技术简报：软件定义广域网边缘安全

简介

随着云和 SaaS 的持续增长，企业正在寻找解决方案来提供最佳互联网访问，无论端点位于何处。Citrix SD-WAN 擅长在边缘通过 WAN 或互联网流量引导内部网流量。它应用业务规则，使用包含 4,500 多个预定义条目的数据库来识别应用程序。

但是，要提供直接互联网访问，企业还需要保护远程办公室的安全以保护内联网。直接互联网访问会使远程网络以及整个公司网络旁边的威胁面临威胁。必须对入口和出口流量进行过滤、检查和扫描，以防范漏洞。

Citrix SD-WAN 具有本机板载 ICSA 认证的防火墙。它通过云代理与领先的第三方Secure Web Gateway (SWG)供应商集成。Citrix SD-WAN 还将板载 SWG 作为虚拟网络功能 (VNF)托管。安全合作伙伴包括：

• iboss
• Check Point
• Palo Alto
• Forcepoint
• Zscaler

现在，Citrix 已将本机板载新一代防火墙-边缘安全功能添加到 SD-WAN 保护选项库中。Citrix SD-WAN 版本 11.2 高级版的发布结合了全堆栈安全功能及其应用程序性能增强功能，包括：

• 入侵防护
• 网页过滤
• 防恶意软件

因此，企业现在能够完全使用 Citrix 从网络边缘安全地增强应用程序性能。他们还可以使用 Citrix SD-WAN 设备自信地整合其分支办公室网络，该设备可以在检查流量和保护流量的同时提供互联网服务的指导。企业还可以使用 Citrix Cloud 托管的 Orchestrator 服务，通过单一平面管理和监控边缘安全性。

入门

只需满足少数要求，Citrix SD-WAN 客户就可以使用高级版-边缘安全性快速启动和运行：

• Citrix管弦乐队
• 11.2 以上的软件
• 1100 AE 设备
• 高级版 (AE) 许可
• 防火墙安全配置
• 防火墙策略操作

网络配置— 软件版本 11.2.0.88 和 1100 设备

基本设置 — 设备版 AE

防火墙安全配置

防火墙配置文件

入侵防护

入侵防御系统 (IPS) 通过识别、记录和阻止已知攻击来降低网络受威胁的风险。 攻击模式会定期更新并添加到通用数据库中。Citrix SD-WAN 边缘防护 — 入侵防护包括 34,000 多个用于端口扫描的签名检测和启发式签名。

Citrix SD-WAN 边缘安全入侵防护功能由 Suricata开源网络威胁检测引擎提供支持。Suricata 由开放信息安全基金会（OISF）拥有和支持。它使用广泛的规则和强大的签名语言检查穿过防火墙后的网络流量。

规则寻找攻击，例如

• 端口扫描机器人或坏参与者测试容易渗透的开放端口。
• 来自已知 “坏” 公共 IP 地址的任何流量。
• 拒绝服务攻击，攻击者试图通过过度发送某些协议序列或大量流量来超出网络带宽并接收缓冲区。

Citrix SD-WAN 入侵防护包括根据严重性将预定义的规则分为四个优先级类别之一：

• 严重
• 高
• 中
• 低

可自定义的规则包括用于指定要在逻辑语句中标识的模式的字段。匹配后，可以执行以下操作：

• 推荐-执行为签名定义的建议操作。
• 启用日志-允许并记录与规则中任何签名匹配的流量。
• 允许列表-将修改签名的源网络和目标网络，以排除由允许列表变量定义的网络。
• 禁用-签名已禁用。允许流量在不记录的情况下继续到目的地。
• 启用阻止-丢弃与规则中任何签名匹配的流量。
• 启用 “如果建议启用阻止”-如果规则操作为 “推荐”，并且签名的建议操作为 “启用日志”，请删除与规则中任何签名匹配的流量。

您可以通过报告 Intrution Prution 事件来保持可见性。

有关更多信息，请参阅Citrix SD-WAN 边缘安全 — 入侵防御

网页过滤

Web 筛选可以降低用户在已知 “不安全” 域名后面的站点上点击链接并使用恶意软件、病毒、勒索软件或其他威胁感染终端的风险。它还有助于防止用户访问违反合规性规则或企业可接受使用策略的站点。

Citrix SD-WAN 利用Webroot 的基于 BrightCloud机器学习的 Web 分类和 Web 信誉引擎来过滤域名。它包括 320 多亿个 URL 和 7.5 亿个域名。当用户访问网站时，将发送 URL 以进行分类。将维护临时本地缓存，以便在下次请求 URL 时加快查找速度。

Web 过滤已启用，并在安全配置文件中配置首选项。

可以选择现有类别来 “阻止” 访问网站或 “标记”（日志）访问。或者，特定网站可能会被域名或 IP 地址 “绕过”。

您可以通过报告 Web 过滤事件来保持可见性。

有关更多信息，请参阅Citrix SD-WAN 边缘安全 — Web 过滤

反恶意软件

反恶意软件可保护用户免受勒索软件和病毒的侵害。它可以防止通过 HTTP 下载传送或通过 SMTP 发送的电子邮件打开的文件。在Bitdefender的支持下，它通过电子邮件或HTTP下载汇编和扫描面向用户的文件。然后，反恶意软件可以阻止文件交付、记录其存在情况，或发送有关已识别风险的通知。

Citrix SD-WAN 反恶意软件需要四个步骤来评估文件。它可以扫描 41 种文件类型扩展和 10 种 MIME 类型的电子邮件内容。如果文件未通过以下任何测试，则将其视为恶意软件，下载将被阻止：

1. 根据指纹查询威胁情报数据库以获取有关文件元数据的信息。
2. 在执行云查找时，使用 Bitdefender 的签名数据库的本地扫描将在服务器上运行。
3. 执行启发式扫描以查找可执行文件中的可疑模式。
4. 最后，在模拟器中评估代码并查找恶意活动。

通过选择特定文件类型的扩展名，可以启用或禁用反恶意软件。

此外，您可以选择将某些 MIME 类型排除在扫描之外。

您可以通过报告反恶意软件事件来保持可见性。

有关更多信息，请参阅Citrix SD-WAN边缘安全,防恶意软件

差异化

借助 11.2 高级版附带的 Edge Security，Citrix 现在是为数不多的在本地设备中提供入侵检测、Web 过滤和反恶意软件的 SD-WAN 供应商之一。借助边缘安全，Citrix SD-WAN 为企业提供了巨大的价值，包括：

• 最大限度地提高用户体验并最大限度地减少网络带宽— 企业不再必须通过 Wan 回传互联网流量来满足合规性要求并防范互联网的风险。现在，他们可以将流程引导到最近的业务 SaaS 站点，同时保护终端节点。
• 保护企业外围— 直接互联网访问可实现更好的应用程序性能，但它会使分支机构以及随后的公司网络面临风险。Edge Security 通过防范远程办公室互联网访问点的漏洞来降低这种风险。
• 分支办公室整合— 企业可以简化必须管理和托管在远程办公室设施柜中的设备。以下所有设备功能都可以替换为 Citrix SD-WAN 1100 AE 设备：
  • 独立路由器
  • SWG 电器和防火墙
  • DHCP 和 DNS 服务器
  • WAN 优化设备
• 单点联系人— 客户可以就网络转发或网络安全问题联系 Citrix。如果出现复杂问题，只要有单点联系人就可以避免手指向。企业可以与 Citrix 服务合作来支持运营。
• 简化监控和管理- 借助 Citrix Cloud 托管的 Orchestrator 服务，企业管理员可以使用易于使用的仪表板来载入、配置和监控其 Citrix SD-WAN Edge 安全实施。

摘要

使用Citrix SD-WAN Edge Security，企业可以提供出色的互联网服务用户体验，同时保护边缘出口点的内部网。借助11.2 高级版，Citrix 可在 **SD-WAN 1100 AE 设备上提供入侵防护、Web 过滤和反恶意软件**。用户终端节点在分支办公室受到保护，而管理员则通过 Citrix Cloud 托管的 Orchestrator 服务集中管理和监控其网络。