Proof of Concept Guide: URL Redirection to Secure Browser with Citrix ADC in Azure

Übersicht

Im Folgenden finden Sie die Konfigurationsschritte für die Einrichtung eines ADC, die Konfiguration von SSL Forward Proxy und SSL Interception mit der neuesten Citrix ADC Marketplace-Vorlage. Die URL-Umleitung von ADC zu Secure Browser ermöglicht es Administratoren, bestimmte Website-Kategorien zu definieren, die automatisch vom lokalen Browser an Secure Browser umgeleitet werden. Der Citrix ADC fungiert als Zwischenproxy, um das Abfangen zwischen lokalem Surfen und Internet durchzuführen, wodurch die Webisolierung erreicht und das Unternehmensnetzwerk geschützt wird. Diese Fähigkeit erhöht die Sicherheit, ohne die Benutzererfahrung zu beeinträchtigen.

Konzeptarchitektur

Bereich

Dieser Leitfaden für den Machbarkeitsnachweis beschreibt Folgendes:

1. Secure Browser-Testkonto abrufen
2. Einrichten von ADC in Azure
3. Richten Sie die Citrix ADC Appliance als Proxy ein
4. Einrichten von SSL Interception
5. Einrichten von Rewrite-Richtlinien und -Aktionen

Schritte für die Bereitstellung

Abschnitt 1: Beziehen eines Secure Browser-Testkontos

Referenzdokument für Secure Browser Service

Fordern Sie eine Testversion von Sec

1. Navigieren Sie zu Ihrem Citrix Cloud-Konto und geben Sie Benutzernamen und Kennwort ein

2. Klicken您非盟f Anmelden. Wenn Ihr Konto mehr als einen Kunden verwaltet, wählen Sie den entsprechenden aus

   

3. Doppelklicken Sie auf dieKachel Secure Browser

   

4. Wenn Sie wissen, wer Ihr Account-Team ist, wenden Sie sich an dieses, um die Testversion zu genehmigen. Wenn Sie sich nicht sicher sind, wer Ihr Account-Team ist, fahren Sie mit dem nächsten Schritt fort.

5. Klicken您非盟fAnruf anfordern

   

6. Geben Sie Ihre Daten ein und geben Sie im AbschnittKommentaredieTestversion des Secure Browser Service an.

7. Klicken您非盟fAbsenden.

   

   Hinweis:

   Citrix Sales wird sich mit Ihnen in Verbindung setzen, um Ihnen Zugriff auf den Service zu geben. Dies ist nicht sofort, ein Citrix Vertriebsmitarbeiter wird sich melden

8. Wenn Sie die Secure Browser-Testversion genehmigt haben, lesen Sie den Postena Secure BrowserAbschnitt des Citrix Doc, um eine Secure Browser-App zu veröffentlichen.

URL-Parameter aktivieren

1. Doppelklicken Sie in Ihrem Citrix Cloud-Abonnement auf dieSecure Browser-Kachel

2. Klicken Sie in Ihrem veröffentlichten Browser, in diesem Beispiel “Browser” genannt, auf die drei Punkte und wählen SieRichtlinienaus

   

3. Aktivieren Siedie Richtlinie für URL-Parameterin Ihrem veröffentlichten Browser

   

Abschnitt 2: Einrichten von ADC in Azure

Der ADC kann in jeder Cloud Ihrer Wahl eingerichtet werden. In diesem Beispiel ist Azure unsere Cloud der Wahl.

Konfigurieren einer ADC-Instanz

1. Navigieren Sie zuAlle Ressourcenund klicken Sie auf+ Schaltfläche Hinzufügen, suchen Sie nach Citrix ADC

2. Wählen Sie dieCitrix ADC-Vorlage

3. Wählen Sie den Softwareplan nach Ihren Anforderungen aus (in diesem Beispiel Bring Your Own License)

4. Klicken您非盟fErstellen

   

Konfigurieren der NIC-Karte

1. Navigieren Sie zuAlle Ressourcenund wählen Sie die NIC-Karte für die ADC-Instanz

2. Wählen SieIP-Konfigurationenaus, notieren Sie sich dieADC-Verwaltungsadresse

3. Aktivieren Sie die Einstellungen für die IP-Weiterleitung, speichern Sie die Änderungen.

   

Konfigurieren virtueller IP

1. Klicken您非盟fHinzufügen, legen Sievirtualipals Namen der neuen Konfiguration fest

2. Wählen SieStaticaus und fügen Sie nach der Verwaltungsadresse eine neue IP-Adresse hinzu

3. Aktivieren Sie die Option “Öffentliche Adresse” und erstellen Sie eine neue öffentliche IP-Adresse

4. Speichern Sie die Änderungen

   

Richten Sie den FQDN auf dem Client ein

1. Navigieren Sie zu der für dievirtualipKonfiguration erstellten Ressource für öffentliche IP-Adressen

2. Klicken您非盟fKonfigurationund fügen Sie ein DNS-Label hinzu (in diesem Beispielurlredirection.eastus.cloudapp.azure.com)

   

Einrichten von Netzwerkregeln

1. Fügen Sie die folgenden Regeln für Netzwerke hinzu

   

   Hinweis:

   您可以在去Abschluss der端口22和443死亡Konfiguration schließen, da diese Ports nur für die Anmeldung bei der Verwaltungskonsole zu Konfigurationszwecken benötigt werden.

2. Zu diesem Zeitpunktist die ADC-Instanz in Azure eingerichtet

Abschnitt 3: Richten Sie die Citrix ADC Appliance als Proxy ein

Richten Sie den ADC als Proxy ein, um den Datenverkehr vom Clientbrowser zum Internet zu leiten.

Melden Sie sich bei ADC Management Console an

1. Navigieren Sie zur Citrix ADC Management Console, indem Sie die öffentliche IP-Adresse der Instanz in die Suchleiste Ihres Browsers eingeben

   Hinweis:

   Verwenden Sie in diesem Beispiel die IP-Adresse der Maschine, die Sie in den vorherigen Schritten bereitgestellt habenhttps://40.88.150.164/

2. Melden Sie sich bei der Konsole an, indem Sie den Benutzernamen und das Kennwort eingeben, die Sie in den vorherigen Schritten eingerichtet haben

   

3. Klicken您非盟f dem Bildschirm für die Erstkonfiguration aufWeiter

Die Lizenzen hochladen

1. Navigieren Sie zuSystem > Lizenzen > Lizenzen verwalten

2. Laden Sie die notwendigen Lizenzen für ADC hoch.

   Hinweis:

   Die von Ihnen mitgetretenen Lizenzen müssen die in den Schritten 11 und 13 unter Configure Basic Features und Configure Advanced Features hervorgehobenen Funktionen unterstützen (z. B. CNS_V3000_SERVER_PLT_Retail.lic und CNS_WEBF_SSERVER_Retail.lic)

   

3. Starten Sie den Server neu, nachdem Sie beide Lizenzen hochgeladen haben.

4. Melden Sie sich nach dem Neustart erneut bei der Verwaltung an

5. Navigieren Sie zuSystem > Einstellungen > Modi konfigurieren

6. Es müssen nur zwei Optionen aktiviert werden, dieMac-basierte WeiterleitungundPath MTU Discovery

   

   

7. Navigieren Sie zuSystem > Einstellungen > Basisfunktionen konfigurieren

   

8. Wählen Sie aus:SSL OffloadingLoad Balancing,Rewrite,Authentication, Authorization, and Auditing,,Content Switching, undIntegrated Caching

   

9. Navigieren Sie zuSystem > Einstellungen > Erweiterte Funktionen konfigurieren

   

10. Wählen Sie aus:Cache RedirectionIPv6 Protocol TranslationAppFlow,Reputation,,Forward Proxy,Content Inspection,Responder,URL Filtering, undSSL Interception

    

Richten Sie den NTP Server ein

1. Navigieren Sie zuSystem > NTP Servers > Hinzufügen

   

2. Erstellen Sie zum Beispiel einen Serverpool.ntp.org

   

3. Aktivieren Sie NTP bei Aufforderung und setzen Sie den Server auf aktiviert

   

4. Speichern der Aktion “Speichern” der Konfiguration aus dem Managementportal

   

5. Öffnen Sie SSH Session to ADC Verwaltungsadresse, melden Sie sich mit Anmeldeinformationen an, die Sie bei der Bereitstellung des ADC von Azure verwendet haben

Einrichten von TCP-Profil und vServer

1. Holen Sie sich dasvirtualipaus den Schritten in Abschnitt 2 und geben Sie den Befehl ein (in diesem Beispiel 10.1.0.5)

2. Führen Sie zum Beispiel die folgenden Befehle mit dersslproxyAdresse ausvirtualip:

3. So fügen Sie TCP-Profil hinzu:

   add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE 

4. So fügen Sie einen virtuellen Server hinzu

   add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2 set cs vserver sslproxy01 -netProfile proxy-netprofile01 set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend save ns config 

5. Um dieCache-Einstellungenzu ändern, kehren Sie im Browser zur Verwaltungssitzung zurück

6. Navigieren Sie zuOptimierung > Integriertes Caching

7. Navigieren Sie zuEinstellungen > Cache-Einstellungen ändern

   

8. Setzen Sie dasSpeichernutzungslimitauf250 MBund klicken Sieauf

   

Richten Sie den Client für die URL-Umleitung ein

1. Auf einem Client, zum Beispiel Firefox

2. Konfigurieren Sie Ihren Browser-Proxy fürvirtualip, Public IP oder FQDN: 8080, den Sie in Abschnitt 2 konfiguriert haben (z. B.urlredirection.eastus.cloudapp.azure.com:8080)

   

3. Nachdem wir nun einen ADC eingerichtet haben, testen Sie auf jede Website-Konnektivität des Browsers, wobei der ADC als Proxy fungiert.

Abschnitt 4: Einrichten des SSL-Interception

SSL-Interception verwendet eine Richtlinie, die angibt, welcher Datenverkehr abgefangen, blockiert oder zugelassen werden soll. Citrix empfiehlt, dass Sie eine allgemeine Richtlinie zum Abfangen des Datenverkehrs und spezifischere Richtlinien konfigurieren, um einen bestimmten Datenverkehr zu umgehen.

Informationsquellen:

SSL-Interception

URL-Kategorien

Videobeispiel毛皮Konfiguration死去

Erstellen Sie einen RSA-Schlüssel

1. Navigieren Sie zuVerkehrsmanagement > SSL > SSL-Dateien > Schlüssel

2. Wählen SieRSA-Schlüssel erstellen

   

3. Wählen Sie den Schlüsseldateinamen und die erforderliche Schlüsselgröße aus

   

4. Sobald der Schlüssel erstellt wurde, laden Sie die.keyDatei zur späteren Verwendung herunter

   

Erstellen einer Zertifikatsignieranforderung (CSR)

1. Navigieren Sie zuVerkehrsmanagement > SSL > SSL-Dateien > CSRs > Zertifikatsignieranforderung erstellen (CSR)

   

2. Benennen Sie zum Beispiel die Anforderungsdateisemesec_req1.req

   

3. Klicken您非盟fKey Filename > AppliaceDer Schlüsseldateiname ist derjenige, der im vorherigen Schritt erstellt wurde, in diesem Beispielsmesec_key1.key

   

4. Nach der Auswahl des Schlüssels füllen Sie die erforderlichen Felder weiter aus: Allgemeiner Name, Organisationsname und Bundesland oder Provinz

5. Klicken您非盟f Erstellen

Erstellen Sie ein Zertifikat

1. Navigieren Sie zuVerkehrsmanagement > SSL > SSL-Dateien > Zertifikate > Zertifikat erstellen

   

2. Geben Sie dem Zertifikat einen Namen und wählen Sie die Zertifikatsanforderungsdatei (.req) und den in den vorherigen Schritten erstellten Schlüsseldateinamen (.key)

   

3. Klicken您非盟f Erstellen

4. Sobald das Zertifikat erstellt wurde, laden Sie die.certDatei毛皮死spatere Verwendung herunter

   

SSL INTERCEPT-Richtlinie erstellen

1. Navigieren Sie zuVerkehrsmanagement > SSL > Richtlinien

2. Klicken您非盟f Hinzufügen

   

3. Geben Sie der Richtlinie einen Namen und wählen Sie die INTERCEPT-Aktion

4. Ausdruck zum Abfangen von Nachrichten:

   client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

5. Klicken您非盟f Erstellen

   

6. Um die Intercept-Richtlinie an den virtuellen Server zu binden, navigieren Sie zuSicherheit > SSL Forward Proxy > Proxy Virtual Servers

   

7. Wählen Sie in diesem Beispiel den virtuellen Server aussslproxy01

8. Wählen SieSSL-Richtlinien hinzufügenaus und klicken Sie aufKeine SSL-Richtlinienbindung

9. Binden Sie die Abfang-Richtlinie:

   

Erstellen einer SSL-BYPASS-Richtlinie

1. Navigieren Sie zuVerkehrsmanagement > SSL > Richtlinien

2. Klicken您非盟f Hinzufügen

   

3. Geben Sie der Richtlinie einen Namen und wählen Sie die NOOP-Aktion aus - es gibt keine BYPASS-Option, siehe nächsten Schritt

4. Ausdruck zur Bypass der Richtlinie:CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

   

5. Navigieren Sie zuSicherheit > SSL Forward Proxy > SSL Interception Policys

   

6. Wählen Sie die Richtlinie aus, um sie zu bearbeiten

7. Aktion von NOOP nach BYPASS ändern

8. Klicken您非盟f OK.

   

9. Vergewissern Sie sich, dass die Aktion jetzt BYPASS ist

10. Gehen Sie zurück zuTraffic management > SSL > Richtlinien, um die Änderung zu überprüfen

    

11. Um die Bypass-Richtlinie an den virtuellen Server zu binden, navigieren Sie zuSicherheit > SSL Forward Proxy > Proxy Virtual Servers

    

12. Doppelklicken Sie in diesem Beispiel auf den virtuellen Serversslproxy01

13. Wählen SieSSL-Richtlinien hinzufügenaus und klicken Sie aufSSL-Richtlinienbindung

14. Binden Sie die Umgehungsrichtlinie > Hinzufügen

    

15. Klicken您非盟f Binden

    

    Hinweis:

    Diese Richtlinie wird erstellt, um die ADC-Überwachung zu Bypass, damit der Datenverkehr in den sicheren Browser übergehtlaunch.cloud.com

Erstellen eines SSL-Profils

1. Navigieren Sie zuSystem > Profile > SSL-Profil > Hinzufügen

   

2. Erstellen Sie das Profil, indem Sie ihm in diesem Beispiel einen Namen gebensmesec_swg_sslprofile

   

3. Aktivieren Sie das Kontrollkästchen, um SSL Sessions Interception zu aktivieren, und klicken Sie dann auf OK

   

4. Klicken您非盟f OK um ein SSL-Profil zu erstellen

5. Muss das Cert-Schlüssel-Paar installieren

6. Stellen Sie sicher, dass Sie zuvor ein.pfxFormat des Zertifikat-Schlüsselpaars haben. Im folgenden Schritt finden Sie Anleitungen zum Generieren einer.pfxDatei aus den.keyDateien.certund, die Sie zuvor heruntergeladen haben.

Bereiten Sie Cert-Schlüssel-Paar

1. Beginnen Sie mitInstallieren des SSL-Tools

2. DenopensslInstallationspfad zu den Systemumgebungsvariablen

   

3. Führen Sie in PowerShell den folgenden Befehl aus:

   openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

   

Binden eines SSL Interception CA-Zertifikats an das SSL-Profil

1. Navigieren Sie zuSystem > Profile > SSL-Profil

2. Wählen Sie das zuvor erstellte Profil aus

3. Klicken您非盟f+ Zertifikatschlüssel

4. Klicken您非盟f Installieren

5. Wählen Sie die zuvor vorbereitete PFX-Datei

6. Erstelle ein Kennwort (du brauchst es später)

7. Klicken您非盟f Installieren

   

Binden Sie das SSL-Profil an den virtuellen Server

1. Navigieren Sie zuSicherheit > SSL Forward Proxy > Proxy Virtual Servers

   

2. Wählen Sie in diesem Beispiel den virtuellen Server aussslproxy01

3. Klicken Sie hier, um das SSL-Profil zu

   

4. Wählen Sie in diesem Beispiel das zuvor in erstellte SSL-Profilsmesec_swg_sslprofile

5. Fertig

Abschnitt 5: Einrichten von Rewrite-Richtlinien und -Aktionen

Eine Rewrite-Richtlinie besteht aus einer Regel und einer Aktion. Die Regel bestimmt den Datenverkehr, auf den das Umschreiben angewendet wird, und die Aktion bestimmt die Aktion, die vom Citrix ADC ausgeführt werden soll. Die Umschreibungsrichtlinie ist erforderlich, damit die URL-Umleitung an Secure Browser basierend auf der im Browser eingegebenen Kategorie der URL, in diesem Beispiel “Nachrichten”, erfolgt.

Referenz

Erstellen von Rewrite-Richtlinien und -Aktionen

1. Navigieren Sie zuAppExpert > Rewrite > Policy

2. Klicken您非盟f Hinzufügen

   

3. Erstellen Sie die Richtlinie, indem Sie in diesem Beispiel cloud_pol nennen und den Ausdruck verwenden:HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

4. Klicken您非盟f erstellen

   

5. Erstellen Sie die Aktion in PuTTY

6. Führen Sie den folgenden Befehl aus:

   add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com//?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

   Hinweis:

   Ersetzen Sie im Befehldurch den Namen Ihres Citrix Cloud-Kundenkontos undersetzen Sie ihn durch den Namen der veröffentlichten Secure Browser-App, für den die Richtlinie für URL-Parameter aktiviert ist. Unter Bezugnahme auf die veröffentlichte App, die Sie in Abschnitt 1 erstellt haben.

Richtlinie zum Umschreiben an virtuellen Server binden

1. Zurück zur ADC-Management-Konsole

2. Navigieren Sie zuAppExpert > Rewrite > Policy

3. Gehe zur Richtlinie cloud_pol und ändere die Aktion in cloud_act (die zuvor erstellte)

   

4. Um den Typ der Umschreibungsrichtlinie auszuwählen, navigieren Sie zuSicherheit > SSL Forward Proxy > Proxy Virtual Servers

5. Wählen Sie “+ Richtlinien”

6. Richtlinie: Rewrite

7. Typ: Response

   

8. Wählen Sie in diesem Beispiel die erstellte Richtlinie auscloud_pol

9. Priorität: 10

10. Binden

    

11. Klicken您非盟f Fer

12. Konfiguration speichern

Zertifikatschlüssel an Profil binden

1. Navigieren Sie zuSystem > Profile > SSL-Profil

2. Wählen Sie zum Beispiel das erstellte Profilsmesec_swg_sslprofile

3. Doppelklicken Sie auf+ Zertifikatschlüssel

   

4. Wählen Sie zum Beispiel den Zertifikatschlüssel aussmesec_cert_overall

   

5. Klicken您非盟f Auswählen
6. Klicken您非盟f Binden
7. Klicken您非盟f Fer
8. Konfiguration speichern

Importieren Sie die Zertifikatsdatei in den Browser

1. Laden Sie das Zertifikat in Firefox hoch (laut unserem Beispiel mit Websites der Nachrichtenkategorie)

2. Gehen Sie in diesem Beispiel zuOptionenin Ihrem bevorzugten Browser, Firefox

3. Suche“Zertifikate” > klicken Sie auf “Zertifikate anzeigen”

   

4. Klicken Sie im Fenster “Certificate Manager” auf “Importieren…”

   

5. Suchen Sie nach Ihrem Zertifikat und klicken Siesmesec_cert1.certin diesem Beispiel auf “Öffnen”

   

6. Geben Sie das Kennwort ein, das Sie bei der Erstellung des Zertifikats

7. Ihre Zertifizierungsstelle muss ordnungsgemäß installiert sein

   

Demo

Nachrichtenwebsites aus dem lokalen Browser werden automatisch an Secure Browser umgeleitet. Siehe die folgendenDemo

Zusammenfassung

在diesem PoC-Handbuch您gelernt,您叫您Citrix ADC in Azure einrichten und SSL Forward Proxy und SSL Interception konfigurieren. Diese Integration ermöglicht die dynamische Bereitstellung von Ressourcen, indem das Surfen an den Secure Browser-Dienst umgeleitet wird. So schützt das Firmennetzwerk ohne Einbußen bei der Benutzererfahrung.