-
-
-
-
-
-
-
-
-
-
-
-
-
-
使用ICAP进行远程内容检查
-
此内容已由机器动态翻译。
这是我的机器Übersetzung,这是我的机器。(Haftungsausschluss)
文章a été traduit automatiquement de manière dynamicity。(非responsabilité条款)
Este artículo lo ha traducido una máquina de forma dinámica。(通报法律)
此内容已动态机器翻译。放弃
このコンテンツは動的に機械翻訳されています。免責事項
此内容已由机器动态翻译。
此内容已由机器动态翻译。
此内容已由机器动态翻译。
这篇文章已由机器翻译。
Dieser Artikel wurde maschinell übersetzt。(Haftungsausschluss)
这篇文章叫做été traduit automation。(非responsabilité条款)
Este artículo ha sido traducido automáticamente。(通报法律)
この記事は機械翻訳されています。免責事項
이기사는기계번역되었습니다。
我想买一条自动的artigo。
这篇文章已经过机器翻译.放弃
翻译失败!
使用案例:使用ICAP进行远程恶意软件检查,确保企业网络的安全
Citrix ADC设备充当代理并拦截所有客户端流量。设备使用策略评估流量并将客户端请求转发到资源所在的源服务器。设备解密来自源服务器的响应,并将纯文本内容转发到ICAP服务器进行反恶意软件检查。毅联汇业服务器响应时会显示一条消息,指示“无需进行适应”,错误或修改的请求。根据来自ICAP服务器的响,应请求的内容将转发到客户端,或发送适当的消息。
对于此用例,必须在Citrix ADC设备上执行某些常规配置,代理和SSL拦截相关的配置以及ICAP配置。
一般配置
配置以下实体:
- NSIP地址
- 子网IP(剪)地址
- 域名服务器
- CA证书——密钥对用于为SSL截获签名服务器证书
代理服务器和SSL截获配置
配置以下实体:
- 代理服务器以显式模式拦截所有出站HTTP和HTTPS流量。
- SSL配置文件来定义连接的SSL设置,例如密码和参数。
- 用于定义截获流量的规则的SSL策略。设置为真正以拦截所有客户端请求。
有关更多详细信息,请参阅以下主题:
在以下示例配置中,反恶意软件检测服务位于www.example.com
。
常规配置示例:
add dns nameServer 203.0.113.2 add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca。crt关键ns_swg_ca。关键< !——NeedCopy >
代理服务器和SSL截获配置示例:
add cs vserver explicitswg PROXY 192.0.2.100 80 -Authn401 ENABLED -authnVsName explicitauth -vs set ssl parameter -defaultProfile ENABLED add ssl profile swg_profile - sslintercept ENABLED bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey set ssl vserver explicitswg -sslProfile swg_profile add ssl policy ssli-pol_ssl -rule true-action INTERCEPT绑定ssl vserver explicitswg -policyName ssli-pol_ssl -priority 100 -type INTERCEPT_REQ
会计师协会配置示例:
add service icap_svc 203.0.113.225 TCP 1344 enable ns feature contentinspection add icapprofile icapprofile1 -uri /example.com -Mode RESMOD add contentinspection action CiRemoteAction -type ICAP -serverName icap_svc -icapProfileName icapprofile1 add contentinspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")"-action CiRemoteAction bind cs vserver explicitswg -policyName CiPolicy -priority 200 -type response
配置代理设置
导航到安全>SSL转发代理>SSL转发代理向导。
点击开始,然后点击继续。
在“代理设置“对话框中,输入显式代理服务器的名称。
对于捕获模式(捕获模式),请选择显式的(显式)。
输入IP地址和端口号。
单击继续。
配置SSL拦截设置
选择启用SSL拦截。
在SSL配置文件中,选择现有配置文件或单击“+”添加新的前端SSL配置文件。在此配置文件中启用SSL会话拦截。如果您选择现有配置文件,请跳过下一步。
单击确定,然后单击完成。
在“选择SSL拦截CA证书——密钥对“中,选择现有证书或单击“+”以安装CA证书——密钥对以进行SSL拦截。如果选择现有证书,请跳过下一步。
单击安装,然后单击关闭。
添加用于拦截所有流量的策略。单击绑定(绑定)。单击”添加“以添加新策略或选择现有策略。如果选择现有策略,请单击”插入”,然后跳过后续三个步骤。
输入策略的名称,然后选择”高级”。在表达式编辑器中,输入真实的。
对于操作,请选择拦截。
单击创建。
单击继续四次,然后单击完成。
配置会计师协会设置
导航至”负载平衡“>”服务”,然后单击”添加”。
键入名称和IP地址。在协议中,选择TCP。在港口,键入1344。单击好吧(确定)。
导航到SSL转发代理>代理虚拟服务器。添加代理虚拟服务器或选择虚拟服务器,然后单击“编辑”。输入详细信息后,点击确定。
再次点击确定。
在“高级设置“中,单击”策略”。
在“选择策略“中,选择”内容检查”。单击继续。
在选择策略中,单击符“+”号以添加策略。
输入策略的名称。在操作中,单击符“+”号以添加操作。
键入操作的名称。在“服务器名称“中,键入之前创建的TCP服务的名称。在会计师协会配置文件中,单击符“+”号以添加会计师协会配置文件。
键入配置文件名称URI。在模式下,选择REQMOD。
单击创建。
在创建ICAP操作页面上,单击创建。
在毅联汇业创建策略页面的表达式编辑器中,输入真实的。然后,单击创建。
单击绑定(绑定)。
当系统提示启用内容检查功能时,选择是。
单击完成。
在RESPMOD中Citrix ADC设备和ICAP服务器之间的会计师事务示例
从Citrix ADC设备向ICAP服务器发出的请求:
//10.106.137.15:1344/resp icap /1.0 Host: 10.106.137.15 Connection: Keep-Alive封装:res-hdr=0, res-body=282 HTTP/1.1 200 OK Date: Fri, 01 Dec 2017 11:55:18 GMT Server: Apache/2.2.21 (Fedora)最后修改:Fri, 01 Dec 2017 11:16:16 GMT ETag: "20169-45-55f457f42aee4" Accept-Ranges: bytes Content-Length: 69 Keep-Alive:timeout=15, max=100内容类型:文本/普通;charset = utf - 8 X5O ! P % @AP [4 pzx54 (P ^) 7 cc) 7} $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE !$ H + H * < !——NeedCopy >
毅联汇业服务器对Citrix ADC设备的响应:
ICAP/1.0 200 OK Connection: keepalive Date: Fri, 01 Dec, 2017 11:40:42 GMT封装:res-hdr=0, res-body=224 Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$ ISTag: "9.8-13.815.00-3.100.1027-1.0" X-Virus-ID: Eicar_test_file x -感染- found: Type=0;分辨率= 2;威胁= Eicar_test_file;HTTP/1.1 403 Forbidden Date: Fri, 01 Dec, 2017 11:40:42 GMT Cache-Control: no-cache Content-Type: text/html;$Date: 04/09/2015 01:19:26 AM$ CONTENT - length: 5688 ... ...
分享:
分享:
此预览产品文档是思杰机密。
您同意根据您的Citrix Beta/Tech预览协议的条款对该文件保密。
预览文档中描述的任何特性或功能的开发、发布和时间安排均由我们自行决定,并可在不另行通知或咨询的情况下进行更改。
本文档仅供参考之用,并不是提供任何材料、代码或功能的承诺、承诺或法律义务,在做出思杰产品购买决定时不应依赖。
如果不同意,请选择“不同意退出”。