允许使用思杰移动生产力应用程序从移动设备访问
Citrix ADC for XenMobile向导配置了允许用户通过Citrix Gateway从支持的设备连接到内部网络中的移动应用程序和资源所需的设置。用户通过Secure Hub(以前的Citrix Secure Hub)连接,建立Micro VPN隧道。用户连接时,先通过VPN隧道连接到Citrix Gateway,然后再通过到内网的XenMobile。然后,用户可以从XenMobile访问他们的web、移动和SaaS应用程序。
为了保证用户在使用多台设备同时连接Citrix网关时使用单一通用license,可以在虚拟服务器上启用会话传输功能。有关详情,请参阅配置虚拟服务器的连接类型。
如果在使用Citrix ADC for XenMobile向导后需要更改配置,请使用本文中的部分作为指导。在更改设置之前,请确保您了解更改的含义。有关更多信息,请参阅XenMobile部署文章。
在Citrix网关中配置安全浏览
您可以将安全浏览更改为全局设置的一部分,也可以将其更改为会话配置文件的一部分。可以将会话策略与用户、组或虚拟服务器绑定。在配置安全浏览时,还必须启用无客户端访问。但是,无客户端访问不需要启用安全浏览。在配置无客户端访问时,请设置无客户端访问URL编码来清晰的。
要全局配置安全浏览:
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关然后点击全局设置。
- 在详细信息窗格中,在设置,点击更改全局设置。
- 在Citrix网关全局设置对话框中安全选项卡上,单击安全浏览然后点击好吧。
在会话策略和配置文件中配置安全浏览。
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关>策略然后点击会话。
- 在详细信息窗格中,执行以下操作之一:
- 如果新建会话策略,请单击添加。
- 如果要更改已存在的策略,请选择一个策略,然后单击开放。
- 在策略中新建或修改已存在的配置文件。要做到这一点,请做以下其中一项:
- 旁边请求配置文件,点击新。
- 旁边请求配置文件,点击修改。
- 在安全Tab,在旁边安全浏览,点击覆盖全球然后选择安全浏览。
- 做以下其中一件事:
- 如果您正在创建新的配置文件,请单击创建,在策略对话框中设置表达式,单击创建、然后点击关闭。
- 如果您正在修改现有的配置文件,在做出选择后,单击好吧两次。
使用安全浏览方式配置安全Web的流量策略。
通过以下步骤配置流量策略,使安全Web流量以“安全浏览”方式通过代理服务器。
- 在配置实用程序中,在配置选项卡,扩大Citrix网关>策略然后点击交通。
- 在右侧窗格中,单击交通概况TAB,然后点击添加。
- 在名字,输入配置文件的名称,选择TCP随着协议,其余设置保持原样。
- 点击创建。
- 单击交通概况TAB,然后点击添加。
- 在名字,输入配置文件的名称,然后选择HTTP随着协议。此流量配置文件适用于HTTP和SSL。无客户端VPN流量设计为HTTP流量,与目的端口或服务类型无关。因此,将SSL和HTTP流量都指定为HTTP在流量配置文件中。
- 在代理,输入代理服务器的IP地址。在港口,输入代理服务器的端口号。
- 点击创建。
- 单击交通概况TAB,然后点击添加。
进入名字交通政策和,为请求配置文件,选择在步骤3中创建的流量配置文件。输入以下内容表达式然后点击创建:
REQ.HTTP.HEADER HOST包含ActiveSyncServer || REQ.HTTP.HEADER User-Agent包含WorxMail || REQ.HTTP.HEADER User-Agent包含com。zenprise || REQ.HTTP.HEADER User-Agent包含Citrix Secure Hub || REQ.HTTP.URL包含AGServices || REQ.HTTP.URL包含StoreWeb该规则基于主机头执行检查。若要绕过来自代理的活动同步流量,请替换
ActiveSyncServer使用适当的活动同步服务器名称。单击交通概况TAB,然后点击添加。进入名字交通政策和,为请求配置文件,选择步骤6中创建的流量配置文件。输入以下内容表达式然后点击创建:
(REQ.HTTP。HEADER User-Agent包含Mozilla header User-Agent包含com.citrix.browser REQ.HTTP.HEADER用户代理包含WorxWeb) && REQ.TCP.DESTPORT == 80 单击交通概况TAB,然后点击添加。进入名字的交通政策,以及请求配置文件,选择步骤6中创建的流量配置文件。输入以下内容表达式然后点击创建:
(REQ.HTTP。HEADER User-Agent包含Mozilla header User-Agent包含com.citrix.browser REQ.HTTP.HEADER用户代理包含WorxWeb) && REQ.TCP.DESTPORT == 443 - 导航到Citrix网关>虚拟服务器,在右侧窗格中选择虚拟服务器,然后单击编辑。
- 在政策行,点击+。
- 从选择政策菜单中,选择交通。
- 点击继续。
- 下政策约束力在…对面选择政策,点击>。
- 选择您在步骤10中创建的策略,然后单击好吧。
- 点击绑定。
- 下政策,点击交通政策。
- 下VPN虚拟服务器流量策略绑定,点击添加绑定。
- 下政策约束力,在…旁边选择政策”菜单上,单击“>查看策略列表。
- 选择您在步骤17中创建的策略,然后单击好吧。
- 点击绑定。
- 下政策,点击交通政策。
- 下VPN虚拟服务器流量策略绑定,点击添加绑定。
- 下政策约束力,在…旁边选择政策”菜单上,单击“>查看策略列表。
- 选择您在步骤18中创建的策略,然后单击好吧。
- 点击绑定。
- 点击关闭。
- 点击完成。
确保在XenMobile控制台中配置安全Web (WorxWeb)应用程序。去配置>应用程序,选择安全Web应用,单击编辑,然后做这些改变:
- 在应用程序信息页面,改变初始VPN模式来安全浏览。
- 在iOS页面,改变初始VPN模式来安全浏览。
- 在安卓页面,改变首选VPN模式来安全浏览。
配置应用程序和MDX令牌超时
当用户从iOS或Android设备登录时,会发出应用令牌或MDX令牌。令牌类似于安全票证管理局(STA)。
您可以设置令牌活动的秒数或分钟数。如果令牌过期,用户将无法访问所请求的资源,例如应用程序或网页。
令牌超时是全局设置。当您配置该设置时,它适用于所有登录到Citrix Gateway的用户。
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关然后点击全局设置。
- 在详细信息窗格中,在设置,点击更改全局设置。
- 在Citrix网关全局设置对话框中客户体验选项卡上,单击高级设置。
- 在一般选项卡,在应用令牌超时(秒)输入令牌过期前的秒数。默认值为One hundred.秒。
- 在MDX令牌超时时间(分钟),输入令牌过期前的分钟数,然后单击好吧。默认值为10分钟。
禁用移动设备的端点分析
如果配置终端分析,需要配置策略表达式,使终端分析扫描不能在Android或iOS移动设备上运行。移动设备不支持端点分析扫描。
如果将端点分析策略绑定到虚拟服务器,则必须为移动设备创建备用虚拟服务器。禁止在移动设备虚拟服务器上绑定认证前策略和认证后策略。
在预认证策略中配置策略表达式时,添加User-Agent字符串排除Android和iOS。当用户从这些设备之一登录时,如果排除了设备类型,端点分析就不会运行。
例如,您可以创建以下策略表达式来检查User-Agent是否包含Android,是否存在应用程序virus.exe,如果keylogger.exe正在运行,则使用预认证配置文件结束keylogger.exe进程。策略表达式可能是这样的:
| REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe)包含 | CLIENT.APPLICATION.PROCESS (virus.exe)包含 |
创建预认证策略和配置文件后,需要将策略与虚拟服务器绑定。当用户从Android或iOS设备登录时,扫描不会运行。如果用户从基于windows的设备登录,则会运行扫描。
有关配置预认证策略的详细信息,请参见配置端点策略。
Android设备支持使用DNS后缀进行DNS查询
当用户在Android设备上建立Micro VPN连接时,Citrix网关会向用户设备发送拆分的DNS设置。Citrix网关支持根据您配置的分割DNS设置进行分割DNS查询。Citrix Gateway还可以根据您在设备上配置的DNS后缀支持分割DNS查询。如果用户使用Android设备连接,则需要在Citrix Gateway上配置DNS。
分裂DNS的工作原理如下:
- 如果将拆分DNS设置为当地的, Android设备将所有DNS请求发送到本地DNS服务器。
- 如果将拆分DNS设置为远程,所有的DNS请求都发送到Citrix网关上配置的DNS服务器(远端DNS服务器)进行解析。
- 如果将拆分DNS设置为这两个,则Android设备检查DNS请求类型。
- 如果DNS请求类型不是“A”,它将向本地和远程DNS服务器发送DNS请求包。
- 如果DNS请求类型为“A”,则Android插件提取查询FQDN,并将该FQDN与Citrix ADC设备上配置的DNS后缀列表进行匹配。如果DNS请求的FQDN匹配,则向远端DNS服务器发送DNS请求。如果FQDN不匹配,则向本地DNS服务器发送DNS请求。
下表总结了基于A类记录和后缀列表的拆分DNS工作。
| 拆分DNS设置 | 是a类唱片吗? | 它在后缀列表上吗? | DNS请求发送到哪里 |
|---|---|---|---|
| 当地的 | 都是或都不是 | 都是或都不是 | 当地的 |
| 远程 | 都是或都不是 | 都是或都不是 | 远程 |
| 这两个 | 没有 | NA | 这两个 |
| 这两个 | 是的 | 是的 | 远程 |
| 这两个 | 是的 | 没有 | 当地的 |
配置DNS后缀。
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关>策略然后点击会话。
- 在详细信息窗格中,在政策页签,选择会话策略,单击开放。
- 旁边请求配置文件,点击修改。
- 在网络配置选项卡上,单击先进的。
- 旁边内网IP DNS后缀,点击覆盖全球,输入DNS后缀,然后单击好吧三次。
在Citrix Gateway上配置全局拆分DNS。
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关然后点击全局设置。
- 在详细信息窗格中,在设置,点击更改全局设置。
- 在客户体验选项卡上,单击高级设置。
- 在一般选项卡,在分裂DNS中,选择这两个,远程,或当地的然后点击好吧。
在Citrix网关的会话策略中配置拆分DNS。
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关>策略,然后点击会话。
- 在详细信息窗格中,在政策选项卡上,单击添加。
- 在名字,键入策略的名称。
- 旁边请求配置文件,点击新。
- 在名字,为配置文件键入一个名称。
- 在客户体验选项卡上,单击高级设置。
- 在一般Tab,在旁边分裂DNS,点击覆盖全球中,选择这两个,远程,或当地的然后点击好吧。
- 在创建会话策略对话框,旁边命名表达式中,选择一般中,选择真正的,点击添加表情,点击创建、然后点击关闭。