允许使用Citrix移动生产力应用程序从移动设备访问
XenMobile向导的Citrix ADC配置所需的设置,允许用户通过Citrix网关从支持的设备连接到内部网络的移动应用程序和资源。用户通过使用Secure Hub(以前是Citrix Secure Hub)进行连接,它建立了一个Micro VPN隧道。当用户连接时,会有一条VPN隧道连接到Citrix Gateway,然后再连接到内部网络的XenMobile。用户可以通过XenMobile访问他们的网页、手机和SaaS应用。
为了确保用户在使用多个设备同时连接到Citrix网关时使用单个通用许可证,您可以在虚拟服务器上启用会话传输。有关详细信息,请参阅在虚拟服务器上配置连接类型.
如果您在使用XenMobile向导的Citrix ADC之后需要更改配置,请使用本文中的章节作为指导。在更改设置之前,请确保您理解更改的含义。有关更多信息,请参阅XenMobile部署文章。
在“Citrix Gateway”中配置“安全浏览”
您可以将安全浏览更改为全局设置的一部分或会话配置文件的一部分。您可以将会话策略绑定到用户、组或虚拟服务器。配置安全浏览时,还必须启用无客户端访问。但是,无客户端访问不要求您启用安全浏览。配置无客户端访问时,请设置无客户端访问URL编码来清楚的.
全局配置安全浏览:
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关然后点击全局设置.
- 在详细信息窗格中,在设置点击更改全局设置.
- 在全局Citrix网关设置对话框,位于安全选项卡上,单击安全浏览然后点击好啊.
在会话策略和配置文件中配置安全浏览:
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关>策略然后点击一场.
- 在详细信息窗格中,执行下列操作之一:
- 如果新建会话策略,请单击添加.
- 如果您正在更改一个现有策略,请选择一个策略,然后单击开放.
- 在策略中,创建配置文件或修改现有配置文件。为此,请执行以下操作之一:
- 旁边请求配置文件点击刚出现的.
- 旁边请求配置文件点击修改.
- 在安全选项卡,在旁边安全浏览点击覆盖全球然后选择安全浏览.
- 执行以下操作之一:
- 如果您正在创建一个新的配置文件,请单击创造,在“策略”对话框中设置表达式,单击创造然后点击关闭.
- 如果要修改现有纵断面,请在进行选择后单击好啊两次。
要在安全浏览模式下为安全Web配置流量策略,请执行以下操作:
使用以下步骤配置流量策略,以在安全浏览模式下通过代理服务器路由安全Web流量。
- 在配置实用程序中,在配置选项卡,展开Citrix网关>策略然后点击交通.
- 在右侧窗格中,单击交通概况选项卡,然后点击添加.
- 在的名字,输入配置文件的名称,选择传输控制协议随着协议,并保持其余设置不变。
- 点击创造.
- 点击交通概况选项卡,然后点击添加.
- 在的名字,输入配置文件的名称,然后选择HTTP随着协议.此流量配置文件适用于HTTP和SSL。无论目的端口是什么,服务类型是什么,无客户端VPN流量都是HTTP流量。因此,您将SSL和HTTP通信都指定为HTTP在流量通道中。
- 在代理,输入代理服务器的IP地址。在里面港口,输入代理服务器的端口号。
- 点击创造.
- 点击交通概况选项卡,然后点击添加.
进入的名字交通政策和,为请求配置文件,选择步骤3中创建的“流量Profile”。输入以下表达式然后点击创造:
REQ.HTTP.HEADER主机包含ActiveSyncServer | | REQ.HTTP.HEADER用户代理包含WorxMail | | REQ.HTTP.HEADER用户代理包含com.zenprise | | REQ.HTTP.HEADER用户代理包含Citrix Secure Hub | REQ.HTTP.URL包含AGServices | | REQ.HTTP.URL包含StoreWeb<--需要复制-->该规则基于主机头执行检查。要绕过来自代理的活动同步通信,请替换
ActiveSyncServer使用适当的活动同步服务器名。点击交通概况选项卡,然后点击添加. 进入的名字交通政策和,为请求配置文件,选择在步骤6中创建的流量配置文件。输入以下内容表达式然后点击创造:
(REQ.HTTP。HEADER User-Agent包含Mozilla REQ.HTTP.HEADER用户代理包含com.citrix.browser REQ.HTTP.HEADER用户代理包含WorxWeb) && REQ.TCP.DESTPORT == 80 点击交通概况选项卡,然后点击添加. 进入的名字交通政策和请求配置文件,选择在步骤6中创建的流量配置文件。输入以下内容表达式然后点击创造:
(REQ.HTTP。HEADER User-Agent包含Mozilla REQ.HTTP.HEADER用户代理包含com.citrix.browser REQ.HTTP.HEADER User-Agent CONTAINS WorxWeb) && REQ.TCP.DESTPORT == 443 - 导航到Citrix网关>虚拟服务器,在右侧窗格中选择虚拟服务器,然后单击编辑.
- 在政策行,点击+.
- 从选择策略菜单中,选择交通.
- 点击继续.
- 下策略绑定对面,选择策略点击>.
- 选择在步骤10中创建的策略,然后单击好啊.
- 点击绑定.
- 下政策点击交通政策.
- 下VPN虚拟服务器流量策略绑定点击添加绑定.
- 下策略绑定,在选择策略菜单,单击>以查看策略列表。
- 选择步骤17中创建的策略,然后单击好啊.
- 点击绑定.
- 下政策点击交通政策.
- 下VPN虚拟服务器流量策略绑定点击添加绑定.
- 下策略绑定,在选择策略菜单,单击>以查看策略列表。
- 选择在步骤18中创建的策略,然后单击好啊.
- 点击绑定.
- 点击关闭.
- 点击多恩.
请确保在XenMobile控制台配置安全Web (WorxWeb)应用程序。去配置>应用程序,选择“安全Web”应用程序,单击编辑,然后做出以下更改:
- 在应用程序信息页面,改变初始VPN模式来安全浏览.
- 在iOS页面,改变初始VPN模式来安全浏览.
- 在安卓页面,改变首选VPN模式来安全浏览.
配置应用程序和MDX令牌超时
当用户从iOS或Android设备登录时,会发出应用程序令牌或MDX令牌。令牌类似于安全票证颁发机构(STA)。
您可以设置令牌激活的秒数或分钟数。如果令牌过期,用户将无法访问请求的资源,例如应用程序或网页。
令牌超时是全局设置。配置时,适用于所有登录Citrix Gateway的用户。
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关然后点击全局设置.
- 在详细信息窗格中,在设置点击更改全局设置.
- 在全局Citrix网关设置对话框,位于客户体验选项卡上,单击高级设置.
- 在一般标签,在应用程序令牌超时(秒)输入令牌到期前的秒数。默认值是100秒。
- 在MDX令牌超时时间(分钟),输入令牌到期前的分钟数,然后单击好啊. 默认值是10分钟。
禁用移动设备的端点分析
如果配置端点分析,则需要配置策略表达式,以便端点分析扫描不会在Android或iOS移动设备上运行。移动设备上不支持端点分析扫描。
如果将端点分析策略绑定到虚拟服务器,则必须为移动设备创建辅助虚拟服务器。请勿将认证前策略和认证后策略绑定到移动设备虚拟服务器上。
在认证前策略中配置策略表达式时,需要添加User-Agent字符串,以排除Android或iOS。当用户从这些设备之一登录并排除设备类型时,端点分析不会运行。
例如,创建以下策略表达式来检查User-Agent是否包含Android,如果应用程序virus.exe不存在,如果进程正在使用预认证配置文件运行,则结束进程keylogger.exe。策略表达式看起来像这样:
| REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe) contains | CLIENT.APPLICATION.PROCESS(virus.exe)包含 |
创建认证前策略和配置文件后,需要将认证前策略与虚拟服务器绑定。当用户从Android或iOS设备登录时,扫描不会运行。如果用户从基于windows的设备登录,扫描会运行。
配置认证前策略的详细信息请参见配置端点策略.
Android设备通过使用DNS后缀支持DNS查询
当用户在Android设备上建立Micro VPN连接时,Citrix Gateway会将分裂的DNS设置发送给用户设备。Citrix Gateway支持根据您配置的DNS分割设置进行DNS分割查询。Citrix Gateway还可以支持基于您在设备上配置的DNS后缀的拆分DNS查询。如果用户使用Android设备进行连接,则必须在Citrix Gateway上配置DNS。
拆分DNS的工作方式如下:
- 如果将分裂DNS设置为地方的时,Android设备将所有DNS请求发送到本地DNS服务器。
- 如果将分裂DNS设置为遥远的,所有DNS请求将发送到Citrix网关(远程DNS服务器)上配置的DNS服务器进行解析。
- 如果将分裂DNS设置为二者都,Android设备检查DNS请求类型。
- 如果DNS请求类型不是“A”,它会将DNS请求数据包发送到本地和远程DNS服务器。
- 如果DNS请求类型是“A”,Android插件将提取查询FQDN,并将该FQDN与Citrix ADC设备上配置的DNS后缀列表进行匹配。如果DNS请求的FQDN匹配,则将DNS请求发送到远端DNS服务器。如果FQDN不匹配,则向本地DNS服务器发送DNS请求。
下表总结了基于A类型记录和后缀列表的拆分DNS。
| 分裂的DNS设置 | 是a型记录吗? | 它在后缀列表上吗? | DNS请求发送到哪里 |
|---|---|---|---|
| 地方的 | 是或否 | 是或否 | 地方的 |
| 遥远的 | 是或否 | 是或否 | 遥远的 |
| 二者都 | 不 | NA | 二者都 |
| 二者都 | 是的 | 是的 | 遥远的 |
| 二者都 | 是的 | 不 | 地方的 |
配置DNS后缀。
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关>策略然后点击一场.
- 在详细信息窗格中,在政策选择“会话策略”页签,单击开放.
- 旁边请求配置文件点击修改.
- 在网络配置选项卡上,单击先进的.
- 旁边内网IP DNS后缀点击覆盖全球,输入DNS后缀,然后单击好啊三次。
在Citrix网关上全局配置分裂DNS。
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关然后点击全局设置.
- 在详细信息窗格中,在设置点击更改全局设置.
- 在客户体验选项卡上,单击高级设置.
- 在一般标签,在拆分DNS选择二者都,遥远的,或地方的然后点击好啊.
在Citrix网关上配置会话策略中的分裂DNS。
- 在配置实用程序中,在配置选项卡,在导航窗格中展开Citrix网关>策略,然后单击一场.
- 在详细信息窗格中,在政策选项卡上,单击添加.
- 在的名字,键入策略的名称。
- 旁边请求配置文件点击刚出现的.
- 在的名字,键入配置文件的名称。
- 在客户体验选项卡上,单击高级设置.
- 在一般选项卡,在旁边拆分DNS点击覆盖全球选择二者都,遥远的,或地方的然后点击好啊.
- 在创建会话策略对话框,位于命名表达式选择一般选择符合事实的点击添加表达式点击创造然后点击关闭.