集成和部署安全Web

要集成和交付安全Web，请遵循以下一般步骤:

1. 如果需要实现内部网络单点登录，需要配置“Citrix Gateway”。

   对于HTTP流量，Citrix ADC可以为Citrix ADC支持的所有代理身份验证类型提供SSO。对于HTTPS流量，Web密码缓存策略允许Secure Web通过MDX进行身份验证并向代理服务器提供SSO。MDX只支持基本、摘要和NTLM代理身份验证。使用MDX缓存密码并存储在端点管理共享保险库中，这是敏感应用程序数据的安全存储区域。Citrix Gateway的详细配置请参见Citrix网关．

2. 下载Secure Web。
3. 确定您希望如何配置到内部网络的用户连接。
4. 将安全Web添加到端点管理，使用与其他MDX应用程序相同的步骤，然后配置MDX策略。安全Web的具体策略请参见关于Web安全策略．

配置用户连接

安全Web支持以下用户连接配置:

• 安全浏览:通过隧道连接到内部网络的连接可以使用无客户端VPN的一种变体，称为安全浏览。方法指定的默认配置首选VPN模式政策。对于需要单点登录(SSO)的连接，建议使用安全浏览。
• 全VPN隧道:连接到内部网络的隧道可以使用全VPN隧道首选VPN模式的政策。当使用客户端证书或端到端SSL连接到内部网络资源时，建议使用全VPN隧道。全VPN隧道处理TCP上的任何协议，除了iOS和Android设备外，还可以与Windows和Mac电脑一起使用。

注意:

MDX封装技术计划于2021年9月达到使用寿命(EOL)。要继续管理企业应用程序，必须合并MAM SDK。Legacy MDX模式下不支持Full VPN隧道。

• 的允许VPN模式切换策略允许根据需要在全VPN隧道和安全浏览模式之间自动切换。缺省情况下，该策略处于关闭状态。启用该策略后，当网络请求失败时，由于在首选VPN模式下无法处理认证请求，将在备用VPN模式下重试。例如，全VPN隧道模式，而不是安全浏览模式，可以适应客户端证书的服务器挑战。类似地，在使用安全浏览模式时，更有可能使用SSO解决HTTP身份验证挑战。
• 带PAC的全VPN隧道:对于iOS和Android设备，可以使用PAC (Proxy Automatic Configuration)文件配置全VPN隧道。PAC文件包含定义web浏览器如何选择代理访问给定URL的规则。PAC文件规则可以指定内部和外部站点的处理。安全Web通过解析PAC文件规则，将代理服务器信息发送给Citrix Gateway。
• 使用PAC文件时的完整VPN隧道性能与安全浏览模式相当。PAC配置的详细信息请参见带PAC的全VPN隧道．
• 反向分割隧道:在反向模式下，内网应用的流量绕过VPN隧道，其他流量通过VPN隧道。该策略可用于记录所有非本地局域网流量。

反向分割隧道的配置步骤

在Citrix网关上配置分裂隧道反向模式，步骤如下:

1. 导航到策略>会话政策。
2. 选择安全中心策略，然后导航到“客户端体验>分裂隧道”．
3. 选择反向．

反向分裂隧道模式排除列表MDX策略

在Citrix Endpoint Management中配置了“排除范围”的反向分裂隧道模式策略。该范围基于以逗号分隔的DNS后缀和FQDN列表。此列表定义了流量必须在设备的LAN (LAN)上发送而不会发送到Citrix ADC的url。

下表根据配置和站点类型说明了安全Web是否提示用户输入凭据:

连接模式	网站类型	密码缓存	为Citrix Gateway配置单点登录	安全Web在首次访问网站时提示凭据	安全Web在随后访问网站时提示凭据	密码更改后，安全Web提示凭据
安全浏览	HTTP	没有	是的	没有	没有	没有
安全浏览	HTTPS	没有	是的	没有	没有	没有
完整的VPN	HTTP	没有	是的	没有	没有	没有
完整的VPN	HTTPS	是，如果“安全Web MDX”策略“启用Web密码缓存”为“开启”。	没有	是的,需要在安全Web中缓存凭据。	没有	是的

带PAC的全VPN隧道

重要的是:

如果安全Web配置了PAC文件，并且代理操作配置了Citrix ADC，则安全Web超时。在使用带PAC的全VPN隧道之前，请删除为代理配置的Citrix网关流量策略。

当您使用PAC文件或代理服务器配置安全Web为全VPN隧道时，安全Web将通过Citrix网关将所有流量发送给代理。然后，Citrix网关根据代理配置规则对流量进行路由。在此配置中，Citrix Gateway不知道PAC文件或代理服务器。流量流程与不使用PAC的全VPN隧道相同。

下图显示了安全Web用户浏览网站时的流量流:

在该示例中，交通规则指定:

• Citrix网关与内网站点直连example1.net．
• 内网站点流量example2.net通过内部代理服务器进行代理。
• 外部流量通过内部代理服务器进行代理。代理规则阻止外部流量到Facebook.com。

使用PAC配置全VPN隧道

1. 验证和测试PAC文件。

   注意:

   创建和使用PAC文件的详细信息请参见findproxyforurl.com/．

   使用PAC验证工具验证PAC文件，例如Pacparser．当您读取PAC文件时，请确保Pacparser的结果符合您的期望。如果PAC文件有语法错误，移动设备会静默忽略PAC文件。(PAC文件只存储在移动设备的内存中。)

   PAC文件从上到下进行处理，当规则与当前查询匹配时，处理停止。

   使用web浏览器测试PAC文件URL，然后再进入PAC /代理端点管理领域。确保计算机可以访问PAC文件所在的网络。

   https://webserver.local/GenericPAC.pachttps://webserver.local/GenericPAC.pac

   测试的PAC扩展名是.txt或. PAC。

   PAC文件必须在web浏览器中显示其内容。

   重要的是:

   每次更新与安全Web一起使用的PAC文件时，通知用户必须关闭并重新打开安全Web。

2. 配置Citrix网关:

   • 关闭Citrix网关的分裂隧道功能。如果开启了拆分隧道，并且配置了PAC文件，则PAC文件的规则将覆盖Citrix ADC的拆分隧道规则。代理不覆盖Citrix ADC拆分隧道规则。
   • 删除为代理配置的Citrix Gateway流量策略。要使Secure Web正常工作，需要执行此步骤。下图显示了要删除的策略规则示例。

   

3. 配置安全Web策略:

   • 配置VPN首选模式策略为全VPN隧道．
   • 设置允许VPN模式切换策略为从．

   • 配置PAC文件URL或代理服务器策略。除了默认端口和非默认端口外，安全Web还支持HTTP和HTTPS。对于HTTPS，如果证书是自签名或不受信任的，则必须在设备上安装根证书颁发机构。

     在配置策略之前，请确保在web浏览器中测试URL或代理服务器地址。

     示例PAC文件url:

     http [s]: / / example.com/proxy.pachttp [s]: / / 10.10.0.100 / proxy.txt

     代理服务器示例(需要端口):

     myhost.example.com:端口

     10.10.0.100:端口

     注意:

     如果配置了PAC文件或代理服务器，请不要在Wi-Fi的系统代理设置中配置PAC。

   • 设置“启用web密码缓存策略”为在．Web密码缓存处理HTTPS站点的SSO。

     如果代理支持相同的身份验证基础结构，Citrix ADC可以为内部代理执行SSO。

PAC文件支持的限制

安全Web不支持:

• 从一个代理服务器到另一个代理服务器的故障转移。PAC文件评估可以为一个主机名返回多个代理服务器。安全Web只使用返回的第一个代理服务器。
• 协议，如FTP和gopher在PAC文件。
• PAC文件中的SOCKS代理服务器。
• Web代理自动发现协议(WPAD)。

安全Web忽略PAC文件函数警报，以便安全Web可以解析不包含这些调用的PAC文件。

安全的Web策略

在添加安全Web时，请注意这些特定于安全Web的MDX策略。对于所有支持的移动设备:

允许或阻止的网站

安全Web通常不过滤Web链接。您可以使用此策略来配置允许或阻止的特定站点列表。您可以配置URL模式来限制浏览器可以打开的网站，格式为逗号分隔的列表。列表中的每个模式前面都有一个加号(+)或减号(-)。浏览器按照列出的顺序将URL与模式进行比较，直到找到匹配。当找到匹配时，前缀指示采取的操作如下:

• 减号(-)前缀指示浏览器阻止该URL。在这种情况下，URL被视为无法解析web服务器地址。
• 加号(+)前缀允许正常处理URL。
• 如果模式中没有提供+或-，则假定使用+ (allow)。
• 如果URL与列表中的任何模式都不匹配，则允许该URL

要阻止所有其他url，请在列表末尾加上一个负号，后面跟着一个星号(-*)。例如:

• 策略值+ http:// * .mycorp.com/ *, http: / / *, + https:// *, + ftp:// * - *允许HTTP urlmycorp.com域，但在其他地方阻止它们，允许HTTPS和FTP url在任何地方，并阻止所有其他url。
• 策略值+ http:// * .training.lab / *, + https:// * .training.lab / * - *允许用户在培训中打开任何网站。实验室域(内部网)通过HTTP或HTTPS。该策略值不允许用户打开公共url，如Facebook、Google、Hotmail，无论协议如何。

默认值为空(允许所有url)。

阻止弹出窗口

弹出窗口是网站在未经你允许的情况下打开的新标签页。此策略决定安全Web是否允许弹出窗口。如果开启，则安全Web会阻止网站打开弹出窗口。默认值为“关闭”。

预加载的书签

为安全Web浏览器定义一组预加载的书签。该策略是一个以逗号分隔的元组列表，其中包括文件夹名称、友好名称和web地址。每个三元组必须是文件夹、名称、url的形式，其中文件夹和名称可以选择用双引号(")括起来。

例如，策略值，“Mycorp, Inc.主页”，https://www.mycorp.com，“Mycorp链接”，帐户登录，https://www.mycorp.com/Accounts“Mycorp链接/投资者关系”，“联系我们”，https://www.mycorp.com/IR/Contactus.aspx定义三个书签。第一个是标题为“Mycorp, Inc.主页”的主链接(没有文件夹名称)。第二个链接放在一个名为“MyCorp链接”的文件夹中，标签为“帐户登录”。第三个放在“MyCorp链接”文件夹的“投资者关系”子文件夹中，显示为“联系我们”。

默认值为空。

主页网址

定义安全Web启动时加载的网站。默认值为空(默认起始页)。

仅适用于支持的Android和iOS设备:

浏览器用户界面

指示安全Web的浏览器用户界面控件的行为和可见性。通常所有浏览控件都是可用的。这些包括前进、后退、地址栏和刷新/停止控件。您可以配置此策略来限制其中一些控件的使用和可见性。默认值是“所有控件可见”。

选项:

• 所有控件可见。所有控件都是可见的，并且不限制用户使用它们。
• 只读地址栏。所有控件都是可见的，但是用户不能编辑浏览器地址字段。
• 隐藏地址栏。隐藏地址栏，但不隐藏其他控件。
• 隐藏所有控件。抑制整个工具栏以提供无框浏览体验。

启用web密码缓存

当安全Web用户在访问或请求Web资源时输入凭据时，该策略决定安全Web是否在设备上静默缓存密码。此策略适用于在身份验证对话框中输入的密码，而不适用于在web表单中输入的密码。

如果在， Secure Web缓存用户在请求Web资源时输入的所有密码。如果关闭，则安全Web不缓存密码并删除现有的缓存密码。默认值为从．

只有当该应用的首选VPN策略为“全VPN隧道”时，该策略才会启用。

代理服务器

在安全浏览模式下，也可以为安全Web配置代理服务器。详细信息请参见博客．

DNS后缀

在Android上，如果没有配置DNS后缀，VPN可能会失败。配置DNS后缀的详细信息请参见Android设备支持DNS后缀查询．

为安全Web准备内网站点

本节适用于需要准备一个用于Android和iOS安全Web的内部网站点的网站开发人员。为桌面浏览器设计的Intranet站点需要更改才能在Android和iOS设备上正常工作。

Secure Web依靠Android的WebView和iOS的WkWebView提供Web技术支持。“安全网页”支援的网络技术包括:

• AngularJS
• ASP。net
• JavaScript
• jQuery
• WebGL
• WebSockets(仅在无限制模式下)

“安全网页”不支援的网络技术包括:

• 闪光
• Java

下表显示了安全Web支持的HTML呈现特性和技术。X表示该特性可用于平台、浏览器和组件组合。

技术	iOS安全Web	Android安全Web
JavaScript引擎	JavaScriptCore	V8
本地存储	X	X
AppCache	X	X
IndexedDB		X
SPDY	X
WebP		X
srcet	X	X
WebGL		X
requestAnimationFrame API		X
导航授时API		X
资源定时API		X

技术在不同设备上工作是一样的;但是，安全Web为不同的设备返回不同的用户代理字符串。要确定用于安全Web的浏览器版本，可以查看其用户代理字符串。从“安全Web”导航到https://whatsmyuseragent.com/．

内网站点故障处理

若要排除在安全Web中查看内部网站点时的呈现问题，请比较该网站在安全Web和兼容的第三方浏览器上的呈现方式。

对于iOS，兼容的第三方浏览器为Chrome和Dolphin。

对于Android，兼容的第三方测试浏览器是Dolphin。

注意:

Chrome是Android的原生浏览器。不要用它来比较。

在iOS中，请确保浏览器具有设备级VPN支持。您可以在设备上配置此支持“配置> VPN >添加VPN配置”．

您也可以使用App Store中提供的VPN客户端应用，例如Citrix VPN，思科AnyConnect,或脉冲安全．

• 如果一个网页在两种浏览器上呈现相同的效果，那么问题出在你的网站上。更新你的网站，确保它在操作系统上运行良好。
• 如果某个网页上的问题只出现在Secure Web中，请联系Citrix Support以打开支持单。请提供您的故障排除步骤，包括测试的浏览器和操作系统类型。如果Secure Web for iOS存在呈现问题，请按照以下步骤提供网页的Web存档。这样做有助于Citrix更快地解决问题。

验证SSL连接

请确保SSL证书链配置正确。您可以检查移动设备上没有链接或安装的丢失的根ca或中间caSSL证书检查器．

许多服务器证书由多个分层证书颁发机构(CA)签名，这意味着证书形成了一个链。您必须链接这些证书。有关安装或链接证书的信息，请参见安装、链接和更新证书．

创建web归档文件

通过在macOS 10.9或更高版本上使用Safari，您可以将网页保存为网络存档文件(称为阅读列表)。web归档文件包含所有链接文件，如图片、CSS、JavaScript等。

1. 在Safari中，清空阅读列表文件夹:在仪，点击去的菜单菜单酒吧,选择转到文件夹，输入路径名~/Library/Safari/ReadingListArchives/。现在删除该位置的所有文件夹。

2. 在菜单酒吧，去Safari >首选项>高级并使显示开发菜单在菜单栏中。

3. 在菜单酒吧，去开发>用户代理并进入安全Web用户代理:(Mozilla/5.0 (iPad;CPU OS 8_3如macOS) AppleWebKit/600.1.4 (KHTML，如Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25

4. 在Safari中，打开你想要保存为阅读列表(网络存档文件)的网站。

5. 在菜单酒吧，去书签>添加到阅读列表．这个步骤可能需要几分钟。归档在后台进行。

6. 找到存档的阅读列表:在菜单酒吧，去查看>显示阅读列表侧边栏．

7. 验证归档文件:

   • 关闭Mac的网络连接。

   • 从阅读列表中打开网站。

     网站呈现完全。

8. 压缩归档文件:在仪，点击去的菜单菜单酒吧,选择转到文件夹，然后输入路径名~/Library/Safari/ReadingListArchives/。然后，压缩具有随机十六进制字符串作为文件名的文件夹。此文件是在您打开支持票据时可以发送给Citrix支持的文件。

安全的Web特性

安全Web通过移动数据交换技术，创建一个专用的VPN隧道，供用户访问内部和外部网站以及所有其他网站。这些站点包括在受组织策略保护的环境中包含敏感信息的站点。

安全Web与安全邮件和Citrix文件的集成在安全端点管理容器中提供了无缝的用户体验。以下是一些集成特性的示例:

• 当用户点击Mailto链接时，在“安全邮件”中打开新的电子邮件，不需要额外的身份验证。
• 允许链接在安全Web中打开，保证数据安全．通过Secure Web for iOS和Android，用户可以通过专用的VPN隧道安全地访问包含敏感信息的站点。他们可以点击来自安全邮件、安全Web或第三方应用程序的链接。链接在安全Web中打开，数据被安全包含。用户可以在Secure Web中打开具有ctxmobilebrowser方案的内部链接。在此过程中，安全Web转换了ctxmobilebrowser: / /前缀http://。要打开HTTPS链接，安全Web将进行转换ctxmobilebrowsers: / /来https://．

此功能依赖于应用程序交互MDX策略入境文件交换．策略设置为不受限制的默认情况下。此设置允许url在安全Web中打开。您可以更改策略设置，以便只有包含在允许列表中的应用程序才能与安全Web通信。

• 当用户单击电子邮件消息中的内部网链接时，安全Web不需要额外的身份验证就可以访问该站点。
• 用户可以通过“安全web”将从web下载的文件上传到Citrix。

安全Web用户还可以执行以下操作:

• 阻止弹出窗口。

  注意:

  大部分安全Web内存用于呈现弹出窗口，因此通常通过在设置中阻止弹出窗口来提高性能。

• 收藏他们最喜欢的网站。
• 下载文件。
• 脱机保存页面。
• 自动保存密码。
• 清楚缓存/历史/ cookie。
• 禁用cookie和HTML5本地存储。
• 安全地与其他用户共享设备。
• 在地址栏内搜索。
• 允许使用安全web运行的web应用程序访问他们的位置。
• 导出和导入设置。
• 直接在Citrix files中打开文件，而无需下载文件。要启用此特性，请添加ctx-sf:到“端点管理”中的“允许访问的url”策略。
• 在iOS中，使用3D Touch操作可以打开一个新标签页，并直接从主屏幕访问离线页面、收藏的网站和下载。
• 在iOS系统中，下载任意大小的文件，然后在Citrix files或其他应用程序中打开它们。

  注意:

  将Secure Web置于后台会导致下载停止。

• 在当前页面视图中搜索术语在页面中查找．

  

安全Web还具有动态文本支持，因此它显示用户在其设备上设置的字体。