技术简报：Citrix Secure Internet Access

概述

对远程办公的广泛需求以及应用程序向云的转移使得企业绝对必须保护用户的互联网访问。而且，由于用户和设备是新的网络边界，因此必须在云中确保互联网访问安全。Citrix Secure Internet Access (CSIA) 将重点从保护外围转移到跟踪用户，以确保无论身在何处都能安全访问 Internet。

对远程办公的需求使基于设备的网络安全策略变得不可持续。预计带宽消耗的增加加上回程移动流量将很快使任何本地设备架构的最大容量饱和。

由于越来越多地使用云应用程序和服务，网络边界受到侵蚀，这进一步加速了这种回程。结果将是最终用户体验不佳，并且由于延迟而导致工作效率降低。

CSIA 通过以下方式为所有地点的所有用户提供全面的互联网安全保护：

• 完善的网页和内容过滤
• 恶意软件防护
• 保护过时的浏览器和操作系统 (OS)
• SSL/TLS 流量管理
• 用于云应用程序和社交媒体控件的云访问安全代理 (CASB)
• 实时高级报告
• 适用于任何设备和任何地点的灵活数据流量重定向
• 与 Citrix Virtual Apps and Desktops 以及软件定义广域网集成

CSIA 使用基于角色的 “零信任” 策略模型。Zero Trust 的核心目标之一是根据用户的角色和身份分配策略和管理对资源的访问。这个基本概念已融入CSIA的政策引擎中。

体系结构

CSIA 是一项云原生技术，在全球 100 多个接入点运行。该架构不仅提供了连接的交付机制，还可以附加到其他解决方案以提高性能和安全性。例如，CSIA 可以从其他威胁情报技术中获取签名，并与通过我们云的流量进行比较。

通过使用容器化网关，每个客户的数据平面都是分开的。用于解密流量的私钥是特定于客户的，不会与其他人共享。每个处理或存储数据的工作单元都完全专用于不需要管理任何组件的客户。工作单元可以水平弹性扩展。

CSIA 允许管理员直接在云管理门户中明确定义云区域。这些区域可确保给定区域内的用户在该区域内受到保护，并记录给定区域内生成的事件以保留在该区域内。此功能对于 GDPR 等法规非常重要，因为这些法规要求数据保持在国界范围内。此外，云区域可用于定义用户连接到云的方式，具体取决于位置。例如，当用户从一个办公室移动到另一个办公室时，这些管理员定义的区域可以动态绕过适用于每个办公室的本地打印机和服务器。

重定向 Flow

传统上，来自远程用户的 Internet 应用程序流量通过缓慢且超载的 VPN 发送，以提供网络安全，以实现合规性、恶意软件防御和数据丢失防护。这通常会导致连接速度缓慢或网络中断，使用户无法安全有效地工作。此外，针对零信任架构的租户，通常提供对网络而不是特定应用程序的访问。结果是权限过高，特别是对于只需要有针对性地访问少量资源的用户而言。

相消除了对缓慢和过载的VPN连接的需求,并将流量直接从用户发送到必要的云资源或应用程序。CSIA 还通过仅允许用户访问特定的资源和应用程序来降低数据丢失的风险，并进一步分割网络。

CSIA 解决的另一个难题是，当最终用户在内部边界之外旅行时，应用基于流的入侵防护。他们从一个地方移动到另一个地方，再从组织控制之外的网络中工作。CSIA 的容器化架构允许将基于流的 IP 应用于漫游的用户。这些网络包括组织拥有的网络和不属于该组织的网络。CSIA 的架构允许每个客户接收专用 IP 地址，这些地址的使用方式与使用本地 IP 地址的方式相同。

CSIA 将网络数据路由到云端以执行网络安全功能，而无需在线设备。这可以通过使用代理设置、端点代理/连接器、GRE 隧道或 IPsec 隧道来实现。

CSIA 会跟踪用户进出物理网络边界，从而为用户提供专用 IP 地址，而不管他们身在何处。此功能可用于要求用户仅通过网关保护的连接访问业务应用程序。即使在办公室外工作或在个人设备上工作。源 IP 地址可用于限制对资源（如管理门户）的访问，方法是将源 IP 地址用作登录要求。

云Connectors 是最常用的部署方法，最常用于具有托管设备的组织。Cloud Connectors 是协助 CSIA 配置端点上的注册、身份验证和证书管理的代理。

可以通过多种方法远程推送安装，例如：

• Windows 通过 GPO、MDM、SCCM 部署
• 通过 MDM 部署 macOS/iOS
• Chromebook 通过谷歌管理员控制台部署
• Android 通过与Android VPN 网络或 Always On VPN 进行原生集成
• 支持Red Hat Fedora 和 Ubuntu 的 Linux
• Windows 终端服务器

云Connector可帮助用户连接到 CSIA。这些连接器采用移动和云优先的方法，将用户的设备连接到云安全，无论他们是在办公室还是在路上。无需通过数据中心回程传送流量，因为无论用户身在何处，策略都将遵循。它们将您的设备直接链接到 CSIA，从而提供从任何位置的安全访问，并且：

• 配置网络以将流量定向到 CSIA 服务
• 代表用户管理证书以允许 SSL 拦截
• 动态提供用户身份和组成员身份
• 跨所有端口透明地重定向设备上的所有数据

如果您的设备具有非标准操作系统，则可以通过自动生成代理 Pac 文件来配置无代理数据重定向。

代理 PAC文件用于基于用户位置（源 IP）重定向流量的无代理数据重定向。PAC 文件支持地理位置以自动将用户连接到最近的网关，并支持 GDPR 分区。它是在逐个用户的基础上动态生成的。代理 PAC 支持负载均衡、水平扩展和通过 SAML 进行身份验证。

IPsec/GRE使用边缘路由器和防火墙创建隧道，并将每个位置的所有流量重定向到 CSIA。隧道指向将流量路由到网关的单个 CSIA DNS 目标。选择使用 GRE 或 IPsec 取决于现有边缘路由器/防火墙支持的内容。身份验证是通过连接器和 SAML 实现的。

SD-WAN和 CSIA 可以与 IPsec 和 GRE 隧道一起使用。Citrix SD-WAN 通过使用应用程序知识智能地将互联网、云或 SaaS 流量引导到 CSIA，从而与 CSIA 集成。

DNS用于最终用户不使用Cloud Connector、代理 PAC 或 SD-WAN 的情况。CSIA 将类别和策略应用于 DNS 记录，并从本地 DNS 服务转发 DNS 记录。每个分支位置的网络都会将 DNS 流量重定向到 CSIA，并接收唯一的安全策略。策略和报告日志都基于每个位置。

身份验证

CSIA 可以使用本地用户身份、Microsoft Active Directory (AD) 或其他类型的现代 IdP（例如 Azure AD）。使用传统 AD 时，CSIA 上的安全组必须与 AD 中的安全组匹配。使用基于代理的 Cloud Connector 部署时，CSIA 会定期检查设备上的组成员身份。当用户属于 AD 中的多个安全组时，可以为所颁布的策略设置优先级。优先级较高的号码优先于较低优先级的号码。

您可以将当前的 Active Directory 安全组与 CSIA 安全组关联起来，方法是将两个安全组使用相同的名称。在特定用户属于多个组的情况下，可以为 CSIA 安全组分配优先级编号。CSIA 将用户置于优先级号码较高的组中。可以分配组别名以将多个 Active Directory 组关联到单个 CSIA 安全组。

CSIA 可以使用Cloud Connector、云身份、SAML 或 Active Directory 插件使用四种不同类型的身份验证。

云Connector：Cloud Connector通过发送到 CSIA 的会话密钥透明地处理身份验证。Cloud Connector使用设备上的用户身份。因此，访问互联网时不需要额外的身份验证。当用户浏览 Internet 时，会根据 CSIA 中的安全组映射应用策略。CSIA 中的安全组可以与现有组和 OU 相匹配。当 Cloud Connector 提取组信息并将其发送到 CSIA 服务时，CSIA 知道用户属于哪个本地组。CSIA 使用该信息创建加密的会话密钥，然后将其发送回设备。每个 Web 请求都会获取附加到请求的会话密钥，用于策略匹配。

云身份：Cloud Connector可以将用户组与云身份提供商 (IdP) 同步。目前 CSIA 支持谷歌、Azure 和 Okta。每个提供程序的配置各不相同，但通常包括指定刷新间隔、客户端 ID、密钥和域。

SAML：SAML 身份验证可以基于浏览器，也可以通过连接器进行关联。SAML 允许将身份验证移交给 SAML 身份提供商，而 CSIA 则充当服务提供商。SAML 身份验证必须与代理数据重定向配对，并支持 Okta、ADFS 和其他 SAML 提供程序。

AD 插件：可以跨域控制器安装的服务器端代理，以便在域内提供登录服务。从 DC 收集组织单位、安全组和计算机，然后发回 CSIA 进行策略分配。

可以将别名添加到安全组，以捕获一个较大的 CSIA 组下的多个用户组。当您的用户分为多个组时，优先级很重要。组的优先级越高，策略实施的优先级越高。有 3 种不同的策略引擎。当数据包通过 CSIA 时，将按以下顺序确定将哪个策略应用于该数据包：

• 步骤 1-IP 子网：根据数据包的源 IP 地址对照在网络设置中配置的本地子网检查数据包。如果找到匹配项，则在继续前进之前保存策略组。
• 步骤 2-设备：将源 IP 与静态和动态计算机列表进行比较。如果找到匹配项，则步骤 1 中的策略组将被此处找到的策略组替换。
• 步骤 3-用户策略：如果用户登录到设备并发现与设备关联，则与该用户关联的组将覆盖步骤 2 中的组。

安全功能

容器化网关扫描云中的数据，它们执行 Web 过滤、防范恶意软件、检测数据并防止数据在用户和 Internet 之间移动时丢失。

SSL/TLS 解密

Internet上的许多（如果不是大多数）站点和服务都在加密与用户的通信，其中SSL/TLS是最常用的协议。这使得检查 SSL/TLS 流量的能力对于有效的互联网安全至关重要。如果不这样做，组织的大部分流量就会变得不安全。恶意软件或内部不良行为者可能会泄露网关看不见的公司数据。

作为一项关键但需要大量处理的任务，SSL/TLS 解密很容易使试图实现对内容和云应用程序使用情况的完整 SSL/TLS 可见性的传统安全设备负担过重。CSIA 具有可扩展的云架构，可根据需要进行扩展和收缩。每个客户的资源都是完全容器化的。CSIA 将每个组织的解密密钥与其他组织隔离开来。

如果没有 SSL/TLS 解密，报告和分析就会受到限制。例如，在未启用该设置的情况下搜索 Internet 时，CSIA 可以报告搜索站点，但不能报告搜索查询中使用的关键字。阻止、允许或监控基本 HTTP 访问不需要 SSL/TLS 解密。启用 SSL/TLS 解密后，CSIA 可以检查 HTTPS 流量，从而提供更精细的操作和可见性。

CSIA的SSL/TLS解密工作原理是实施 “中间人” 安全程序。SSL/TLS 解密可以透明地执行，也可以通过代理连接执行，唯一的要求是在云连接的设备上部署 SSL/TLS 证书。CSIA 充当根证书颁发机构。它拦截对合法站点的SSL/TLS请求，请求它们，使用自己的CA证书对收到的数据进行签名，然后将数据发送给客户端。

为避免出现客户端安全警告，连接的设备需要来自 CSIA 的证书。可以在Cloud Connector安装期间分发证书。为了验证，在导航到站点时，受信任的证书将被视为由 CSIA 颁发，而不是由站点颁发。SSL/TLS 证书可以通过安装程序向下推送、手动安装或通过任何典型方法在根 CA 推送。

解密所有目标注意：首次配置 SSL 解密时，建议从选择性 SSL 解密开始，因为并非所有网站都接受 SSL 解密。

可以为用户在 Internet 上前往的所有目的地启用 SSL 解密。另一方面，对于不接受SSL解密的网站，可以将绕过设置为仅有选择地解密某些目标。以下是可以设置的各种旁路类型。

• 域包括所有子域名（如果不适合该站点）
• 注意：域名旁路也包括其所有子域名
• Web 类别（如果不适合该类别）
• 群组（如果不适合特定用户/组）
• IP 地址和范围（如果不需要）

防恶意软件

CSIA 使用许多不同的安全层进行恶意软件防护。恶意软件防护包括：

• 从顶级签名数据库中识别和缓解恶意软件
• 专有的恶意软件注册表
• 实时威胁信息与即时数据库更新

管理员可以利用高级内容分析和沙盒功能启用基于信誉的防御和恶意软件防护。流式恶意软件信誉会根据签名数据库处理用户正在访问的 URL。高级恶意软件分析防御将自动存放用户下载的文件以进行行为分析。

将恶意软件规则应用于内容时，将从列表的顶部到底部检查这些规则。找到匹配项后，将选择该规则，不再考虑其他规则。优先级较高的规则将位于列表的顶部。可以轻松地向上和向下移动规则，以确保将优先级设置为适当的顺序。通过分析请求的各个方面（包括 URL、HTTP 标头和网站内容），网站的风险评分在 1-100 之间。根据该分数，该页面要么被阻止，要么被允许，具体取决于 “低风险”、“中风险” 和 “高风险” 的阈值。可以为每个风险阈值分别设置 “允许” 或 “阻止” 的 “风险请求操作”。对于大多数配置，默认设置可在性能和安全性之间实现最佳平衡。

• 针对多态威胁的高级恶意软件检测和防护
• 跨所有端口和协议的命令和控制回叫监控
• 无签名和无签名的恶意软件防护和泄露检测
• 事件响应中心
• 入侵检测和防御
• 行为恶意软件沙盒
• 流式恶意软件和信誉防御-使用来自 CSIA 和多家业界领先的威胁情报公司的组合信息阻止恶意主机和 IP 地址
• 高级恶意软件分析防御-检查文件，包括档案。恶意软件规则确定在 AV 引擎确定文件为恶意文件时采取的处理措施

入侵防御系统 (IPS) 使您能够保护网络免受数据包流（也称为 “动态数据”）中的恶意威胁。文件和档案等项目的恶意软件防御设置处理 “静态数据”。IPS 策略引擎在 CSIA 中运行。IPS 允许您选择在日志中处理和记录的威胁类型。对这些设置所做的更改将在节点群集中自动同步。对于大多数配置，这两个选项都处于启用状态：

• 启用实时入侵、恶意软件和病毒防护：启用基于数据包或流的威胁检查和防护
• 排除私有子网：如果要忽略本地到本地的流量，请 启用此选项。

当 IPS 检测到威胁时，威胁规则将决定它采取的处理措施。威胁规则有以下三种处理措施之一： 监控、阻止和禁用。

网页过滤

Web 类别是一种基于安全组映射过滤 Web 访问和流量的快速、有用的方法。根据域的不同，它具有一个或多个基于其域的类别与之关联。“Web 类别” 设置设置特定组的基准访问权限。允许/阻止列表和策略层可以配置为更精细。您可以为每个单独的类别从多个操作选项中进行选择。操作可以应用于 Web 类别，并且彼此独立。CSIA 中的 Web 策略是根据用户的安全组关联实施的。CSIA 上的大多数 Web 安全策略可以有选择地应用于安全组或多个组。

• 域名是根据其网站内容进行分类的
• 每个类别都有自己的一组动作，这些操作独立于其他类别进行配置
• 分配了多个类别的域受类别优先级的约束，这些优先级决定了用户遇到的操作
• 您可以为网页类别分配四种主要操作：允许、阻止、隐藏或软覆盖
• 启用/禁用SSL解密
• 如果一个域与多个类别相关联，则应用于该域的操作取决于与这些类别关联的优先级编号。优先级值较高的类别优先。
• 软覆盖-向用户显示类别的屏蔽页面，但允许用户选择软覆盖命令
  • 允许用户在第二天之前访问 URL
  • 任何带有软覆盖的屏蔽页面都会在报告和分析中显示为软封锁

屏蔽或允许网站

可以使用阻止列表来阻止网站浏览。阻止列表可用于有选择地限制对网络资源的访问。允许列表允许访问被 Web 类别策略阻止的 URL。允许列表可用于授予对特定资源的访问权限。

以下是配置阻止列表的各种方法：

• URL 匹配：可以使用域、子域、IP 地址、IP 范围和端口来匹配 URL
• 通配符：通配符条目可以在阻止列表中使用，方法是省略路径中的尾部正斜杠，即 “mywebsite-parent-domain.com”
• 显式：这些是非通配符条目；它们可以通过在路径后面附加一个正斜杠来创建，即 “mywebsite-parent-domain.com/”
• 正则表达式：正则表达式可用于匹配复杂模式

自定义区块页面

可以为尝试访问被阻止内容的用户创建自定义屏蔽页面。此外，屏蔽页面也适用于那些在睡眠模式下尝试访问意图的用户。“自定义块” 页面具有以下关联操作：

• 重定向：将用户发送到特定 URL
• Silent Drop：在没有响应的情况下阻止访问
• 允许用户登录：登录到在网关上创建的账户，绕过屏蔽页面

关键字

关键字过滤可用于检查 URL 以查找特定的单词。

• Web Gateway 可以采取措施来允许或阻止用户的活动，具体取决于其搜索关键字的关联行为。
• CSIA 包括预定义的成人和高风险关键词列表，可以根据需要进行自定义。
• 管理员可以选择在每个组的基础上启用预定义的列表。

数据丢失防护

数据丢失防护 (DLP) 模块是一个高级分析引擎，用于检查传输中的数据是否存在潜在丢失和敏感信息。它包括内置的个人身份信息 (PII)、信用卡信息（包括条带数据）和其他内容的检测。此外，还可以定义自定义模式来检测内容，例如来自 CRM 或数据库系统的数据。

DLP 模块提供保护，防止未经授权的云使用和敏感数据丢失。这包括保护云服务的使用，以确保敏感数据在组织批准的云服务中得到保护和维护。 基于文件的深度数据丢失防护功能，可检测、警报和停止敏感数据的传输。高级检测功能通过分析多种文件类型（包括压缩的嵌套文件）来检测和保护内容中的敏感信息。

云访问安全代理

Web 安全模块具有广泛的社交媒体和云应用程序控件。使用 Cloud Access 安全代理 (CASB) 应用程序控件，您可以管理对常见在线应用程序和社交媒体的访问。云端应用控件可用于限制流行社交媒体和云服务上的活动。Cloud App Controls 可以应用于特定的安全组，以允许或阻止发帖、点赞、关注等项目。

• 云应用程序控制可用于管理社交媒体服务的使用，例如 Pinterest、Facebook、Twitter、LinkedIn、搜索引擎、YouTube 和Google Apps 件
• 其中的每一个的控制都可以按组进行调整
• 特定的云和 SaaS 服务和社交媒体网站需要启用 SSL 解密

搜索引擎控件允许您在各种搜索引擎上设置安全搜索设置。这些设置也可以应用于全局或特定组。支持谷歌、雅虎和必应网络浏览器搜索引擎。

您可以阻止用户将文件上载到各种云服务。Dropbox、Box、OneDrive、Google Drive 和通用文件上载可能会被阻止上载文件。YouTube 管理员可以限制内容、隐藏评论以及创建允许列出的视频库。YouTube 管理员设置可以在全球范围内应用，也可以应用于特定的安全组。

YouTube 管理员可以执行其他操作，例如：

• 主页：您可以将用户重定向到组织的 YouTube 频道。
• 带宽保存：您可以强制视频以标准清晰度播放
• 允许的视频库：您可以允许访问被 YouTube 限制搜索设置阻止的特定视频。

Microsoft CASB 集成实现了对未经批准的应用程序的流量策略控制，并在 CSIA 中实现了 CASB 报告可见性。与 “Microsoft Cloud App” 平台的集成提供了精细的流量策略控制和分配，以便在单一管理平台中阻止未经批准的应用程序和CASB报告。实时流量记录和统计信息通过 API 集成传送到 “Microsoft 云应用安全” 平台。CSIA 和Microsoft 配置之间的集成只需在 CSIA 中输入Microsoft 订阅信息即可实现。

高级 Web 安全

关键字过滤用于检查 URL 中是否存在某些关键字，并限制用户搜索和短语。根据检查结果，可以允许或屏蔽内容。关键词可以手动添加，也可以从 CSIA 的预定义列表中获取。可以为多词搜索/关键字启用通配符选项，这些搜索/关键字是可能违反被屏蔽关键字的较大单词的子字符串。通配符示例：关键字为 “base”。“base” 的通配符匹配将同时屏蔽搜索词 “base” 和 “baseball”。

端口阻塞与网络资源的连接可以受某些端口（包括基于 UDP 和 TCP 的协议和方向）的限制 — 入站、出站或两者。此外，可以应用 Port Block 计划来限制在一天中的特定时间段的访问。 端口封锁控制会阻止指定端口或端口范围上的 Internet 流量。

• 所有使用指定端口的流量都将被完全阻止。
• 要清除 “端口阻止” 控件，请将要禁用的端口范围的已启用开关切换为 “否”。
• 您可以选择始终阻止选定组的端口范围，也可以使用高级计划阻止端口。

浏览器和操作系统与网络资源的连接可以由浏览器和操作系统限制为特定版本。以下操作可应用于浏览器和操作系统限制：

• 阻止以下内容：阻止特定浏览器和操作系统版本的 Internet 访问
• 仅允许以下内容：允许特定浏览器和操作系统版本访问互联网
• 移动用户：将用户移动到另一个安全组（如果他们违反了限制）一段时间

内容和 MIME 类型多用途 Internet 邮件扩展 (MIME) 类型是指示文档性质和格式的标准化方式。

• MIME 类型可帮助浏览器了解如何处理从 Web 服务器恢复的文件。浏览器将其内容类型与 MIME 类型匹配。您可以控制浏览时可以访问的内容类型。

• MIME 类型的一般结构由格式为 [type]/[subtype] 的类型和子类型组成。示例包括图像/JPEG、图像/GIF、图像/mpeg。

可以限制文件扩展名，以防止用户下载具有特定扩展名的文件。

• 文件扩展名控制会阻止在您的网络上下载特定的文件扩展名。
• 每个扩展名的长度最多为 15 个字符
• 要从阻止列表中移除分机，请选中该分机旁边的复选框。

例如，扩展名为 “.exe” 的文件如果由用户运行，可能会造成损害，因此可以限制下载。

域扩展名域扩展名控件允许您在每个组的基础上阻止或允许访问特定的域名后缀。通过以下方式管理每个组的域名扩展名列表：

• 封锁列表中的域名后缀
• 仅允许列表中的扩展名通过 “阻止” 或 “仅允许域名扩展”
• 每个扩展名的长度最多为 15 个字符

例如，您可以选择只允许以 “.com” 和 “.net” 结尾的域。任何不以这些扩展名结尾的域都将被封锁。可以设置限制以防止用户浏览特定的顶级域。

注意：设置顶级域限制不会阻止用户通过 IP 地址进行暴力浏览

策略层提供对 Web 安全策略的更高级控制。您可以根据各种预先配置的标准应用允许 列表、阻止列表、Web 类别过滤器、SSL 解密和其他设置。该标准包括但不限于：

• 用户名
• 安全组
• IP 范围
• GeoIP

策略层包含动态链接的概念，即只有在触发所有或任何条件条件时才应用策略。此外，可以按高级计划设置策略层，类似于 Internet 睡眠模式。 代理规则，用于触发操作以响应某些类型的网络活动。

• 代理规则是通过将它们与匹配模式关联来创建的
• 比赛模式和规则是相互独立定义的
• 这种逻辑分离使它们能够以许多不同的组合相互关联，从而最大限度地提高逻辑可能性
• 当规则指定的匹配模式的状态被评估为 “true” 时，将触发规则
• 操作包括域重定向、绕过或强制执行代理身份验证，甚至修改 HTTP 请求标头

流动

CSIA 允许您将网络数据路由到云端以执行网络安全功能，而无需在线设备。下图详细说明了从头到尾的流程流程。

1. 用户在本地 Web 浏览器中选择链接或输入 URL
2. CSIA 代理标识用户和 Active Directory 组成员身份
3. 相分析是否要在 PAC 脚本或代理中绕过域或 URL。如果是，则会从云安全中绕过请求。
4. CSIA 会分析 IPS 是否阻止该请求。如果是，则请求被阻止。
5. CSIA 将用户名和策略组标记到请求。
6. CSIA 会分析请求是否会被解密。如果是这样，则会解密请求，并将证书添加到流量中。
7. CSIA 分析请求是否与代理阻止规则匹配。如果不是，则继续执行CASB规则。如果是，则根据允许和阻止列表检查请求。如果存在权重更高的阻止列表规则，则该请求将被阻止。如果没有，则允许该请求。
8. CSIA 会分析请求是否与 CASB 封禁规则匹配。如果是，则请求被阻止。
9. CSIA 分析目标是否与允许列表中的条目匹配。
10. CSIA 分析目标是否与阻止列表中的条目匹配。
11. CSIA 分析目标是否与恶意软件阻止规则匹配。如果是，则请求被阻止。
12. CSIA 会分析请求是否与 DLP 阻止规则匹配。如果是，则请求被阻止。
13. CSIA 会分析目标是否与 YouTube 管理器规则中的条目匹配。如果是，则请求被阻止。
14. CSIA 分析目标是否与阻止的 Web 类别匹配。如果是，则请求被阻止。
15. CSIA 会分析目标的 IP 地址是否会被 GEO IP 规则阻止。如果是，则请求被阻止。
16. CSIA 会分析请求是否与任何其余 Web 安全策略匹配。如果是，则请求被阻止。如果没有，则允许该请求。
17. CSIA 会分析请求是否与同步的Microsoft MCAS 行签名匹配。如果不是，则云安全允许该请求。 如果是，则根据 MCAS 封禁策略检查请求，并根据结果允许或阻止请求。

Citrix SD-WAN + SIA 集成使用案例

Citrix SD-WAN 和 CSIA 集成为企业中分支机构用户的混合配置文件提供了灵活性和选择。企业通常在存在 Citrix SD-WAN 的分支机构中混合使用托管和非托管设备。通过集成，CSIA Cloud Connector 使软件定义广域网能够使用互联网服务（带负载平衡）将托管设备流量安全地分解到 CSIA 云。使用 Citrix SD-WAN 和 CSIA 之间的 IPsec 隧道作为隧道端点来保护自带设备和来宾用户等非托管设备。

有几种方法可以在用户访问云和 SaaS 应用程序时保护他们。这些方法涵盖用户在分支机构或家中坐在 SD-WAN 设备后面，或者用户是否完全移动的用例。

对于坐在公司办公室的用户，SD-WAN 会自动创建到最近的 CSIA 接入点的安全连接。流量通过 GRE 或 IPsec 隧道进行隧道传输。冗余既可以通过隧道级实现，也可以通过通往主要和次要接入点的多条链路来实现。

如果用户离开公司外围，则设备上安装的Cloud Connector 负责将流量重定向到 CSIA 云。连接器还用于对用户进行身份验证并安装用于 SSL 解密的相应证书。

有关配置信息，请阅读以下 PoC 指南：CSIA 和 SD-WAN PoC 指南

与 Citrix Virtual Apps and Desktops 集成

Citrix Virtual Apps and Desktops 部署可以与 CSIA 集成。从 Citrix Workspace 内部访问时，用户将获得统一的体验，允许他们通过简化的界面访问所有与业务相关的应用程序和桌面。

CSIA 的Cloud Connector可以在多用户模式下进行配置。管理员可以将不同的策略应用于多用户系统（如 Citrix Virtual Apps and Desktops 等）上的不同用户。用户不是被视为单个用户，而是以个人身份进行查看和登录。

用户通过单点登录登录 Citrix Workspace。进入内部后，用户可以访问所有已发布的应用程序和桌面，包括SaaS应用程序和Chrome等浏览器。Secure Private Access 为内部应用程序提供安全、身份感知、零信任的访问权限。CSIA 允许从已发布的应用程序和桌面中安全访问互联网和 SaaS 应用程序。

现在，假设同一位用户决定注销 Citrix Workspace 并通过从笔记本电脑设备打开浏览器来访问 SaaS 应用程序。或者，用户可能决定通过笔记本电脑设备上的浏览器访问视频共享网站或个人文件共享网站。在所有这些和类似情况下，当用户访问互联网和 SaaS 时，即使用户不在 Citrix Workspace 之外，用户仍会继续受到 CSIA 的保护。

有关配置信息，请阅读以下 PoC 指南。CSIA 和 Citrix Virtual Apps and Desktops PoC 指南