PoC 指南:使用 Citrix SD-WAN 的 Citrix Secure Internet Access
概述
各种规模的企业成功使用 Citrix Workspace 已有近三十年。客户可以选择如何许可、部署、集成和管理这些技术。这种灵活性使 Citrix 技术能够满足各种使用案例、业务类型、集成要求和部署模型。广泛的企业采用导致了各种各样的部署来满足用例的需求,以及网络技术的演变。许多不同的因素推动了部署选择,包括数据中心的位置(本地、云或混合模型)、用户、分支机构、管理服务以及网络连接的选择。
作用域
在本概念验证指南中,您将体验 Citrix 管理员的角色,该管理员通过 IPsec 隧道在组织的边缘 SD-WAN 设备之间创建连接到 Citrix SIA Cloud。
本指南展示了如何执行以下操作:
- 在 Orchestrator 上配置新网站以进行概念验证
- 通过从 Orchestrator 将 IPSec 隧道无缝自动化到 Citrix SIA 云来部署站点
- 在 Orchestrator 和 Citrix SIA Cloud 平台中验证 IPSec 隧道
- 使用特定安全组在笔记本电脑上安装 SIA 软件代理(也称为 Cloud Connector Agent),并针对互联网流量执行安全策略
- 本 PoC 指南中提供的各种 SIA+SD-WAN 集成用例的演示。
- 配置 Web 安全策略、CASB、恶意软件防护策略,以允许/拒绝通过 Citrix SIA 控制台访问某些网站或类别。
- 启动 Web 流量并验证阻止并允许功能
- 显示报告和分析
优势
网络和部署使用案例/利益
受管设备的无缝 SIA 以及通过 SD-WAN 虚拟路径进行可靠、安全的 DC 工作负载访问在 SD-WAN 背后的托管设备上,使用 Citrix SIA 代理可以安全地访问 Internet。SD-WAN 叠加将分支机构安全可靠地转发到数据中心工作负载流量。
SD-WAN 的多 WAN 链路可靠的 IPsec 隧道,用于基于本地子网的基于本地子网的无代理设备 BYOD 或个人笔记本电脑的安全 Internet 访问可以通过 Citrix SD-WAN + Citrix SIA 的高度可靠的 IPsec 隧道加以保护。可靠性是通过具有多条 WAN 链路的隧道实现的。
通过 DNS 重定向或 IPSec 隧道为分支机构中的来宾域提供简单的安全状况为来宾域和相关安全组映射提供单独的隧道/本地子网。
Citrix SIA 和SD-WAN 之间的集成/自动化/管理的好处
Citrix SD-WAN + SIA 整体拓扑
下面您可以看到 3 个主要用例的流程图:
1) 分支用户 2) 无 Workspace Service 的远程用户 3) 使用 Workspace Service 的远程用
Citrix SD-WAN + SIA 集成使用案例
Citrix SD-WAN 和 Citrix SIA 集成为企业中分支机构用户的混合配置文件提供了灵活性和选择。在 Citrix SD-WAN 所在的分支机构中,企业通常混合使用托管和非托管设备。 通过集成,Citrix SIA 代理允许使用互联网服务(带负载平衡功能)通过 SD-WAN 安全地突破到 Citrix SIA 云的受管设备流量。 使用 Citrix SD-WAN 和 Citrix SIA 之间的 IPsec 隧道作为隧道终端节点,对 BYOD 和 Guest 用户等非托管设备进行保护。
PoC 先决条件
一般先决条件
- 适用于基于本地硬件的 PoC 的 Citrix SD-WAN 110/210。
- 可以是您为 PoC 选择的任何设备。所有 Citrix SD-WAN 设备都支持 Citrix SIA 产品。
- 注意:也可以在基于 Azure VPX 的 SD-WAN 上使用 Windows VM 在局域网上带有/不带 Citrix SIA 代理(也称为 Citrix SIA Cloud Connector)的情况下执行 PoC。
- Windows 或 MAC 笔记本电脑。
- 代理程序 Windows/Mac MSI 从 Citrix SIA 云平台下载。
网络要求
SIA 的端口/防火墙设置 — 出站连接:
| 协议 | 端口 | 说明 |
|---|---|---|
| TCP | 53 | DNS 过滤 |
| TCP | 80 | 代理连接和自定义块页面 |
| TCP | 443 | 通过 HTTPS 检索 PAC 脚本和通过 HTTPS 进行代理身份验证 |
| TCP | 7080 | 用于通过 HTTP 检索 PAC 脚本的替代端口 |
| TCP | 7443 | 用于通过 HTTPS 检索 PAC 脚本的替代端口 |
| TCP | 8009 | 用于代理连接的替代端口 |
| TCP | 8015 | 通过 HTTP 进行代理验证 |
| TCP | 8016 | 代理身份验证的替代端口 |
| TCP | 8025 | 传统 HTTP Cloud Connector(SIA 代理) |
| TCP | 8026 | 传统 HTTPS Cloud Connector(SIA 代理) |
| TCP | 8080 | 默认区块页面 |
| TCP | 8082 | iOS Cloud Connector(默认附加代理端口) |
| TCP | 10080 | 通过 HTTP 检索 PAC 脚本 |
协调器,自定义应用程序
推荐的最佳做法是,从分支机构边缘 SD-WAN 的本地 IPSec 隧道中绕过来自企业管理设备的 SIA 代理流量。这允许直接代理到 Citrix SIA,其中企业 OU 或安全组可以通过托管设备上的 Cloud Connector 直接执行。
要允许 Citrix SIA 代理无缝 Call Home 总部到 Citrix SIA 网关群集和 PoP,务必绕过来自 IPsec 隧道的基于Cloud Connector的流量,以便注册 Cloud Connector 并直接从连接器中使用代理。
自定义应用程序基于上一节 PoC 先决条件的端口列表中提到的端口列表。Orchestrator 中的所有特定 IP/协议都绕过自定义应用程序,都通过互联网服务发送。
Citrix SIA 平台需要的信息:
- Citrix SIA CloudGateway 节点 IP 在网关群集中的一部分
- Citrix SIA 代理通过端口 443 连接到网关节点。我们对绕过自定义应用程序的配置可确保代理流量通过 Internet 服务发送并绕过 IPsec 隧道。
- Citrix SIA Reporter 节点 IP 是节点组管理的一部分。联系记者以从 Cloud Connector(SIA Agent)发送统计信息/报告。
橙色节点 —报告器节点,IP 显示在 “公共 IP” 列中,并用不同的图标表示(在节点名称之前)。
绿色节点 —云 POP 节点是 CSIA 网关集群的一部分,IP 显示在 “公共 IP” 列中,并以地球图标表示。CSIA 网关群集是两个或更多 CSIA 网关节点的聚合。
注意:
- 在执行 PoC 时,请根据您的帐户检查节点,并相应地应用 Orchestrator 绕过规则。
- 账户通常总是有一个报告器节点,但网关 nDO 可以是一个或多个。
- 确保绕过所有网关节点,以便在绕过期间将它们记录在内(流量可以进入任何 CloudGateway 节点)。
在管弦乐器中创建自定义应用程序- “Exclude_CloudConn_IPSECTUNN”
- 使用 IP 和端口在下面创建 tto
- IP 将是 Citrix SIA Reporter 云节点和带端口 443 的网关云节点 IP
- Citrix SIA 代理将使用基于端口的显式条目进行注册、流量处理和报告。
管弦乐队 — 互联网服务成本
创建 Citrix Secure Internet Access 服务时,管理员可以使用默认的 SIA 组来选择要通过 IPsec 隧道引导的流量。
作为 Citrix SIA 服务的一部分,管理员可以通过 IPsec 隧道路由 “所有应用程序” 或特定应用程序。
- 通过 SIA 服务下的 Orchestrator 中的 Citrix SIA 服务路由所有应用程序默认 SIA 组
- 通过 SIA 服务下管弦乐器中的 Citrix SIA 服务路由特定的应用程序默认 SIA 组
注意: 如果选择了特定的应用程序,则仅使用 Citrix SIA 作为通过 IPsec 隧道引导的服务类型创建特定的应用程序路由。默认情况下,Citrix SIA 服务是内联网类型服务。
重要建议将 Citrix SIA 服务用于所有应用程序路由和互联网服务时的重要建议如果管理员选择 “所有应用程序” 通过 Citrix SIA 路由,则使用 Citrix SIA 服务创建的默认路由 0.0.0.0/0,默认费用为 45。
SD-WAN 上存在或创建了针对特定用例的 Internet 服务。例如-用于突破 CSIA 代理相关流量的互联网服务,突破 Orchestrator 流量的互联网服务,或在某些情况下已经存在互联网服务的棕地部署。请注意,在使用互联网服务创建 SIA 服务时(用于正确的路由)。
一般建议:
建议 1:如果 CSIA 服务与互联网服务一起用于所有应用程序,则创建特定的自定义应用程序或将 DPI 引擎与要通过互联网服务引导的特定应用程序一起使用 DPI 引擎。
建议 2:如果 CSIA 服务要用于某些应用程序和互联网服务作为互联网的默认服务,请确保为 Citrix SIA 服务分组选择了特定应用程序。
如果选择 “所有应用程序” 通过 CSIA 和互联网服务进行路由,您可能会遇到的问题以及如何克服这个问题:
由于根据设计,互联网服务的成本为 5,CSIA 的服务成本为 45,所有流量都倾向于通过互联网服务而不是 CISA 服务进行路由。因此,最好注意互联网和 CSIA 服务在部署中共存时的路由。
使用前面的 2 条建议之一。或者,您可以将互联网服务成本修改为 “50”,以便 CSIA 服务更受欢迎(成本为 45)。
Citrix SD-WAN 110/210 配置
假设:假设乐队已经配置了 MCN。
Orchestrator 站点配置
- 在 Orchestrator 中创建站点并提供:
- 站点名称
- 选择本地
- 提供站点地址(PoC 完成的位置)
- 为添加的新站点输入必要的详细信息
- 输入设备型号 — 210
- 在本指南中,参考设备是 210。根据 PoC 中的设备进行适当选择
- 进入子模型:LTE
- 进入设备版本:SE
- 输入站点角色:分支
输入接口详细信息以定义 LAN/WAN 接口。
对于本 PoC 指南演示:
- 部署模式类型:网关模式
- 接口 — 1 个局域网和 2 个 WAN 接口
- WAN 链接 — 2(一个静态 IP 和 1 个基于 DHCP)
局域网接口定义
- 选择部署模式作为 Edge(网关)
- 选择接口类型作为 LAN,将安全选择为可信
- 选择 1/1 作为 LAN 接口
- 输入 LAN IP 作为 192.168.9.118
- 应用完成并保存
WAN 链接 1-接口定义
- 选择部署模式作为 Edge(网关)
- 选择接口类型作为 WAN,将安全选择为可信
- 选择 1/2 作为 WAN 接口
- 输入 WAN IP 作为 192.168.1.199
- 应用完成并保存
WAN 链接 2-接口定义
- 选择部署模式作为 Edge(网关)
- 选择接口类型作为 WAN,将安全选择为可信
- 选择 1/3 作为 WAN 接口
- 选择 DHCP 客户端,以便自动寻址 WAN 链路
- 应用完成并保存
WAN 链接 1-访问接口定义
- 选择访问类型作为公共互联网
- 选择自动检测
- 根据需要输入速度(基于可用的 PoC 链接)
- 15 Mbps 上载/下载
- 选择 WAN1 接口并提供网关(接入接口 IP 是自动填充的)
WAN 链接 2-访问接口定义
- 选择访问类型作为公共互联网
- 选择自动检测
- 根据需要输入速度(基于可用的 PoC 链接)
- 10 Mbps 上载/下载
- 选择 WAN2 接口,接入接口将自动填充(因为它是 DHCP 链路)
部署配置/软件以启动变更管理和激活
- 单击 “部署配置软件”
- 单击 “阶段” 并允许暂存完成
- 点击激活并允许激活完成
Citrix SD-WAN IPsec 隧道
创建 SIA 服务
前往所有网站-> 交付服务-> Secure Internet Access 服务
在全球层面调整 Secure Internet Access 服务的配置,并重新调整整体 Internet 链接配置
注意: 在全球层面,如果没有 SIA 服务的配置值,SIA 站点自动 IPsec 配置将失败
- 在 Internet 链接上为 Secure Internet Access 服务提供一定的配置百分比:对于此演示,我们给 30%
最佳实践建议: 如果没有此百分比置备,站点配置将失败。因此,建议我们在为 SIA 服务创建站点之前提供百分比
- 单击齿轮图标为 Citrix SIA 服务添加新站点
注意:在内部 创建 SIA 服务会创建一个自动 INTRANET 服务,该服务使用在 SIA 站点配置期间选择的路由域和保留 ROUTE TO-INTRANET 服务(自动忽略 WAN LINK 状态旋钮)。
创建 SIA 服务
- 点击 “+ 站点” 按钮添加网站
- 添加新站点后,配置以下部分。
- 选择隧道类型作为 “IPsec”
您可以使用 Citrix SIA 云节点创建 IPsec 隧道。在 PoC 中,我们使用 Citrix SD-WAN 和 Citrix SIA 之间的 IPsec 隧道自动配置
PoP 精选
- 选择 AUTO 为 IPSec 隧道选择最近的 2 个 PoP(基于在 Orchestrator 中创建的站点的地理位置)
- 最多选择 2 个 POP 来创建连接到 2 个不同 POP 的冗余活动备用隧道
注意: 确保在 Orchestrator 中提供分支的正确位置,以便完成最接近的 PoP 选择。
- 选择必须从 SD-WAN 站点自动配置到 SIA Cloud PoP 的站点
点击 “查看”
点击 “保存”
验证服务配置
- 添加站点后,如果在 “交付服务” 部分提供了服务配置,则站点置备将成功。
- 验证隧道类型是:IPsec
- 区域计数:2(如果您的账户中有 2 个或更多 POP 可用。如果您的帐户只有 1 个 PoP,则在 Orchestrator 中进行 Citrix SIA 配置期间只能看到 1 个 PoP)
状态:站点资源调配成功
交通指导
点击 “默认 SIA 组”
通过 Citrix SIA 服务路由 “所有应用程序”-如果所有互联网流量都要通过 Citrix SIA IPsec 隧道。在这种情况下,默认的 0.0.0.0/0 是通过 Citrix SIA 服务创建的
应用程序/自定义应用程序/组特定-如果只有需要通过 SIA 服务路由的特定应用程序。在这种情况下,应用路由是在 SD-WAN 中创建的
自动化验证
单击信息图标以了解从 SD-WAN 端自动化的 IPsec 隧道的详细信息
注意: 置备并保存 Citrix SIA IPsec 隧道后,Citrix SD-WAN Orchestrator 会将 Citrix SIA IPsec 隧道配置为隧道端点地址、IKE/IPsec 身份验证和加密设置以及应启用 Citrix SIA IPsec 隧道的 WAN 链接。
- 置备后,通过单击隧道上的 “i” 图标即可显示以下某些属性
- 本地 IP:列出了 2 个 WAN 链路的静态 WAN IP 地址
- 显示的对等节点 IP-隧道远程终端节点(基于站点的地理位置在隧道创建过程中自动选择)
- 显示的本地 LAN 子网-这是 SD-WAN LAN 接口的本地 VIP 子网
- 版本是 IKEv2
- 加密 — AES256
- MD5/Auth 哈希 — SHA256
- PFS/IKE 集团 — Modp 1024(组 2)
部署
暂存并激活配置以在 Citrix SD-WAN 和 Citrix SIA 云 POP 之间启用 IPsec 隧道建立
隧道验证
管理员在 Orchestrator 中添加 SIA 站点后,将启动自动通道配置。API 自动化在 Citrix SD-WAN 和 Citrix SIA CloudGateway 节点之间创建 IPsec 隧道。 从 Citrix SIA 方面来说,为了建立隧道,我们需要两件事。在将设备连接到云-> 隧道-> IPsec 隧道下创建隧道,然后在网络-> 本地子网下创建本地子网
注意: IPsec 隧道名称、IKE/IPsec 加密和身份验证设置、IKE 版本 2、本地和远程 ID(包括预共享密钥)是由 API 自动生成的,无需任何手动干预。
本地子网也会自动创建,在 SIA 云中新创建的隧道会适当地归因于本地子网。
注意:
启用的策略(安全组)为 “默认”,我们可以通过编辑本地子网并选择管理选择组来更改 Citrix SIA 平台中的策略
注意:
- 默认情况下 SSL 解密处于禁用状态
- 默认策略为 “默认”
- 转到所有网站-> 网络配置首页-> 交付服务-> Secure Internet Access 服务
- 点击 “信息” 图标
- 您可以使用本地和远程端点 IP 验证隧道状态
- 包含入站和出站数据包的统计信息的隧道状态
您还可以通过访问以下位置验证 IPsec 隧道的状态:
- 特定网站-> 报告-> 实时-> IPsec 隧道-> 检索最新数据
验证云 IP 分配
在 Citrix SIA 门户中,转到主页-> 节点集合管理-> 节点组-> 具有网关类型的节点群集
验证 IPSEC 隧道流量
隧道启动并运行后,使用https://ipchicken.com或https://whatsmyip.com验证代理 IP
如果您使用的是 Citrix SIA Cloud Connector(SIA Agent)或 IPsec 隧道(没有代理),则代理 IP 是 Citrix SIA 平台为使用的帐户提供的云节点之一
PoC 用例 1-SIA 代理 + 分支机构中的 Citrix SD-WAN
先决条件
首先下载并安装具有特定安全组(Windows 连接器)的 Cloud Connector(SIA Agent)。
注意: 您不能创建新的安全组,但只能修改默认安全组并更改名称以创建安全策略并将其应用于特定组。
例如,在这种情况下,我们正在修改组 7(未使用且仍是默认值),并对组名称 “POC_demo_Group” 进行更改。
代理的连接器配置先决条件
- 转到代理和缓存-> 代理设置-> 设置
- 单击启用代理设置为 “是”
- 确保用户身份验证方法是“本地用户凭据 + Cloud Connector”
- 确保连接器注册方法是 “标准注册 + SAML”
将其他人留为默认
单击将设备连接到云 -> Cloud Connector
单击 “配置连接器下载”
选择以下值。
- 使用 HTTP PAC — 是
- 安全组 — POC_demo_group
- 通过 SSL 注册-默认
- 强制门户-是
- 网关管理员-已启用
单击 Windows Cloud Connector 下载按钮,然后选择 Windows 8/10 64 位
注意: 请确保您通过谷歌 Chrome 浏览器访问 Citrix SIA Cloud 平台。使用 Firefox,安装程序可能无法下载为 .msi(在这种情况下,您需要手动更改文件的名称,从文件中删除 .html)。
- 让安装程序下载然后双击下载窗格中的安装程序,或者从存储它的下载文件夹中双击安装程序
- 双击后,将显示一个 PoP。点击 “更多信息”,然后点击 “无论如何运行”
- 点击 “无论如何运行” 开始安装 msi 文件
- 完成 MSI 文件安装,允许所有进一步的管理操作
- msi 安装完成后,在 Windows 搜索中查找 “服务” 并打开服务窗口。
按名称寻找 IBSA 的服务。这确认 Citrix SIA Agent 服务在主机上运行。
验证云代理服务运行后,访问 www.ipicken.com 或 www.whatsmyip.com 的代理 IP 是否是 Citrix SIA 帐户的 CloudGateway 节点的代理 IP
注意: 此时,在云代理成功注册后,IP 必须更改为其中一个云节点 POP IP。 如果您获得的 IP 是服务提供商 NAT IP 的 IP,则可以调试 SIA Agent/Cloud Connector 失败的原因。
- 如果从 Cloud Connector (SIA Agent) 成功注册云,请注意成功注册代理程序后的用户名和所有其他详细信息
注意: 如果您没有看到用户名和其他详细信息,则用户代理注册必须有一些问题。
- 转到用户组和设备-> 云连接设备
- 成功注册代理后,请在实时仪表板或事件日志下注意 Citrix SIA Reporter 上的座席流量
注意: 如果您安装了代理程序,请注意在代理下载/安装期间设置的组中显示的用户名(包括私有源 IP)。
配置
在此用例中,我们使用 Citrix SIA Cloud Connector(SIA Agent)直接使用互联网服务来突破并代理到 Citrix SIA Cloud,以便通过 Citrix SD-WAN 的叠加虚拟路径可靠地访问 DC 工作负载
如果没有 Citrix SIA,我们需要将企业敏感的 SaaS 应用程序回传到数据中心以提供安全性。但是,这会大大导致延迟,从而降低应用程序的交付和体验。
使用 Citrix SIA,不再需要回程。Citrix SIA 代理可帮助将企业 SaaS 连接直接代理到 Citrix SIA Cloud。然后,Citrix SIA 在分支机构/边缘创建安全的服务边缘基础架构。
推荐的最佳实践: 推荐的最佳实践是,从分支机构边缘 Citrix SD-WAN 的本地 IPsec 隧道中绕过来自企业托管设备的 Cloud Connector 流量。 这允许直接代理到 Citrix SIA,其中企业 OU 或安全组可以通过托管设备上的 Cloud Connector 直接执行。
要允许 Citrix SIA Cloud Connector 无缝 Call Home 总部到 Citrix SIA 网关群集和 PoP,绕过来自 IPsec 隧道的基于 Cloud Connector 的流量至关重要。
使用以下IP/端口/协议列表创建一个新的自定义应用
将自定义应用程序与 INTERNET 突破关联,以便 SIA 或 Cloud Connector 代理流量可以从隧道中绕过并通过互联网服务直接发送
Web 安全-类别策略
- 单击Web 安全-> Web 安全策略-> Web/SSL 类别
选择组作为 “POC_demo_Group”,因为已为该组安装了 SIA 代理)
启用封锁友谊和赌博类别
仅将设置保存到 “POC_demo_Group”
Web 安全-类别策略验证
- 打开浏览器的隐身窗口
访问 777.com(赌博网站)
一旦访问站点,启动页面就会阻止流量(由管理员在 POC_demo_Group 策略上强制执行
您还可以看到组名称是可见的,包括最终主机私有本地 IP 和用户名
描述还说明了访问的类别
报告事件日志表明访问赌博网站的阻止
- 打开浏览器的隐身窗口
- 访问 Facebook.com(友谊类网站)
一旦访问站点,启动页面就会阻止流量(由管理员在 POC_demo_Group 策略上强制执行
您还可以看到组名称是可见的,包括最终主机私有本地 IP 和用户名
描述还说明了访问的类别
记者还表示,友谊类别的 Facebook 被封锁。
Web 安全-允许列表
创建一个简单的允许列表,只允许来自当前被封锁的整个友谊类别的 Facebook
转到Web 安全-> Web 安全策略-> 允许列表
在 URL /IP 范围中添加一个允许列表,标明 facebook.com,然后单击 “+ 添加”
请注意允许列表显示添加的被允许的 URL
Web 安全-报告
- 打开隐身浏览器选项卡并访问 Facebook.com
- Facebook 似乎允许,但您可以看到它没有作为页面完全加载
注意: 这是因为 Facebook.com 依赖于其他相关的 URL,这些 URL 也需要在允许列表中才能正常打开整个页面/域名。
推荐的最佳实践: 对于允许/阻止列表 — SRAPE 并添加所有域(如果允许)。
- 转到 Web 安全下的允许列表
- Web 安全-> Web 安全策略-> 允许列表
- 点击抓取
- 键入 facebook.com,然后点击扫描
将所有域添加到允许列表
现在在隐身浏览器中打开 facebook.com 并完全打开
- 来自记者事件日志的注意,Facebook.com 现在是允许的,因为它被添加到允许列表中,不再被阻止
允许列表的优先级高于类别阻止
CASB-政策
创建 CASB 规则以在谷歌浏览器上启用安全搜索并禁用 gmail.com 访问
- 转到CASB-> CASB 应用控件-> 云应用控件
- 选择组作为 “POC_DEM_Group”
- 在搜索引擎控制-> 谷歌安全搜索执法
- 选择 “对当前组实施安全搜索”
- 在谷歌控件下
- 启用阻止 Google Drive
- 点击 “保存”
CASB 报告
Google Drive 阻止控制:
- 在隐身浏览器选项卡中访问 drive.google.com
一旦我们访问 Google Drive,就会弹出一个启动页面。这是由于在 POC_demo_Group 安全组中实施了 Google Drive CASB 控制
- 记者事件日志还显示对 Google Drive 的访问被阻止
类别显示 “Google Drive 已阻止”,因为它来自 CASB 控制
谷歌浏览器安全搜索启用:
- 在隐身浏览器选项卡中访问 google.com
- 我们访问后,google.com 就会打开一个搜索栏
- 输入 Citrix 或任何关键字并启动搜索
请注意,搜索结果已过滤,因为安全搜索处于开启状况,并且在引擎中输入关键字后立即显示搜索结果
反恶意软件防御-配置
注意:必须启用 SSL 解密(如果使用 Cloud Connector 并配置为在代理安装过程中自动安装根证书,则默认情况下启用此功能)。
- 转到Web 安全-> 恶意软件防御-> 云恶意软件防护
- 内容引擎必须准备就绪
单击 “扫描错误时阻止” 以启用
反恶意软件-验证
- 访问https://www.eicar.org/?page_id=3950
向下滚动然后单击下载 68 字节的文件
文件下载启动后,会弹出初始屏幕。由于检测到病毒或恶意软件,该页面被阻止。
通过 CSIA 报告部门进行验证
Reporter 还表示强制执行了恶意软件防护
DLP-配置
- 确保 DLP 内容和分析引擎已准备就绪且配置已适当完成
- 点击 “是” 进行内容分析和数据丢失防护
- 确保内容分析引擎已准备就绪
- 对于 PoC,允许内容引擎和分析引擎的默认选择
- 创建 DLP 规则,以便对未经授权的内容上载/下载/两者都能强制执行数据丢失防护
- 转到数据丢失防护选项卡
- Clcik DLP 规则
- 点击 “+ 添加规则”
- 在常规信息选项卡下:
- 确保已启用规则为 “是”
- 提供规则的名称
- 启用 PUT POST 的 HTTP 方法,以便我们可以在上载时强制执行 DLP
- 将内容引擎设为默认
- 在 DLP 选项卡下,从网络源到内容类型
- 选择保单作为 “包括除选定项目之外的所有内容”
- 在搜索条件选项卡中允许默认值
- 选择操作作为 “BLOCK”
DLP-报告
- 转到https://dlptest.com(用于验证数据丢失防护测试的站点)
- 单击示例数据并查看一些示例信息
单击 XLS 文件(这将下载文件)
- 查看下载文件夹(或您选择的文件夹)下的名称为 “sample-data.xls” 下载的文件
接下来使用此文件在新站点中测试 DLP
- 现在打开一个新的浏览器隐身选项卡并输入https://dataleaktest.com
- 点击上载测试
- 在上载测试页面中,向下滚动并单击 “SSL ON”
- 点击 SSL 开后,您可以在黑屏上看到消息 “系统准备好下一次使用 SSL 开启的 DLP 测试”
- 现在点击浏览
- 选择我们之前下载的文件 sample-data.xls 然后上载
上载敏感文件(包含 SSN)时,会弹出初始屏幕。由于未经授权的内容检测 (DLP),该页面被阻止
- 验证报告程序日志是否有 DLP 事件:
- 点击更多过滤器
- 选择日志类型作为 DLP,然后单击 “搜索”
- 请注意,DLP 上载被阻止
SIA 代理卸载
- 要启动 Citrix SIA 代理卸载过程,请右键单击之前下载的 Citrix SIA 安装程序(从下载的文件夹中)
- 选择卸载
选择 “是确实要卸载此产品吗?”
- 按照卸载过程进行操作,如果询问卸载,则管理说 “是”
转到窗口中的服务并检查 IBSA 服务是否已正确卸载且不存在
- 验证代理 IP
代理 IP 是 Citrix SIA CloudGateway 节点 IP 的之一。这是因为,我们用于 PoC 的测试笔记本电脑落后于 Citrix SD-WAN,其 IPsec 隧道仍在运行 Citrix SIA 云服务
卸载代理后,所有流量都将通过 IPsec 隧道
PoC 用例 2:没有 SIA Agent 的非托管终端 + Citrix SD-WAN
在此用例中,我们使用 Citrix SIA IPsec 隧道为分支 SD-WAN 背后的 BYOD、个人和来宾设备等非托管设备提供安全保护。分支代理中包含 Citrix SIA 的托管设备绕过隧道并直接连接到 Citrix SIA 平台。
推荐的最佳实践: 推荐的最佳实践如下:如果设备中没有 Cloud Connector 代理,则 Citrix SD-WAN 管理的分支机构使用 IPsec 隧道通过 Citrix SIA 平台安全地管理这些设备的安全策略。
注意: 默认情况下配置的隧道没有启用 SSL 解密。
仅使用 IPsec 隧道,我们只能获得以下功能:
- Web 安全(基于类别)
- 允许列表
- 阻止列表
通过隧道进行 SSL 解密将在下一个 PoC 用例中介绍,用于通过 IPsec 隧道行使全面安全性
Web 安全-类别块
在通过 IPsec 隧道验证策略实施之前,请在 Citrix SIA 云门户中创建安全策略
- 转到Web 安全-> Web 安全策略-> Web/SSL 类别
- 单击默认安全组,因为 IPsec 隧道是通常使用默认安全组创建的
注意: 如果要更改组,必须在本地子网中为具有 IPsec 隧道的条目手动执行此操作。
- 通过 IPSec 隧道为赌博和友谊类别启用 Category 阻止
Web 安全-允许列表
- 在友谊类别中添加允许列表以仅允许 Linkedin 但屏蔽所有其他社交媒体类别
注意:根据定义的最佳实践,在添加到允许/阻止列表之前,先抓取并解析其他URL依赖关系,以完全行使 URL Web 过滤的功能
Web 安全-阻止列表
通过 URL Web 过滤为 notpurple.com 之类的网站配置特定的阻止列表
- 转到Web 安全-> Web 安全策略-> 阻止列表
- 将网址 “notpurple.com” 添加到阻止列表
Web 安全-类别块验证
- 打开隐身浏览器选项卡并从赌博类别访问赌博网站 777.com
由于阻止列表策略的实施,会显示启动页面
- 从记者那里,我们甚至可以在日志中看到,由于赌博部分,对 777.com 的访问被绝对阻止
- 单击报告和分析-> 日志-> 事件日志
- 点击搜索
- 如果需要,请单击更多过滤器,然后选择操作-> 已阻止以过滤所有被阻止的记录事件
- 打开隐身浏览器选项卡,然后从友谊类别访问网站 facebook.com
请注意,该网站未打开(Facebook 因被阻止而无法访问)
从记者那里,我们甚至可以在日志中看到,由于友谊部分,Facebook.com 的访问被绝对封锁
- 单击报告和分析-> 日志-> 事件日志
- 点击搜索
- 如果需要,单击 “单击更多过滤器”,然后选择 “操作”-> “已阻止” 以过滤所有被阻止的记录
Web 安全-IPsec 隧道验证
- 我们最初将 LinkedIn 配置为免于友谊类别,以便通过选择性允许列表配置来阻止。
- 在隐身浏览器选项卡中,从友谊类别访问 linkedin.com
我们可以看到允许访问并且页面打开
由于允许列表配置优先于类别阻止,报告程序还会显示允许和未阻止的流量
- 最后,访问阻止列表中的特定网站 notpurple.com,看看通过隧道访问时被阻止
- 打开隐身浏览器选项卡并访问 notpurple.com
我们立即得到一个启动页面阻止访问该网站
报告器还显示要阻止的流量,因为它已被明确配置为阻止列表的一部分
IPsec隧道SSL解密
除非明确设置,否则配置的隧道通常会使用 SSL 解密禁用。 一旦 IPSec 隧道启用 SSL 解密,它就能够执行恶意软件防御、DLP、CASB 等所有高级安全功能。
但是,有一些先决条件,如果没有这些先决条件,就无法在使用 Citrix SIA 云的 IPsec 隧道上启用高级安全
重要的 3 个先决条件:
- 在 “代理/缓存-> SSL 解密-> 常规设置” 下启用透明 SSL 代理
- 在本地子网中的 IPsec 隧道上启用 SSL 解密
- 从 Citrix SIA Cloud 下载并安装 ROOT 证书,然后在受信任的根授权下安装在最终用户设备上(要通过平台启用 SSL 解密)
透明 SSL 解密
要启用 IPsec 隧道以允许 SSL 解密,必须启用透明 SSL 解密。
注意: SSL 解密可以应用于所有 IPsec 隧道,具体取决于我们的管理方式。我们可以为所有子网选择 SSL 解密,也可以为 IPsec 隧道的每个本地子网手动启用 SSL 解密。
对于此演示 PoC,我们启用了带 SSL 解密的显式隧道,然后从常规设置中选择值 “启用 SSL 解密的本地子网”
- 启用代理 SSL 解密 — 是的
- 在所有目的地上执行 SSL 解密
- 启用透明 SSL 解密 — 是的
- 在启用 SSL 解密的本地子网上执行透明 SSL 解密
让其他人默认
本地子网的 IPsec 隧道解密
注意: 在 SIA 门户(来自 Orchestrator)中配置后,在隧道上启用解密。
单击网络-> 本地子网-> 快速编辑本地子网(如以下快照中所示)
- 创建的所有 IPsec 隧道都需要一个本地子网来定义受 IPsec 隧道保护的终端主机的本地 LAN 子网。
- 根据名称和本地子网选择 IPsec 隧道
- 使用 Citrix SIA 站点的本地 LAN 子网自动创建本地子网
单击 SSL 复选框以启用 SSL 解密
- 在快速编辑窗口中,双击默认策略
- 默认策略指示应用于本地子网(定义了 LAN 网络)下的所有流量的安全组
- 选择 “POC_DEM_Group”
此外,双击登录组并选择 “POC_demo_Group”
根证书
SSL 解密必须在未托管设备的浏览器上安装 Citrix SIA SSL 根证书。 应用 CASB、恶意软件防御、DLP 等高级安全功能需要 SSL 解密。
注意: ROOT 证书的安装是手动过程,或者必须通过 GPO(组策略对象)或 MDM 或显示初始页的企业来执行,以确定如何在启动设备上安装根证书。
转到代理和缓存-> SSL 解密-> 操作-> 生成并下载新的 MITM 根证书
证书已下载。点击下载的新 MITM 根证书
双击证书时点击 “打开”
通过 “网络安全” 验证证书是否有效
这将我们带到向导。在商店位置下,选择 “当前用户”,然后单击 “下一步”
点击 “将所有证书放入以下商店”,然后单击 “浏览”
单击 “受信任的根证书颁发机构” 然后单击 “确定”
步骤 6 之后的注意;证书存储将更新为 “受信任的根证书颁发机构” 点击 “下一步”
点击 “完成”
请注意,弹出一个窗口,表示导入成功。在弹出的窗口中单击 “确定”,然后在证书安装窗口中单击 “确定”
安装完成后,请确认受信任的根证书颁发机构中存在颁发者 “网络安全” 证书。
在 Windows 中:在搜索框中搜索 certmgr,您可以打开证书管理器
- 导航并单击受信任的根证书颁发
- 点击证书
- 按名称 “网络安全” 验证证书(突出显示)
如果找到证书,则安装成功,并且通过 IPSec 隧道测试 SSL 解密的先决条件已完成
PoC用例3:没有新航代理的非托管终端节点+带SSL加密的Citrix SD-WAN
在此用例中,我们将使用带 SSL 解密的 Citrix SIA IPsec 隧道,并从 Citrix SIA 云中使用高级安全功能,如 CASB、恶意软件防御、DLP 等。
Citrix SIA IPSec 隧道允许在分支机构 SD-WAN 后安全地管理 BYOD、个人和来宾设备等非托管设备。具有代理的设备绕过隧道并强制执行策略。
推荐的最佳实践: 推荐的最佳实践如下:如果设备中没有 Cloud Connector 代理,则 Citrix SD-WAN 管理的分支机构使用 IPsec 隧道通过 Citrix SIA 平台安全地管理这些设备的安全策略。
CASB — 策略配置
我们创建了 CASB 规则来启用谷歌浏览器上的安全搜索,同时禁用 gmail.com 访问
- 转到CASB-> CASB 应用控件-> 云应用控件
- 选择组作为 “POC_DEM_Group”
- 在搜索引擎控制-> 谷歌安全搜索执法
- 选择 “对当前组实施安全搜索”
- 在谷歌控件下
- 启用阻止 Google Drive
点击 “保存”
CASB-验证
谷歌浏览器安全搜索启用
- 在隐身浏览器选项卡中访问 google.com
- 一旦我们访问,我们就会通过搜索栏获得 google.com
- 输入 Citrix 或任何关键字并启动搜索
我们看到,当安全搜索开启时,搜索结果会被过滤,并且在引擎中输入关键字后立即显示搜索结果
Google Drive 阻止控制
- 在隐身浏览器选项卡中访问 drive.google.com
一旦我们访问,我们就会得到一个启动页面,表示由于 POC_demo_Group 安全组中实施的 CASB 控制,访问 Google 云端硬盘被阻止
- 记者事件日志还显示对 Google Drive 的访问被阻止
类别显示 “Google Drive 已阻止”,因为它来自 CASB 控制
反恶意软件-配置
注意: 必须启用SSL 解密(如果使用 Cloud Connector 并配置为在代理安装过程中自动安装根证书,且默认情况下此功能处于启用状态)
- Goto Web 安全-> 恶意软件防御-> 云恶意软件防护
- 内容引擎必须准备就绪
单击 “扫描错误时阻止” 以启用
反恶意软件-验证
- 访问https://www.eicar.org/?page_id=3950
向下滚动然后单击下载 68 字节文件
验证
文件下载启动后,会弹出初始屏幕。由于检测到病毒,该页面被阻止。
Reporter 还表示强制执行了恶意软件防护
DLP-配置
数据丢失防护配置
- 单击数据丢失防护选项卡-> DLP 设置
- 点击 “是” 进行内容分析和数据丢失防护
- 确保 DLP 内容和分析引擎已准备就绪且配置已适当完成
对于 PoC,允许内容引擎和分析引擎的默认选择
- 创建 DLP 规则,以便对未经授权的内容上载/下载/两者都能强制执行数据丢失防护
- 转到数据丢失防护选项卡
- 点击 DLP 规则
- 点击 “+ 添加规则”
- 在常规信息选项卡下:
- 确保已启用规则为 “是”
- 提供规则的名称
- 启用 PUT 和 POST 的 HTTP 方法,以便我们可以在上载时强制执行 DLP
- 将内容引擎设为默认
- 在 “网络源” 直到内容类型的 DLP 选项卡下
- 选择保单作为 “包括除选定项目之外的所有内容”
- 在搜索条件选项卡中允许默认值
- 选择操作作为 “BLOCK”
DLP-验证
- 转到https://dlptest.com(用于验证数据丢失防护测试的站点)
- 单击示例数据并查看一些示例信息
单击 XLS 文件(这将下载文件)
查看下载文件夹(或您选择的文件夹)下的名称为 “sample-data.xls” 下载的文件
- 现在打开一个新的浏览器隐身选项卡并输入https://dataleaktest.com
- 点击上载测试
- 在上载测试页面中,向下滚动并单击 “SSL ON”
- 点击 SSL 开后,您可以在黑屏上看到消息 “系统准备好下一次使用 SSL 开启的 DLP 测试”
- 现在点击浏览
- 选择我们之前下载的文件 sample-data.xls 然后上载
上载敏感文件(包含 SSN)时,会弹出初始屏幕。由于未经授权的内容检测,该页面被阻止。
验证报告程序日志是否有 DLP 事件:
- 点击更多过滤器
- 选择日志类型作为 DLP,然后单击 “搜索”
DLP 上载被阻止,并向用户显示初始页
摘要
在本概念验证指南中,您学习了如何将组织的边缘 SD-WAN 设备与 Citrix SIA Cloud 集成。Citrix SD-WAN 和 Citrix SIA 一起为企业提供了性能改进和安全优势以及出色的用户体验。