PoC-Leitfaden: URL-Umleitung mit Secure Browser und Citrix ADC in Azure

Übersicht

Im Folgenden finden Sie die Konfigurationsschritte für die Einrichtung eines ADC, die Konfiguration von SSL Forward Proxy und SSL Interception mit der neuesten Citrix ADC Marketplace-Vorlage. Die URL-Umleitung von ADC zu Secure Browser ermöglicht es Administratoren, bestimmte Website-Kategorien zu definieren, die automatisch vom lokalen Browser an Secure Browser umgeleitet werden. Der Citrix ADC fungiert als Zwischenproxy, um das Abfangen zwischen lokalem Surfen und Internet durchzuführen, wodurch die Webisolierung erreicht und das Unternehmensnetzwerk geschützt wird. Diese Fähigkeit erhöht die Sicherheit, ohne die Benutzererfahrung zu beeinträchtigen.

Konzeptarchitektur

Geltungsbereich

Dieser Leitfaden für den Machbarkeitsnachweis beschreibt Folgendes:

1. Secure Browser-Testkonto abrufen
2. Einrichten von ADC in Azure
3. Richten Sie die Citrix ADC Appliance als Proxy ein
4. Einrichten von SSL Interception
5. Einrichten von Rewrite-Richtlinien und -Aktionen

Schritte für die Bereitstellung

Abschnitt 1: Beziehen eines Secure Browser-Testkontos

Referenzdokument für Secure Browser Service

Fordern Sie eine Testversion von Sec

1. Navigieren Sie zu Ihrem Citrix Cloud-Konto und geben Sie Benutzernamen und Kennwort ein

2. 公里en Sie auf Anmelden. Wenn Ihr Konto mehr als einen Kunden verwaltet, wählen Sie den entsprechenden aus

   

3. Doppelklicken Sie auf dieKachel Secure Browser

   

4. Wenn Sie wissen, wer Ihr Account-Team ist, wenden Sie sich an dieses, um die Testversion zu genehmigen. Wenn Sie sich nicht sicher sind, wer Ihr Account-Team ist, fahren Sie mit dem nächsten Schritt fort.

5. 公里en Sie aufAnruf anfordern

   

6. Geben Sie Ihre Daten ein und geben Sie im AbschnittKommentaredieTestversion des Secure Browser Service an.

7. 公里en Sie aufSubmit.

   

   Hinweis:

   Citrix Sales wird sich mit Ihnen in Verbindung setzen, um Ihnen Zugriff auf den Service zu geben. Dies ist nicht sofort, ein Citrix Vertriebsmitarbeiter wird sich melden

8. Sobald Sie die Secure Browser-Testversion genehmigt haben, lesen Sie denAbschnittEinen sicheren Browser veröffentlichenin der Citrix Doc, um eine Secure Browser-App zu veröffentlichen.

URL-Parameter aktivieren

1. Doppelklicken Sie in Ihrem Citrix Cloud-Abonnement auf dieSecure Browser-Kachel

2. 公里en Sie in Ihrem veröffentlichten Browser, in diesem Beispiel “Browser” genannt, auf die drei Punkte und wählen SieRichtlinienaus

   

3. Aktivieren Siedie Richtlinie für URL-Parameterin Ihrem veröffentlichten Browser

   

Abschnitt 2: Einrichten von ADC in Azure

Der ADC kann in jeder Cloud Ihrer Wahl eingerichtet werden. In diesem Beispiel ist Azure unsere Cloud der Wahl.

Konfigurieren einer ADC-Instanz

1. Navigieren Sie zuAlle Ressourcenund klicken Sie auf+ Schaltfläche Hinzufügen, suchen Sie nach Citrix ADC

2. Wählen Sie dieCitrix ADC-Vorlage

3. Wählen Sie den Softwareplan nach Ihren Anforderungen aus (in diesem Beispiel Bring Your Own License)

4. 公里en Sie aufErstellen

   

Konfigurieren der NIC-Karte

1. Navigieren Sie zuAlle Ressourcenund wählen Sie die NIC-Karte für die ADC-Instanz

2. Wählen SieIP-Konfigurationenaus, notieren Sie sich dieADC-Verwaltungsadresse

3. Aktivieren Sie die Einstellungen für die IP-Weiterleitung, speichern Sie die Änderungen.

   

Konfigurieren virtueller IP

1. 公里en Sie aufHinzufügen, legen Sievirtualipals Namen der neuen Konfiguration fest

2. Wählen SieStaticaus und fügen Sie nach der Verwaltungsadresse eine neue IP-Adresse hinzu

3. Aktivieren Sie die Option “Öffentliche Adresse” und erstellen Sie eine neue öffentliche IP-Adresse

4. Speichern Sie die Änderungen

   

Richten Sie den FQDN auf dem Client ein

1. Navigieren您祖茂堂der毛皮死去virtualipKonfiguration erstellten Ressource für öffentliche IP-Adressen

2. 公里en Sie aufKonfigurationund fügen Sie ein DNS-Label hinzu (in diesem Beispielurlredirection.eastus.cloudapp.azure.com)

   

Einrichten von Netzwerkregeln

1. Fügen Sie die folgenden Regeln für Netzwerke hinzu

   

   Hinweis:

   Sie können die Ports 22 und 443 nach Abschluss der Konfiguration schließen, da diese Ports nur für die Anmeldung bei der Verwaltungskonsole zu Konfigurationszwecken benötigt werden.

2. Zu diesem Zeitpunktist die ADC-Instanz in Azure eingerichtet

Abschnitt 3: Richten Sie die Citrix ADC Appliance als Proxy ein

Richten Sie den ADC als Proxy ein, um den Datenverkehr vom Clientbrowser zum Internet zu leiten.

Melden Sie sich bei ADC Management Console an

1. Navigieren Sie zur Citrix ADC Management Console, indem Sie die öffentliche IP-Adresse der Instanz in die Suchleiste Ihres Browsers eingeben

   Hinweis:

   Verwenden Sie in diesem Beispiel die IP-Adresse der Maschine, die Sie in den vorherigen Schritten bereitgestellt habenhttps://40.88.150.164/

2. Melden Sie sich bei der Konsole an, indem Sie den Benutzernamen und das Kennwort eingeben, die Sie in den vorherigen Schritten eingerichtet haben

   

3. 公里en Sie auf dem Bildschirm für die Erstkonfiguration aufWeiter

Die Lizenzen hochladen

1. Navigieren Sie zuSystem > Lizenzen > Lizenzen verwalten

2. Laden Sie die notwendigen Lizenzen für ADC hoch.

   Hinweis:

   Die von Ihnen mitgetretenen Lizenzen müssen die in den Schritten 11 und 13 unter Configure Basic Features und Configure Advanced Features hervorgehobenen Funktionen unterstützen (z. B. CNS_V3000_SERVER_PLT_Retail.lic und CNS_WEBF_SSERVER_Retail.lic)

   

3. Starten Sie den Server neu, nachdem Sie beide Lizenzen hochgeladen haben.

4. Melden Sie sich nach dem Neustart erneut bei der Verwaltung an

5. Navigieren Sie zuSystem > Einstellungen > Modi konfigurieren

6. Es müssen nur zwei Optionen aktiviert werden, dieMac-basierte WeiterleitungundPath MTU Discovery

   

   

7. Navigieren Sie zuSystem > Einstellungen > Basisfunktionen konfigurieren

   

8. Wählen Sie aus:SSL卸载Load Balancing,Rewrite,Authentication, Authorization, and Auditing,,Content Switching, undIntegrated Caching

   

9. Navigieren Sie zuSystem > Einstellungen > Erweiterte Funktionen konfigurieren

   

10. Wählen Sie aus:Cache RedirectionIPv6 Protocol TranslationAppFlow,Reputation,,Forward Proxy,Content Inspection,Responder,URL Filtering, undSSL Interception

    

Richten Sie den NTP Server ein

1. Navigieren Sie zuSystem > NTP Servers > Hinzufügen

   

2. Erstellen Sie zum Beispiel einen Serverpool.ntp.org

   

3. 国家结核控制规划贝Aufforderung和setzen Aktivieren您您den Server auf aktiviert

   

4. Speichern der Aktion “Speichern” der Konfiguration aus dem Managementportal

   

5. Öffnen Sie SSH Session to ADC Verwaltungsadresse, melden Sie sich mit Anmeldeinformationen an, die Sie bei der Bereitstellung des ADC von Azure verwendet haben

Einrichten von TCP-Profil und vServer

1. Holen Sie sich dasvirtualipaus den Schritten in Abschnitt 2 und geben Sie den Befehl ein (in diesem Beispiel 10.1.0.5)

2. Führen Sie zum Beispiel die folgenden Befehle mit dersslproxyAdresse ausvirtualip:

3. So fügen Sie TCP-Profil hinzu:

   add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE 

4. So fügen Sie einen virtuellen Server hinzu

   add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2 set cs vserver sslproxy01 -netProfile proxy-netprofile01 set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend save ns config 

5. Um dieCache-Einstellungenzu ändern, kehren Sie im Browser zur Verwaltungssitzung zurück

6. Navigieren Sie zuOptimierung > Integriertes Caching

7. Navigieren Sie zuEinstellungen > Cache-Einstellungen ändern

   

8. Setzen Sie dasSpeichernutzungslimitauf250 MBund klicken Sieauf

   

Richten Sie den Client für die URL-Umleitung ein

1. Auf einem Client, zum Beispiel Firefox

2. Konfigurieren Sie Ihren Browser-Proxy fürvirtualip, Public IP oder FQDN: 8080, den Sie in Abschnitt 2 konfiguriert haben (z. B.urlredirection.eastus.cloudapp.azure.com:8080)

   

3. Nachdem wir nun einen ADC eingerichtet haben, testen Sie auf jede Website-Konnektivität des Browsers, wobei der ADC als Proxy fungiert.

Abschnitt 4: Einrichten des SSL-Interception

SSL-Interception verwendet eine Richtlinie, die angibt, welcher Datenverkehr abgefangen, blockiert oder zugelassen werden soll. Citrix empfiehlt, dass Sie eine allgemeine Richtlinie zum Abfangen des Datenverkehrs und spezifischere Richtlinien konfigurieren, um einen bestimmten Datenverkehr zu umgehen.

Informationsquellen:

SSL-Interception

URL-Kategorien

Videobeispiel毛皮Konfiguration死去

Erstellen Sie einen RSA-Schlüssel

1. Navigieren Sie zuVerkehrsmanagement > SSL > SSL-Dateien > Schlüssel

2. Wählen SieRSA-Schlüssel erstellen

   

3. Wählen Sie den Schlüsseldateinamen und die erforderliche Schlüsselgröße aus

   

4. Sobald der Schlüssel erstellt wurde, laden Sie die.keyDatei zur späteren Verwendung herunter

   

Erstellen einer Zertifikatsignieranforderung (CSR)

1. Navigieren Sie zuVerkehrsmanagement > SSL > SSL-Dateien > CSRs > Zertifikatsignieranforderung erstellen (CSR)

   

2. Benennen Sie zum Beispiel die Anforderungsdateisemesec_req1.req

   

3. 公里en Sie aufKey Filename > AppliaceDer Schlüsseldateiname ist derjenige, der im vorherigen Schritt erstellt wurde, in diesem Beispielsmesec_key1.key

   

4. Nach der Auswahl des Schlüssels füllen Sie die erforderlichen Felder weiter aus: Allgemeiner Name, Organisationsname und Bundesland oder Provinz

5. 公里en Sie auf Erstellen

Erstellen Sie ein Zertifikat

1. Navigieren Sie zuVerkehrsmanagement > SSL > SSL-Dateien > Zertifikate > Zertifikat erstellen

   

2. Geben Sie dem Zertifikat einen Namen und wählen Sie die Zertifikatsanforderungsdatei (.req) und den in den vorherigen Schritten erstellten Schlüsseldateinamen (.key)

   

3. 公里en Sie auf Erstellen

4. Sobald das Zertifikat erstellt wurde, laden Sie die.certDatei für die spätere Verwendung herunter

   

SSL INTERCEPT-Richtlinie erstellen

1. Navigieren Sie zuVerkehrsmanagement > SSL > Richtlinien

2. 公里en Sie auf Hinzufügen.

   

3. Geben Sie der Richtlinie einen Namen und wählen Sie die INTERCEPT-Aktion

4. Ausdruck zum Abfangen von Nachrichten:

   client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

5. 公里en Sie auf Erstellen

   

6. Um die Intercept-Richtlinie an den virtuellen Server zu binden, navigieren Sie zuSicherheit > SSL向前Proxy > Proxy Virtual Servers

   

7. Wählen Sie den virtuellen Server aus, in diesem Beispielsslproxy01

8. Wählen SieSSL-Richtlinien hinzufügenaus und klicken Sie aufKeine SSL-Richtlinienbindung

9. Binden Sie die Abfang-Richtlinie:

   

Erstellen einer SSL-BYPASS-Richtlinie

1. Navigieren Sie zuVerkehrsmanagement > SSL > Richtlinien

2. 公里en Sie auf Hinzufügen.

   

3. Geben Sie der Richtlinie einen Namen und wählen Sie die NOOP-Aktion aus - es gibt keine BYPASS-Option, siehe nächsten Schritt

4. Ausdruck zur Bypass der Richtlinie:CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

   

5. Navigieren Sie zuSicherheit > SSL向前Proxy > SSL Interception Policys

   

6. Wählen Sie die Richtlinie aus, um sie zu bearbeiten

7. Aktion von NOOP nach BYPASS ändern

8. 公里en Sie auf OK.

   

9. Vergewissern Sie sich, dass die Aktion jetzt BYPASS ist

10. Gehen Sie zurück zuTraffic management > SSL > Richtlinien, um die Änderung zu überprüfen

    

11. Um die Bypass-Richtlinie an den virtuellen Server zu binden, navigieren Sie zuSicherheit > SSL向前Proxy > Proxy Virtual Servers

    

12. Doppelklicken Sie in diesem Beispiel auf den virtuellen Serversslproxy01

13. Wählen SieSSL-Richtlinien hinzufügenaus und klicken Sie aufSSL-Richtlinienbindung

14. Binden Sie die Umgehungsrichtlinie > Hinzufügen

    

15. 公里en Sie auf Binden

    

    Hinweis:

    Diese Richtlinie wird erstellt, um die ADC-Überwachung zu Bypass, damit der Datenverkehr in den sicheren Browser übergehtlaunch.cloud.com

Erstellen eines SSL-Profils

1. Navigieren Sie zuSystem > Profile > SSL-Profil > Hinzufügen

   

2. Erstellen Sie das Profil, indem Sie ihm einen Namen geben, in diesem Beispielsmesec_swg_sslprofile

   

3. Aktivieren Sie das Kontrollkästchen, um SSL Sessions Interception zu aktivieren, und klicken Sie dann auf OK

   

4. 公里en Sie auf OK um ein SSL-Profil zu erstellen

5. Muss das Cert-Schlüssel-Paar installieren

6. Stellen Sie sicher, dass Sie zuvor ein Zertifikat-Schlüsselpaar im Format.pfxhaben. Im folgenden Schritt finden Sie Anleitungen zum Generieren einer.pfx-Datei aus den.cert- und.key- Dateien, die Sie zuvor heruntergeladen haben.

Bereiten Sie Cert-Schlüssel-Paar

1. Installieren Sie zunächst dasSSL-Tool

2. Denopenssl-Installationspfad zu den Systemumgebungsvariablen

   

3. Führen Sie in PowerShell den folgenden Befehl aus:

   openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

   

Binden eines SSL Interception CA-Zertifikats an das SSL-Profil

1. Navigieren Sie zuSystem > Profile > SSL-Profil

2. Wählen Sie das zuvor erstellte Profil aus

3. 公里en Sie auf+ Zertifikatschlüssel

4. 公里en Sie auf Installieren

5. Wählen Sie die zuvor vorbereitete PFX-Datei

6. Erstelle ein Kennwort (du brauchst es später)

7. 公里en Sie auf Installieren

   

Binden Sie das SSL-Profil an den virtuellen Server

1. Navigieren Sie zuSicherheit > SSL向前Proxy > Proxy Virtual Servers

   

2. Wählen Sie den virtuellen Server aus, in diesem Beispielsslproxy01

3. 公里en Sie hier, um das SSL-Profil zu

   

4. Wählen Sie in diesem Beispiel das zuvor in erstellte SSL-Profilsmesec_swg_sslprofile

5. Fertig

Abschnitt 5: Einrichten von Rewrite-Richtlinien und -Aktionen

Eine Rewriterichtlinie besteht aus einer Regel und einer Aktion. Die Regel bestimmt den Datenverkehr, auf den das Rewrite angewendet wird, und die Aktion bestimmt die vom Citrix ADC zu ergreifende Aktion. Die Umschreibungsrichtlinie ist erforderlich, damit die URL-Umleitung an Secure Browser basierend auf der im Browser eingegebenen Kategorie der URL, in diesem Beispiel “Nachrichten”, erfolgt.

Referenz

Erstellen von Rewrite-Richtlinien und -Aktionen

1. Navigieren Sie zuAppExpert > Rewrite > Policy

2. 公里en Sie auf Hinzufügen.

   

3. Erstellen Sie die Richtlinie, indem Sie in diesem Beispiel cloud_pol nennen und den Ausdruck verwenden:HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

4. 公里en Sie auf Erstellen

   

5. Erstellen Sie die Aktion in PuTTY

6. Führen Sie den folgenden Befehl aus:

   add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com//?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

   Hinweis:

   Ersetzen Sie im Befehlden Namen durch den Namen Ihres Citrix Cloud-Kundenkontos und ersetzen Siedurch den Namen der veröffentlichten Secure Browser-App, für den die Richtlinie für URL-Parameter aktiviert ist. Unter Bezugnahme auf die veröffentlichte App, die Sie in Abschnitt 1 erstellt haben.

Richtlinie zum Umschreiben an virtuellen Server binden

1. Zurück zur ADC-Management-Konsole

2. Navigieren Sie zuAppExpert > Rewrite > Policy

3. Gehe zur Richtlinie cloud_pol und ändere die Aktion in cloud_act (die zuvor erstellte)

   

4. Um den Typ der Umschreibungsrichtlinie auszuwählen, navigieren Sie zuSicherheit > SSL向前Proxy > Proxy Virtual Servers

5. Wählen Sie “+ Richtlinien”

6. Richtlinie: Rewrite

7. Typ: Response

   

8. Wählen Sie die erstellte Richtlinie aus, in diesem Beispielcloud_pol

9. Priorität: 10

10. Binden

    

11. 公里en Sie auf Fer

12. Konfiguration speichern

Zertifikatschlüssel an Profil binden

1. Navigieren Sie zuSystem > Profile > SSL-Profil

2. Wählen Sie das erstellte Profil, zum Beispielsmesec_swg_sslprofile

3. Doppelklicken Sie auf+ Zertifikatschlüssel

   

4. Wählen Sie den Zertifikatschlüssel aus, zum Beispielsmesec_cert_overall

   

5. 公里en Sie auf Auswählen
6. 公里en Sie auf Binden
7. 公里en Sie auf Fertig
8. Konfiguration speichern

Importieren Sie die Zertifikatsdatei in den Browser

1. Laden Sie das Zertifikat in Firefox hoch (laut unserem Beispiel mit Websites der Nachrichtenkategorie)

2. Gehen Sie in diesem Beispiel zuOptionenin Ihrem bevorzugten Browser, Firefox

3. Suche“Zertifikate” > klicken Sie auf “Zertifikate anzeigen”

   

4. 公里en Sie im Fenster “Certificate Manager” auf “Importieren…”

   

5. Suchen Sie nach Ihrem Zertifikat und klicken Sie auf “Öffnen”, in diesem Beispielsmesec_cert1.cert

   

6. Geben Sie das Kennwort ein, das Sie bei der Erstellung des Zertifikats

7. Ihre Zertifizierungsstelle muss ordnungsgemäß installiert sein

   

Demo

Nachrichtenwebsites aus dem lokalen Browser werden automatisch an Secure Browser umgeleitet. Sehen Sie die folgendeDemo

Zusammenfassung

In diesem PoC-Handbuch haben Sie gelernt, wie Sie Citrix ADC in Azure einrichten und SSL Forward Proxy und SSL Interception konfigurieren. Diese Integration ermöglicht die dynamische Bereitstellung von Ressourcen, indem das Surfen an den Secure Browser-Dienst umgeleitet wird. So schützt das Firmennetzwerk ohne Einbußen bei der Benutzererfahrung.