TCP | 8009 | 代理连接的备选端口 | ||
TCP | 8015 | HTTP代理身份验证 | ||
TCP | 8016 | 代理身份验证的备选端口 | ||
TCP | 8026 | Android企业云分类端口 | ||
TCP | 8080 | 默认块页面 | ||
TCP | 10080 | 通过HTTP检索PAC脚本 | ||
相 | 客户CSIA节点-reports.ibosscloud.com | TCP | 443 | PAC脚本检索在HTTPS和代理认证在HTTPS |
TCP | 7443 | 通过HTTPS进行PAC脚本检索的备选端口 | ||
TCP | 8009 | 代理连接的备选端口 | ||
TCP | 8015 | HTTP代理身份验证 | ||
TCP | 8016 | 代理身份验证的备选端口 | ||
TCP | 8026 | Android企业云分类端口 | ||
TCP | 8080 | 默认块页面 | ||
TCP | 10080 | 通过HTTP检索PAC脚本 |
Citrix CSIA (Secure Internet Access)云配置
在本节中,我们将重点讨论在管理控制台中配置CSIA。
登录思杰安全互联网接入系统
登录Citrix Cloud,进入“安全上网”界面。
选择配置选项卡,然后单击打开“Citrix SIA Configuration”访问配置控制台。
配置Citrix安全上网PAC设置
- 从配置选项卡导航到位置与测绘。
- 在区选项卡单击编辑默认Zone。
- 点击PAC设置。
- 如果必须绕过某个域,请使用添加函数。
- 以下是要添加到PAC文件中的推荐Citrix域和子域:⋅cloud.com &* .cloud.com⋅citrixworkspaceapi.net &* .citrixworkspaceapi.net⋅citrixworkspaceapi.net &* .citrixworkspaceapi.net⋅citrixnetworkapi.net &* .citrixnetworkapi.net⋅nssvc.net &* .nssvc.net⋅xendesktop.net &* .xendesktop.net⋅cloudapp.net &* .cloudapp.net⋅netscalergateway.net &* netscalergateway.net
- 注意所示的节点。node-clusterxxxxxx-swg.ibosscloud.com: 80”。这必须与客户在节点收集管理中的SWG节点匹配
连接CSIA安全组和来自域集成的组
连接到Citrix CSIA (Secure Internet Access)的用户,如果从当前用户登录和设备上可以获得域OU信息,则可以通过CSIA通信域OU信息。CSIA云平台可用于匹配域控用户帐号提供的组。将域集成的组与CSIA云平台上包含的安全组关联起来,使您能够以类似于组织内现有安全策略的方式管理策略和限制。
将域组信息集成到CSIA云平台的策略是编辑安全组,使其与上报给平台的域组别名相匹配。
集成的例子
为了演示这个概念的执行,让我们将Windows用户的域凭证映射到CSIA云平台上的安全组。
- 在目标计算机上打开命令提示符,运行命令“net user(用户名)/domain”。
- 收集由域控制器报告的组的别名。
- 转到CSIA云平台并编辑组名称或者是别名对应于域用户报告的组之一。
- 现在,当来自集成域组的用户身份验证到CSIA云平台时,会自动将其分配到相应的安全组中。
配置CSIA云平台代理设置
- 导航到代理和缓存模块。
- 集启用代理设置来是的。
- 集用户认证方式来本地用户凭据+云连接。
- 点击保存。
配置Web安全策略
在本节中,我们将重点介绍在管理控制台中配置CSIA Web安全策略。这是我们设置web分类操作的主要地方。
将策略应用到安全组
- 导航到网络安全模块。
- 对于具有基于组的实现的web安全策略,在策略配置表单上方的页面顶部会显示一个下拉菜单。此下拉菜单的状态指示您当前正在查看哪个组的策略配置。
- 单击集团下拉菜单,然后选择组要为当前web安全策略重新配置的内容。
- 点击保存,将当前策略的配置仅保存到当前选择的安全组中集团下拉菜单。⋅注意:如果您希望将这些设置应用于多个组
- (可选)点击另存为多组打开一个窗口,允许您同时将当前策略的配置分配给多个安全组。
- 单击相应的复选框对于要应用当前策略配置的任何安全组。
- 点击添加将选中的安全组加入到configure组中。可以将组重新配置为仅接受当前已应用的配置更改,也可以接受并覆盖当前策略的所有配置设置。
- 默认选择为应用更改的设置它应用您已配置的更改。选择覆盖指定安全组的所有配置设置。
- 可以通过单击来删除单个组删除或删除所有组通过单击选中进行配置删除所有。点击保存确认将配置应用于所有指定的安全组。
网站类别
域名根据其内容被标记为网络类别。所访问网站的类别记录在报告与分析中。
类的行为
您可以将操作与web类别相关联。这使您能够快速部署安全策略,同时最大限度地减少允许或阻止单个url的需要。可能的操作包括允许、阻止、隐身、软覆盖或启用SSL解密。
每个类别都可以具有独立于其他类别应用的操作。
行动 描述 允许 允许用户访问该类别的站点。允许是所有类别的默认状态。 块 阻止访问特定类别的站点。 隐形 在日志中将该类别的流量标记为违规,但仍允许访问该站点。 软覆盖 向用户显示一个块页面,但包含一个暂时绕过该块的选项。这允许用户访问被阻止的内容,而不需要立即管理员干预。软覆盖将持续到为网关配置的时区的第二天凌晨2:00。任何带有软覆盖的屏蔽页面都会在报告和分析中显示为“软屏蔽”。在用户请求软覆盖之后,到该URL的任何流量都显示为“允许”,直到覆盖过期。 SSL解密 禁用此选项以清除特定类别的SSL解密。这确保了隐私合规性和对特定类别(如金融或健康)的关注。此类别的优先级值不适用于此设置。如果一个站点属于多个类别,并且这些类别中的任何一个都有“禁用SSL解密”选项,则该站点不会被解密。 锁 当分类被主管理员锁定为“允许”或“禁止”状态时,被委派的管理员将无法登录web网关管理界面修改该分类的状态。 类别覆盖 当激活分类覆盖时,受委托的管理员无法登录web网关管理界面并向允许列表中添加与该分类规则相冲突的URL。例如,“艺术”类别被阻止并设置为“覆盖”,因此委派的管理员不能将art.com添加到该组的允许列表中。 单击每个图标以切换相应web类别的操作。
您希望应用于所有web类别的操作可以通过Actions下拉菜单实现。注意:小心“未评级”类别,因为它与许多未分类的网站相匹配
分类优先级
如果一个域与多个类别相关联,则通过比较类别的优先级值来确定操作。优先级高的类别优先。
例子:
- 域名分为政府和黑客两类。在web类别配置中,允许政府的权重为100,阻止黑客的权重为200。
- 当用户访问该域时,由于具有较高优先级值的黑客网类别的阻止作用,该域将被阻止。
- 单击优先级值字段并输入数值以重新配置类别的优先级级别。优先级的可配置范围为0 ~ 65535。
附加的设置
与web类别相关的设置通过下面的切换项进行配置附加的设置。配置切换到是的在配置切换到时启用该设置没有禁用该设置。有关所有可用web类别设置的完整描述,请参阅下表:
功能 | 描述 |
---|---|
启用日志记录 | 启用和禁用当前被阻止的网站类别的违规尝试的日志记录。日志报告可以在CSIA报告页面上查看。报告信息包括:违规的日期、时间、用户、网站地址和类别。 |
启用隐身模式 | 它允许您在不阻止访问被禁止的网站的情况下秘密监控互联网活动。启用日志记录和隐身模式后,您可以通过查看CSIA报告页面上的日志报告来监视Internet上网活动,同时不被网络上的Internet用户注意到。注意:当web分类的动作配置为“隐身模式”时,不会阻止网站和在线应用。 |
启用非标准端口HTTP扫描功能 | 如果启用此特性,CSIA将扫描非标准端口上的HTTP web请求。 |
允许旧版HTTP 1.0请求 | 如果启用此功能,CSIA允许缺少“HOST”标头的HTTP 1.0请求。禁用此功能可以提供更高级别的安全性,并使绕过安全性变得更加困难。如果启用此功能,它可能会与旧的非http 1.1兼容软件提供更好的兼容性。 |
启用ID盗窃/ IP地址URL阻断 | 当有人试图通过网络钓鱼窃取您的个人信息时,通知您,防止潜在的身份盗窃企图。启用此功能还可以阻止用户通过IP地址url导航到网站。 |
启用屏蔽站点覆盖 | 启用此功能会激活软覆盖操作,允许用户继续访问属于被阻止类别的网站。当此设置处于活动状态时,用户会收到页面被阻止的警告,但会提供一个按钮让用户继续浏览。 |
自动分类未分类的网站 | 当此开关切换到Yes时,任何未分类的网站都会自动提交进行分类。注意:当此开关设置为“是”时,未分类的网站可能会被分配一个“信息”或其他此类名称的网络类别。这只有在类别被适当分类时才有效。当此开关设置为No时,未分类将自动指定为“未评级”,这是作为自己的Web类别进行控制的。 |
分类调度
还可以将块事件配置为高级每周计划,以允许在特定时间访问。
- 设置“类别调度”为使用高级时间表允许选定的类别启用调度特性。点击先进的调度开始调度被阻止的类别。
- 当前高级计划可以配置为应用于所有被阻止的类别,也可以只应用于特定的被阻止的类别。
- 每周的每一天都可以指定允许的特定时间段。这些特定的时间段用蓝色矩形表示。
- 完成特定类别的时间表后,您可以再次单击类别下拉菜单,选择要配置的新类别。
- 点击保存确认所有时刻表配置。
允许列表
允许列表有选择地提供对特定网站或网络资源的访问。此功能使您能够覆盖安全策略并允许某些用户访问网站。特别是,您可以使用它来授予对某个域的特定url的访问权限,否则该域将被阻止。这有时被称为“打孔”。
将URL添加到允许列表
- 导航到Web安全策略。
- 在下拉菜单上单击允许列表。
- 从列表部分上方单击URL / IP范围。
- 输入一个域、子域、URL、IP地址或IP范围。这是唯一必需的字段,但是可以指定许多其他条件。
- 在列表的右侧单击+添加。该条目现在被添加到列表中。
刮工具
的允许列表部分包括方便的刮工具。使用它可以快速识别网站使用的所有域名。在现代网络中,许多站点使用来自其他域的资源,这些资源不会立即显现出来。使用刮擦工具,这些很容易显示并添加到允许列表中。
刮刮工具的另一个用途是选择性地只允许网站的一部分,而不允许不需要的内容,如广告服务器。
- 从列表部分上方单击刮。
- 输入要抓取的URL,单击扫描。
- 选择要添加到允许列表中的域,单击“添加到允许列表”。
关键字阻止列表/允许列表
关键字过滤用于检查url中是否存在特定的关键词。如果识别出关键字,则可以允许或阻止该内容。
将URL添加到阻止列表/允许列表
- 导航到Web安全策略。
- 在下拉菜单上单击关键字。
- 进入关键字你想在关键字字段并指定应用于此关键字的名称。点击添加。
选项 | 描述 |
---|---|
让关键字 | 如果该单词在URL中的关键字参数中,检查此选项允许该单词。 |
高的风险 | 当搜索到“高风险”字词时,系统会以邮件形式通知该群组的管理员。 |
通配符匹配 | 启用后,即使关键字只是较大单词的子字符串,也会对其进行过滤。例如,关键字“base”的通配符匹配会阻止包含“base”或“baseball”的搜索。如果没有通配符匹配,它只会阻止“base”。 |
全球 | 选择此选项时,此选项跨越所有安全组。当删除“Global”条目时,它将从所有过滤组中删除该条目。 |
预定义关键字列表
您可以对预定义的“成人”和“高危”关键字列表启用过滤,也可以手动添加更多关键字。
预定义关键字列表中包含了常见的“成人”关键字和“高危”关键字。通配符匹配应用于这些列表中的所有关键字。通配符匹配识别URL中任何位置的关键字字符序列,包括主机名。当CSIA云平台的报告与分析功能检测到高风险关键字时,高风险列表会发送邮件给告警邮件的收件人。
- 若要启用其中一个关键字列表,请将“成人”或“高风险”开关设置为是的。点击保存。
Citrix安全Internet接入代理配置
在本节中,我们将重点介绍Citrix Secure Internet Access (CSIA) Agent的配置和安装。
配置CSIA代理下载(云连接器)
- 从CSIA管理控制台中转到连接设备到云>云连接器。
- 点击配置连接器下载。
- 单击使用HTTP PAC下拉菜单并选择没有。(注意:使用HTTP PAC“不”如果你想用HTTPS下载资料)
- 点击安全组并为这个特定的安装文件下载选择所需的默认安全组。
- 将剩余的连接器下载设置保持为默认的并点击保存。
配置CSIA代理高级连接器设置(云连接器)
- 从CSIA管理控制台中转到连接设备到云>云连接器>高级连接器设置。
- 在“全局设置”下启用以下选项启用安全云连接器过滤⋅配置自动登录云连接器以使用组密钥⋅使用会话加密
- 在源IP日志下启用-使用客户端的私有源IP(如果可用)。
- 在组特定设置下验证正确的组,并按保存。
下载思杰安全互联网接入代理(云连接器)
- 从CSIA管理控制台中转到连接设备到云>云连接器>下载连接器。
- Windows下云连接器,点击下载和下载所有。.msi安装包可以直接从CSIA管理控制台下载。在开始安装之前,请确保针对Windows版本和处理器体系结构使用正确的软件包。
平台 | 包 |
---|---|
Windows 10 ARM64 | ibsa64-win10-arm64.msi |
Windows 10 x64或Windows 8 x64或Windows Server 2019或Windows Server 2016 | ibsa64-win8.msi |
Windows 10 x86或Windows 8 x86 | ibsa32-win8.msi |
Windows 7 x64或Windows Server 2012或Windows Server 2008R2操作系统 | ibsa64.msi |
Windows 7 x86 | ibsa32.msi |
在CSIA管理控制台中配置CSIA代理策略
- 从CSIA管理控制台中转到“接入云>代理策略”。
- 点击添加座席策略。
- 提供一个名字为您的代理政策和选择添加座席策略。
- 如果需要配置策略,单击编辑代理策略。
点击代理设置并设置推荐设置。
企业自有设备推荐设置
设置 推荐值 多用户模式: 禁用多用户/终端服务器模式-启用运行终端服务器时支持多用户会话。即使用户没有同时登录,也必须为终端服务器启用该功能。 使用机器名作为用户名: 禁用设置—使用用户帐号名作为用户名。 用户名使用UPN: 禁用设置—使用安全帐户管理器(SAM)帐户名,例如DOMAIN\用户名。 重定向所有端口: 启用设置 旁路专用子网: 启用设置 捕获门户检测: 禁用设置 启用自动升级: 启用设置 自动更新发布级别: 一级-成熟 启用Windows桌面应用程序:(Agent不运行在多用户部署) 启用设置 允许最终用户禁用安全性: 禁用设置 要求密码关闭安全功能: 启用设置 查看诊断信息需要密码: 启用设置 - 点击动态链接并选择要分配策略的组。
- 点击保存。
(可选)手动配置Citrix安全上网代理
通过Orca编辑Windows .msi的CSIA代理仅建议用于故障排除。
虎鲸。msi在Windows中可用云连接器“下载全部”选项
用Orca打开。msi文件
- 打开Zip文件安装Orca.msi
- 在文件资源管理器程序中找到所需的安装文件。
- 右键单击.msi安装文件。
- 点击用虎鲸编辑。
在Orca中配置。msi的属性
- 双击打开属性表。
每个属性都可以通过双击属性来编辑价值字段。
企业自有设备推荐设置
设置 推荐值 多用户模式:(PARAM_MULTI_USER_SUPPORT) (0):关闭多用户模式。启用在运行终端服务器时支持多用户会话。即使用户没有同时登录,也必须为终端服务器启用该功能。 终端服务器模式:(PARAM_TERMINAL_SERVER_MODE) (0):禁用-这似乎是赞成多用户支持的弃用 使用机器名作为用户名:(PARAM_USE_MACHINE_NAME_FOR_USERNAME) (0):禁用-使用用户帐号名作为用户名。 重定向所有端口:(PARAM_REDIRECT_ALL_PORTS) (1):启用-将所有端口重定向到代理。 旁路私有子网:(PARAM_BYPASS_PRIVATE_SUBNETS) (1):使能bypass 自备门户检测:(PARAM_CAPTIVE_PORTAL_DETECTION) (0):禁用 Auto-Update Enabled (PARAM_AUTO_UPDATE_ENABLE) (1): Enabled -自动更新的云连接器。 升级后重启:(PARAM_RESTART_AFTER_UPGRADE) (0): Disabled -不提示重启。 - 在Orca中,单击保存图标,以保存对Windows Cloud Connector参数所做的更改。注意:确保文件仅使用此方法保存在Orca中(不使用另存为)。如果不以这种方式保存,这将导致Windows云连接器的功能出现问题。
Citrix Secure Internet Access Agent (Cloud Connector)部署
对于CSIA PoC, Citrix建议您只在企业设备上安装CSIA代理。
通过AD组策略将CSIA代理部署到企业Windows设备
创建分发点
- 创建文件夹在作为文件服务器的AD加入计算机上。
- 保存该文件夹中的CSIA Agent .msi包。
- 右击新建的文件夹,选择属性。
- 去“共享”选项卡。
- 选择“高级共享”。
- 启用“共享此文件夹”。
- 在“共享名称”下的“设置”中添加$CSIA代理文件夹名称后。(例子。SIA_Agent美元)。
- 选择应用。
- 然后关闭。
创建组策略对象
- 开放组策略管理。
- 右击组策略对象。
- 选择新,并命名新的GPO(例如:Deploy CSIA Agent)。
- 右击从上面新建的组策略对象,选择Edit。
- 扩大“软件设置”文件夹。
- 选择软件安装。
- 右击在右边的面板中。
- 选择新。
- 选择包。
- 在相应的窗口中,键入包含CSIA Agent .msi包的CSIA Agent文件夹的位置(文件路径)。
- 选择MSI。
- 选择开放。
- 在“部署软件”窗口中,选择“高级”选择部署方法下面。
- 在部署下选择卸载此应用程序时…。(这意味着下次端点运行gpupdate并且CSIA代理被删除时,它也会从端点中删除)。
- 选择好吧和关闭。
通过思杰端点管理解决方案在企业设备上部署CSIA代理
安装Windows Agent
- 在Endpoint Management控制台中,导航到配置>应用程序。点击添加。
- 点击企业。
- 在App信息页面,进行如下配置名称:为应用程序键入描述性名称。该名称将显示在“应用程序”表的“应用程序名称”下。⋅描述:输入可选的应用描述应用类别:可选地,在列表中,单击要添加应用程序的类别。
- 点击下一个。的应用平台页面出现。
- 选择平台:Windows桌面/平板电脑。
- 在“Windows Desktop/Tablet Enterprise App”界面单击上传然后导航到文件。
- 配置这些设置:
- 指定部署规则和存储配置根据需要。
- 点击下一个直到到达Summary页面,然后单击保存。
- 在Endpoint Management控制台中,导航到配置>交付组。选择待配置的交付组,单击应用程序页面。
- 将所需的应用程序拖到所需的应用程序盒子。
- 在“概要”页签中,单击保存。
用于通过第三方UEM部署CSIA代理
关于部署. msi文件,请参阅统一端点管理文档。
安装macOS Agent
- 在Endpoint Management控制台中,导航到配置>应用程序。点击添加。
- 点击企业。
- 在App信息页面,进行如下配置名称:为应用程序键入描述性名称。该名称将显示在“应用程序”表的“应用程序名称”下。⋅描述:输入可选的应用描述应用类别:可选地,在列表中,单击要添加应用程序的类别。
- 点击下一个。的应用平台页面出现。
- 选择平台:macOS。
- 上传PKG文件(macOS),完成配置。点击下一个。
- 点击下一个直到到达Summary页面,然后单击Save。
- 在Endpoint Management控制台中,导航到配置>交付组。选择待配置的交付组,单击应用程序页面。
- 将所需的应用程序拖到所需的应用程序盒子。
- 在“概要”页签中,单击保存。
用于通过第三方UEM部署CSIA代理
关于部署. pkg文件,请参阅统一端点管理文档。
通过手动部署CSIA代理到企业设备
安装Windows Agent
- 上电打开Windows机器并登录。
- 安装为您的平台安装合适的CSIA Agent .msi包。
安装macOS Agent
- 在Finder中导航到并打开下载的存档文件。
- 打开安装包文件。
- 完成安装过程。
验证用例
通过CSIA代理过滤CSIA网站
Citrix工作空间应用程序启动
- 未启用增强安全性的SaaS应用程序通过CSIA策略进行保护
- 启用了增强安全性的SaaS应用程序通过CSIA策略进行保护
- 未启用增强安全性的内部Web应用程序通过CSIA策略进行保护
- 启用了增强安全性的内部Web应用程序通过CSIA策略进行保护
Citrix工作区HTML启动
- 未启用增强安全性的SaaS应用程序通过CSIA策略进行保护
- 具有增强安全性的SaaS应用程序是不受CSIA策略保护
- 未启用增强安全性的内部Web应用程序通过CSIA策略进行保护
- 启用了增强安全性的内部Web应用程序不受CSIA策略保护
Citrix工作空间通过浏览器扩展
- 未启用增强安全性的SaaS应用程序通过CSIA策略进行保护
- 具有增强安全性的SaaS应用程序是不受CSIA策略保护
- 未启用增强安全性的内部Web应用程序通过CSIA策略进行保护
- 启用了增强安全性的内部Web应用程序不受CSIA策略保护
故障排除
故障处理的重要工具
- Windows事件日志
- CSIA实时仪表板(报告与分析>实时日志)
- CSIA事件日志(报告与分析>日志>事件日志)
- CSIA IPS日志(报表分析>日志> IPS日志)
- 连接设备的注册信息(用户、组和设备>云连接设备>信息)
- URL查找工具(工具> URL查询)
- 增强的日志记录⋅要设置这一点,必须改变以下注册表项,从0到4,越高越详细的日志记录。⋅IBSA HKEY_LOCAL_MACHINE \ SOFTWARE \伊博人\ \ \ LogLevel参数⋅设置注册表项后,需要重新启动Windows服务下的IBSA服务,设置才能生效。检查windows事件查看器,您会看到根据日志级别设置记录了许多条目。
- Windows Agent日志(C:\Windows\SysWOW64\ibsa_0.log)
关键字未被屏蔽
在CSIA云平台的操作内部和周围存在大量的策略和变量,这些策略和变量可能会干扰正确阻止已配置的关键字。参考以下内容;
- 确保此网站的SSL解密处于活动状态。HTTPS网站无法观察和控制关键字。
- 如果客户端工作站的源IP地址或web服务器的目的IP地址已添加到“网络>旁路IP范围”列表中,web安全控制没有被强制执行。
- 设置为屏蔽的关键字不生效,当网站被添加到Web安全>允许列表没有关键字/安全研究选择启用。与关键字/安全搜索复选框选中,Web网关允许访问网站,但仍然强制关键字控制和安全搜索。
- 关键字包含星号,如果需要的话,请删除星号并激活关键字的通配符匹配。
- 关键字包含多个单词,且未启用通配符匹配,或者空格未使用加号(“+”)表示。
- 用户没有关联到预期启用关键字控制的web安全组。处理步骤
预定义关键字列表中的冲突操作
在某些情况下,内建关键字列表中的某个单词可能会无意中意外地阻止内容。若要纠正此操作,请编辑特定的预定义关键字列表。当您单击铅笔图标编辑内置列表时,CSIA云平台界面会显示一个关键字页面,旁边有复选框。若要从内置列表中删除关键字,请清除要删除的关键字旁边的框,然后单击保存。若要将此操作应用于所有组,请选中标记的框适用于所有组别。
识别客户的思杰安全互联网接入节点
- 从首页导航到节点收集管理。
- 点击节点组。
- 这为您提供了客户CSIA节点-reports.ibosscloud.com和客户CSIA节点-swg.ibosscloud.com
Splunk集成与思杰安全互联网接入节点
Splunk服务器设置
- 导航到Splunk Server实例,单击设置链接在页面顶部,后面跟着数据输入“数据”小节下的链接。
- 单击“UDP”部分右侧的“添加新链接”。
- 在“port”字段中输入一个端口(如果可能的话,高于1023,以避免操作系统的安全限制)。在“Only accept connection from”字段中,输入CSIA Reporter节点的IP地址。如果在此字段中没有输入任何内容,则接受来自所有主机的连接。完成后,单击下一个。
- 在下一页,单击选择源类型和类型“syslog。”然后选择它。
- 将App Context更改为搜索和报告(搜索)。
- 将主机方法更改为知识产权。
- 点击审查(查看当前配置),然后单击提交。
CSIA报告和分析模块设置
- 导航到报告与分析>日志转发>从报告转发在iboss云平台界面。
- 下Splunk的集成,点击行动,然后点击添加服务器。
- 将Splunk服务器的地址/主机名添加到“主机名”和Splunk服务器选择的端口号中。接下来,在“Splunk集成协议”下拉菜单中选择一个协议。添加Splunk服务器时可用的选项如下:
- 您也可以将Splunk服务器的集成协议配置为HEC。使用HEC协议配置与Splunk服务器的集成需要从Splunk服务器的配置中获取HEC令牌。将检索到的令牌放入Splunk Integration Protocol选择下拉菜单下面的token字段中。
- 如果实现ELFF用于Splunk记录Splunk集成ELFF批大小字段变为可用于配置。配置的默认值为One hundred.。
- 一个名为“接受所有SSL证书”的开关可以在Splunk Integration部分中找到设置>外部日志。如果使用非标准SSL证书(如自签名证书或由非受信任的根CA签名的证书),请将此开关切换为“YES”以绕过SSL证书验证,否则请关闭此开关。
- 在“日志格式”下拉菜单中选择日志数据的发送格式。最后,切换界面底部的一个或多个开关,以选择所需的日志信息类型。单击保存按钮更新更改。日志记录立即开始。在Splunk实例上执行搜索以检查数据是否被正确发送和索引。请参见下面的示例输出。
修改代理端口
可以更改CSIA代理端口,但不能尝试将代理端口更改为网关用于其他服务的端口。
端口不能使用的包括:53、139、199、443、445、953、1080、1344、5432、6001、7009、7080、7443、8008、8015、8016、8025、8026、8035、8036、8080、8200、8201、9080、9443、17500、22022
所有其他端口都是默认端口的可接受替代方案。
- 导航到代理&缓存>代理设置
- 下Settings选项卡,在“代理端口”字段中输入代理侦听流量所需的端口号。注意:在配置其他平台功能中的代理设置时,将使用为此设置配置的端口。由于预先配置的网关服务,某些端口可能无法分配给此设置。
- 点击保存来应用此更改。
附录
主要类别列表
注意:小心“未评级”类别,因为它与许多未分类的网站相匹配。
类别 | 描述 |
---|---|
堕胎* | 与堕胎有关的网站 |
广告 | 除了在线优惠券、广告销售、代金券、交易和优惠之外,用于分发广告图形或内容的站点 |
成人内容 | 含有成人内容的网站。这个类别的网站不包含任何裸体,但有亵渎和粗俗的内容。自认为不适合18岁以下儿童的网站属于这一类。 |
酒精和烟草 | 含有酒精和烟草内容的网站。还包括与酒精相关的网站,如酒吧。此类网站不包含非法毒品,但可能讨论、鼓励、促进、提供、销售、供应或以其他方式提倡使用或创造酒精/烟草。 |
艺术 | 包含艺术或讨论艺术的场所,包括博物馆。还可以包括印刷着色书,雕塑,马赛克,纹身,书法,字体,绘画,涂鸦,基督教或宗教设计,动画绘画,艺术设计 |
拍卖 | 与商品和服务的拍卖和出价有关的网站,包括在线和现场 |
音频和视频 | 包含流媒体或可下载音频/视频内容(如mp3、电影剪辑和电视节目)的网站,以及销售这些内容的网站。 |
业务 | 代表企业在线形象的网站。可能从事商业活动或在公司和消费者之间买卖产品和服务的活动。包括制造商、生产商、供应商、经销商、分销商、批发商、零售商、家族企业和任何其他面向企业的实体。 |
CDN * | 内容分发网络(cdn)和与cdn相关的站点 |
约会和个人 | 提供约会服务或帮助建立恋爱关系的网站 |
字典 | 包含大量信息和知识的网站。除了时钟、计算器、计时器和模板等实用工具外,还包括wiki、词典、地图、人口普查、年鉴、图书馆目录、家谱相关网站、科学信息和目录等资源。 |
药物 | 含有非法毒品内容的网站,如安非他明、巴比妥酸盐、苯二氮卓类药物、可卡因、设计药物、摇头丸、海洛因。不是指大麻/大麻 |
药物管制* | 与受管制药物和物质有关的场所 |
动态域名* | 使用动态DNS服务将其域名映射到动态IP地址的站点。 |
教育 | 提供教育服务的网站,如学校和大学,以及提供可供出售或参考的教育材料的网站。包括提供教育或贸易/职业/职业学校和项目信息的网站。还包括由学校、教育机构、教师或校友团体赞助的网站。 |
娱乐 | 包含或推广电视、电影、杂志、广播、书籍、食品、时尚和生活方式的网站。更具体地说,提供有关或促进流行文化的信息的网站,包括(但不限于)电影、电影评论和讨论、电影预告片、票房、电视、家庭娱乐、音乐、漫画、图画小说、文学新闻和评论,以及其他娱乐导向的期刊、采访、粉丝俱乐部、名人八卦、播客、音乐和电影图表、表演、事件、引用、模因、歌词、音乐家、乐队、戏剧艺术、戏剧、歌剧、管弦乐队。 |
极端的* | 包含极度粗俗、生动、令人震惊或恶心内容的网站,这些内容对大多数人来说都是极具冒犯性的。 |
文件共享 | 提供在线文件存储、文件共享、设备间文件同步、基于网络的数据备份和恢复等服务的站点。这些服务可以提供上传、下载、粘贴、组织、发布和共享文档、文件、计算机代码、文本、不受版权限制的视频、音乐和其他虚拟数据存储中的电子格式信息的手段。此外,此类别还包括分发软件以促进用户之间直接交换文件的服务。 |
金融 | 包含有关银行、金融新闻和提示、股票市场、投资、信用卡、保险和贷款等内容的站点。 |
食物 | 除了列出、审查、讨论、宣传和推广食品、餐饮、餐饮服务、烹饪和食谱的站点之外,还包含与餐馆、食品、餐饮相关的内容的站点。 |
论坛 | 包含留言板、在线聊天室和讨论论坛的站点 |
免费/共享软件* | 与分发免费软件和共享软件有关的网站 |
友谊 | 包含柏拉图式友谊相关材料的网站和社交网站。 |
赌博 | 推广或包含赌博相关内容的网站,如在线扑克和赌场、体育博彩和彩票。用户可以投注或参与投注池、彩票或在此类活动中接收信息、协助、建议或培训的站点。此类别不包括销售赌博相关产品的网站或线下赌场/酒店网站,除非它们符合上述要求之一。 |
游戏 | 包含在线游戏或提供有关电子游戏、家用视频游戏和控制台、电脑游戏和角色扮演游戏的服务和信息的网站。还包括游戏指南/作弊,和配件 |
政府 | 由政府机构(包括军事和政治组织)赞助或代表政府机构的网站。可提供有关税务、紧急服务和各种政府实体法律的信息。还包括提供收养服务、收养信息、移民信息和移民服务的网站。 |
枪支和武器 | 推广、出售或提供有关枪支、刀具和其他武器信息的网站 |
黑客* | 与黑客和黑客工具相关的网站 |
健康 | 包含与健康、疾病和疾病相关内容的站点,包括医院、医生和处方药,包括主要关注健康研究的站点。此外,还提供一般健康方面的建议和信息的网站,如健身和健康、个人健康、医疗服务、非处方药和处方药、合法和非法药物使用对健康的影响、替代和补充疗法、牙科、验光和精神病学。此外,还包括致力于疾病或健康状况的自助和支持组织。 |
幽默* | 主要与笑话、幽默或喜剧有关的网站 |
非法活动* | 与非法活动或在大多数国家非法的活动有关的网站 |
图像/视频搜索 | 图片和视频搜索网站,包括共享媒体(例如,照片共享),并且包含不良内容(如成人或色情材料)的风险较低。 |
信息 | 包含信息内容的站点,如地区信息或建议 |
信息安全* | 以资讯保安相关内容为特色的网站 |
互联网通信 | 与互联网通信和VOIP相关的网站 |
物联网* | 与物联网和物联网设备相关的站点 |
工作 | 包含工作搜索引擎和其他材料的网站,如求职建议和策略。 |
孩子* | 网站主要与儿童和年轻人有关 |
恶意软件内容* | 包含恶意软件、病毒或恶意软件、软件黑客、非法代码和计算机黑客相关材料的网站通常的做法是屏蔽所有组的恶意软件类别。 |
大麻* | 与大麻的生产、使用或销售有关的场所 |
消息传递* | 网站相关的即时通讯和聊天 |
移动电话 | 销售或提供移动电话信息和服务的网站 |
新闻 | 提供时事新闻和事件的网站,包括在线报纸。主要报道当前事件或当代问题的信息或评论的网站。还包括新闻广播电台和新闻杂志。可能不包括可以更好地被其他类别捕获的站点。 |
裸露* | 包含任何形式的裸体的网站 |
在线会议* | 与在线会议软件相关的网站或在线会议的主办网站 |
组织 | 包含与促进慈善志愿服务的组织(如非营利组织、基金会、社团、协会、社区、机构)相关内容的网站。还包括公认的选美比赛(地球小姐),男孩/女孩童子军,以及培养慈善或救济努力的机构。 |
P2P * | P2P (Peer-to-Peer)文件共享相关站点 |
停在域 | 停放的网站,意味着域名不与任何服务相关联,如电子邮件或网站。这些域名通常被列为“待售”。 |
网络钓鱼* | 用于网络钓鱼和鱼叉钓鱼活动的网站和网站 |
盗版* | 与数字盗版有关的网站 |
政治 | 包含政治内容的网站,包括代表政治组织或宣传政治观点的组织的网站 |
色情-儿童 | 包含成人内容的网站,包括露骨的色情图片和以儿童为主角的材料,或看起来以儿童为主角的网站。 |
色情/裸体 | 包含成人内容的网站,包括露骨的色情图片和材料。包括裸体艺术,性商店,有裸体广告的网站,有裸体游戏 |
私人网站 | 由个人创建的网站,包含个人表达,如博客、个人日记、经历或兴趣 |
专业服务 | 提供专业的、无形的产品或专业知识(相对于物质产品)的网站。包括由个人或团队为客户提供专业服务的场所。典型的服务包括清洁、维修、会计、银行、咨询、景观美化、教育、保险、治疗和运输服务。此外,还包括在线辅导、舞蹈、驾驶、武术、乐器课和论文写作。 |
房地产 | 网站专注于房地产,包括代理,出租和租赁住宅和办公室,以及其他房地产信息 |
宗教 | 促进或提供有关宗教信仰和习俗信息的网站 |
远程访问工具* | 远程访问工具,如屏幕共享服务 |
诈骗* | 与诈骗有关的网站 |
搜索引擎 | 用于搜索网络的站点 |
性教育 | 包含有关性教育内容的网站。内容可能是图形化的,但其目的是告知生殖过程、性发展、安全性行为、性行为、生育控制、更好的性行为技巧和性增强产品。 |
购物 | 用于购买消费品的网站,包括在线拍卖和分类广告。包括活动门票 |
垃圾邮件* | 与垃圾邮件有关或用于垃圾邮件活动的网站 |
体育 | 有关运动和积极爱好的网站。这包括有组织的、专业的和竞争性的运动,以及积极的爱好,如钓鱼、高尔夫球、打猎、慢跑、划独木舟、射箭、下棋。 |
流媒体广播/电视 | 包含流媒体广播或电视内容的站点 |
自杀* | 与自杀有关的网站,包括自杀信息 |
可疑的* | 网站不一定包含恶意软件或恶意内容,但由于某些属性,已被标记为可疑的。iboss的恶意软件分析将这些网站归类为“不安全”,即使没有检测到恶意软件。Web请求启发式保护,如果激活,也标记为可疑的网站。 |
泳衣 | 包含色情内容但不包含裸体的网站。包括比基尼、泳装、内衣和其他贴身服装的购物网站。 |
技术 | 包含相关技术内容的站点,包括软件、计算机硬件、技术公司和技术计算机帮助。此外,赞助或提供有关计算、计算设备和技术、消费电子产品和一般技术的信息、新闻、评论、意见和报道的站点。 |
恐怖主义/激进化 | 以激进的反政府信念或信仰为特色的激进组织或运动的网站。 |
科技基础设施* | 与技术基础设施相关的站点 |
工具栏 | 为浏览器提供工具栏下载的网站 |
翻译服务* | 提供翻译服务的网站 |
运输 | 包含交通相关内容的站点。这包括火车、公共汽车路线和公共交通的信息,也包括销售、推广或与汽车、摩托车、船和飞机有关的网站。 |
旅行 | 提供旅游相关服务或信息的网站,如在线旅游讨论、计划、旅游、住宿和交通(如航空公司、火车和公共汽车)以及相关的时间表和票价。推广或提供旅游预订、旅游体验、车辆租赁、旅游目的地描述或酒店/赌场或其他旅游相关住宿促销的网站。可能包括节日和游乐园。 |
暴力与仇恨 | 宣扬暴力行为或描绘无端死亡、血腥或身体伤害图像的网站 |
虚拟主机* | Web托管提供商 |
邮箱 | 提供电子邮件服务的网站 |
网络代理 | 网站提供的信息,服务,或下载的网络代理,方法经常被用来试图绕过URL和内容过滤器 |