集成和部署安全Web
要集成和交付安全Web,请遵循以下一般步骤:
如果需要实现内部网络单点登录,需要配置“Citrix Gateway”。
对于HTTP流量,Citrix ADC可以为Citrix ADC支持的所有代理身份验证类型提供SSO。对于HTTPS流量,Web密码缓存策略允许Secure Web通过MDX进行身份验证并向代理服务器提供SSO。MDX只支持基本、摘要和NTLM代理身份验证。使用MDX缓存密码并存储在端点管理共享保险库中,这是敏感应用程序数据的安全存储区域。Citrix Gateway的详细配置请参见Citrix网关.
- 下载Secure Web。
- 确定您希望如何配置到内部网络的用户连接。
- 将安全Web添加到端点管理,使用与其他MDX应用程序相同的步骤,然后配置MDX策略。安全Web的具体策略请参见关于Web安全策略.
配置用户连接
安全Web支持以下用户连接配置:
- 安全浏览:通过隧道连接到内部网络的连接可以使用无客户端VPN的一种变体,称为安全浏览。方法指定的默认配置首选VPN模式政策。对于需要单点登录(SSO)的连接,建议使用安全浏览。
- 全VPN隧道:连接到内部网络的隧道可以使用全VPN隧道首选VPN模式的政策。当使用客户端证书或端到端SSL连接到内部网络资源时,建议使用全VPN隧道。全VPN隧道处理TCP上的任何协议,除了iOS和Android设备外,还可以与Windows和Mac电脑一起使用。
注意:
MDX封装技术计划于2021年9月达到使用寿命(EOL)。要继续管理企业应用程序,必须合并MAM SDK。Legacy MDX模式下不支持Full VPN隧道。
- 的允许VPN模式切换策略允许根据需要在全VPN隧道和安全浏览模式之间自动切换。缺省情况下,该策略处于关闭状态。启用该策略后,当网络请求失败时,由于在首选VPN模式下无法处理认证请求,将在备用VPN模式下重试。例如,全VPN隧道模式,而不是安全浏览模式,可以适应客户端证书的服务器挑战。类似地,在使用安全浏览模式时,更有可能使用SSO解决HTTP身份验证挑战。
- 带PAC的全VPN隧道:对于iOS和Android设备,可以使用PAC (Proxy Automatic Configuration)文件配置全VPN隧道。PAC文件包含定义web浏览器如何选择代理访问给定URL的规则。PAC文件规则可以指定内部和外部站点的处理。安全Web通过解析PAC文件规则,将代理服务器信息发送给Citrix Gateway。
- 使用PAC文件时的完整VPN隧道性能与安全浏览模式相当。PAC配置的详细信息请参见带PAC的全VPN隧道.
- 反向分割隧道:在反向模式下,内网应用的流量绕过VPN隧道,其他流量通过VPN隧道。该策略可用于记录所有非本地局域网流量。
反向分割隧道的配置步骤
在Citrix网关上配置分裂隧道反向模式,步骤如下:
- 导航到策略>会话政策。
- 选择安全中心策略,然后导航到“客户端体验>分裂隧道”.
- 选择反向.
反向分裂隧道模式排除列表MDX策略
在Citrix Endpoint Management中配置了“排除范围”的反向分裂隧道模式策略。该范围基于以逗号分隔的DNS后缀和FQDN列表。此列表定义了流量必须在设备的LAN (LAN)上发送而不会发送到Citrix ADC的url。
下表根据配置和站点类型说明了安全Web是否提示用户输入凭据:
连接模式 | 网站类型 | 密码缓存 | 为Citrix Gateway配置单点登录 | 安全Web在首次访问网站时提示凭据 | 安全Web在随后访问网站时提示凭据 | 密码更改后,安全Web提示凭据 |
---|---|---|---|---|---|---|
安全浏览 | HTTP | 没有 | 是的 | 没有 | 没有 | 没有 |
安全浏览 | HTTPS | 没有 | 是的 | 没有 | 没有 | 没有 |
完整的VPN | HTTP | 没有 | 是的 | 没有 | 没有 | 没有 |
完整的VPN | HTTPS | 是,如果“安全Web MDX”策略“启用Web密码缓存”为“开启”。 | 没有 | 是的,需要在安全Web中缓存凭据。 | 没有 | 是的 |
带PAC的全VPN隧道
重要的是:
如果安全Web配置了PAC文件,并且代理操作配置了Citrix ADC,则安全Web超时。在使用带PAC的全VPN隧道之前,请删除为代理配置的Citrix网关流量策略。
当您使用PAC文件或代理服务器配置安全Web为全VPN隧道时,安全Web将通过Citrix网关将所有流量发送给代理。然后,Citrix网关根据代理配置规则对流量进行路由。在此配置中,Citrix Gateway不知道PAC文件或代理服务器。流量流程与不使用PAC的全VPN隧道相同。
下图显示了安全Web用户浏览网站时的流量流:
在该示例中,交通规则指定:
- Citrix网关与内网站点直连
example1.net
. - 内网站点流量
example2.net
通过内部代理服务器进行代理。 - 外部流量通过内部代理服务器进行代理。代理规则阻止外部流量到
Facebook.com。
使用PAC配置全VPN隧道
验证和测试PAC文件。
注意:
创建和使用PAC文件的详细信息请参见findproxyforurl.com/.
使用PAC验证工具验证PAC文件,例如Pacparser.当您读取PAC文件时,请确保Pacparser的结果符合您的期望。如果PAC文件有语法错误,移动设备会静默忽略PAC文件。(PAC文件只存储在移动设备的内存中。)
PAC文件从上到下进行处理,当规则与当前查询匹配时,处理停止。
使用web浏览器测试PAC文件URL,然后再进入PAC /代理端点管理领域。确保计算机可以访问PAC文件所在的网络。
https://webserver.local/GenericPAC.pac
https://webserver.local/GenericPAC.pac
测试的PAC扩展名是.txt或. PAC。
PAC文件必须在web浏览器中显示其内容。
重要的是:
每次更新与安全Web一起使用的PAC文件时,通知用户必须关闭并重新打开安全Web。
配置Citrix网关:
- 关闭Citrix网关的分裂隧道功能。如果开启了拆分隧道,并且配置了PAC文件,则PAC文件的规则将覆盖Citrix ADC的拆分隧道规则。代理不覆盖Citrix ADC拆分隧道规则。
- 删除为代理配置的Citrix Gateway流量策略。要使Secure Web正常工作,需要执行此步骤。下图显示了要删除的策略规则示例。
配置安全Web策略:
- 配置VPN首选模式策略为全VPN隧道.
- 设置允许VPN模式切换策略为从.
配置PAC文件URL或代理服务器策略。除了默认端口和非默认端口外,安全Web还支持HTTP和HTTPS。对于HTTPS,如果证书是自签名或不受信任的,则必须在设备上安装根证书颁发机构。
在配置策略之前,请确保在web浏览器中测试URL或代理服务器地址。
示例PAC文件url:
http [s]: / / example.com/proxy.pac
http [s]: / / 10.10.0.100 / proxy.txt
代理服务器示例(需要端口):
myhost.example.com:端口
10.10.0.100:端口
注意:
如果配置了PAC文件或代理服务器,请不要在Wi-Fi的系统代理设置中配置PAC。
设置“启用web密码缓存策略”为在.Web密码缓存处理HTTPS站点的SSO。
如果代理支持相同的身份验证基础结构,Citrix ADC可以为内部代理执行SSO。
PAC文件支持的限制
安全Web不支持:
- 从一个代理服务器到另一个代理服务器的故障转移。PAC文件评估可以为一个主机名返回多个代理服务器。安全Web只使用返回的第一个代理服务器。
- 协议,如FTP和gopher在PAC文件。
- PAC文件中的SOCKS代理服务器。
- Web代理自动发现协议(WPAD)。
安全Web忽略PAC文件函数警报,以便安全Web可以解析不包含这些调用的PAC文件。
安全的Web策略
在添加安全Web时,请注意这些特定于安全Web的MDX策略。对于所有支持的移动设备:
允许或阻止的网站
安全Web通常不过滤Web链接。您可以使用此策略来配置允许或阻止的特定站点列表。您可以配置URL模式来限制浏览器可以打开的网站,格式为逗号分隔的列表。列表中的每个模式前面都有一个加号(+)或减号(-)。浏览器按照列出的顺序将URL与模式进行比较,直到找到匹配。当找到匹配时,前缀指示采取的操作如下:
- 减号(-)前缀指示浏览器阻止该URL。在这种情况下,URL被视为无法解析web服务器地址。
- 加号(+)前缀允许正常处理URL。
- 如果模式中没有提供+或-,则假定使用+ (allow)。
- 如果URL与列表中的任何模式都不匹配,则允许该URL
要阻止所有其他url,请在列表末尾加上一个负号,后面跟着一个星号(-*)。例如:
- 策略值
+ http:// * .mycorp.com/ *, http: / / *, + https:// *, + ftp:// * - *
允许HTTP urlmycorp.com
域,但在其他地方阻止它们,允许HTTPS和FTP url在任何地方,并阻止所有其他url。 - 策略值
+ http:// * .training.lab / *, + https:// * .training.lab / * - *
允许用户在培训中打开任何网站。实验室域(内部网)通过HTTP或HTTPS。该策略值不允许用户打开公共url,如Facebook、Google、Hotmail,无论协议如何。
默认值为空(允许所有url)。
阻止弹出窗口
弹出窗口是网站在未经你允许的情况下打开的新标签页。此策略决定安全Web是否允许弹出窗口。如果开启,则安全Web会阻止网站打开弹出窗口。默认值为“关闭”。
预加载的书签
为安全Web浏览器定义一组预加载的书签。该策略是一个以逗号分隔的元组列表,其中包括文件夹名称、友好名称和web地址。每个三元组必须是文件夹、名称、url的形式,其中文件夹和名称可以选择用双引号(")括起来。
例如,策略值,“Mycorp, Inc.主页”,https://www.mycorp.com,“Mycorp链接”,帐户登录,https://www.mycorp.com/Accounts“Mycorp链接/投资者关系”,“联系我们”,https://www.mycorp.com/IR/Contactus.aspx
定义三个书签。第一个是标题为“Mycorp, Inc.主页”的主链接(没有文件夹名称)。第二个链接放在一个名为“MyCorp链接”的文件夹中,标签为“帐户登录”。第三个放在“MyCorp链接”文件夹的“投资者关系”子文件夹中,显示为“联系我们”。
默认值为空。
主页网址
定义安全Web启动时加载的网站。默认值为空(默认起始页)。
仅适用于支持的Android和iOS设备:
浏览器用户界面
指示安全Web的浏览器用户界面控件的行为和可见性。通常所有浏览控件都是可用的。这些包括前进、后退、地址栏和刷新/停止控件。您可以配置此策略来限制其中一些控件的使用和可见性。默认值是“所有控件可见”。
选项:
- 所有控件可见。所有控件都是可见的,并且不限制用户使用它们。
- 只读地址栏。所有控件都是可见的,但是用户不能编辑浏览器地址字段。
- 隐藏地址栏。隐藏地址栏,但不隐藏其他控件。
- 隐藏所有控件。抑制整个工具栏以提供无框浏览体验。
启用web密码缓存
当安全Web用户在访问或请求Web资源时输入凭据时,该策略决定安全Web是否在设备上静默缓存密码。此策略适用于在身份验证对话框中输入的密码,而不适用于在web表单中输入的密码。
如果在, Secure Web缓存用户在请求Web资源时输入的所有密码。如果关闭,则安全Web不缓存密码并删除现有的缓存密码。默认值为从.
只有当该应用的首选VPN策略为“全VPN隧道”时,该策略才会启用。
代理服务器
在安全浏览模式下,也可以为安全Web配置代理服务器。详细信息请参见博客.
DNS后缀
在Android上,如果没有配置DNS后缀,VPN可能会失败。配置DNS后缀的详细信息请参见Android设备支持DNS后缀查询.
为安全Web准备内网站点
本节适用于需要准备一个用于Android和iOS安全Web的内部网站点的网站开发人员。为桌面浏览器设计的Intranet站点需要更改才能在Android和iOS设备上正常工作。
Secure Web依靠Android的WebView和iOS的WkWebView提供Web技术支持。“安全网页”支援的网络技术包括:
- AngularJS
- ASP。net
- JavaScript
- jQuery
- WebGL
- WebSockets(仅在无限制模式下)
“安全网页”不支援的网络技术包括:
- 闪光
- Java
下表显示了安全Web支持的HTML呈现特性和技术。X表示该特性可用于平台、浏览器和组件组合。
技术 | iOS安全Web | Android安全Web |
---|---|---|
JavaScript引擎 | JavaScriptCore | V8 |
本地存储 | X | X |
AppCache | X | X |
IndexedDB | X | |
SPDY | X | |
WebP | X | |
srcet | X | X |
WebGL | X | |
requestAnimationFrame API | X | |
导航授时API | X | |
资源定时API | X |
技术在不同设备上工作是一样的;但是,安全Web为不同的设备返回不同的用户代理字符串。要确定用于安全Web的浏览器版本,可以查看其用户代理字符串。从“安全Web”导航到https://whatsmyuseragent.com/.
内网站点故障处理
若要排除在安全Web中查看内部网站点时的呈现问题,请比较该网站在安全Web和兼容的第三方浏览器上的呈现方式。
对于iOS,兼容的第三方浏览器为Chrome和Dolphin。
对于Android,兼容的第三方测试浏览器是Dolphin。
注意:
Chrome是Android的原生浏览器。不要用它来比较。
在iOS中,请确保浏览器具有设备级VPN支持。您可以在设备上配置此支持“配置> VPN >添加VPN配置”.
您也可以使用App Store中提供的VPN客户端应用,例如Citrix VPN,思科AnyConnect,或脉冲安全.
- 如果一个网页在两种浏览器上呈现相同的效果,那么问题出在你的网站上。更新你的网站,确保它在操作系统上运行良好。
- 如果某个网页上的问题只出现在Secure Web中,请联系Citrix Support以打开支持单。请提供您的故障排除步骤,包括测试的浏览器和操作系统类型。如果Secure Web for iOS存在呈现问题,请按照以下步骤提供网页的Web存档。这样做有助于Citrix更快地解决问题。
验证SSL连接
请确保SSL证书链配置正确。您可以检查移动设备上没有链接或安装的丢失的根ca或中间caSSL证书检查器.
许多服务器证书由多个分层证书颁发机构(CA)签名,这意味着证书形成了一个链。您必须链接这些证书。有关安装或链接证书的信息,请参见安装、链接和更新证书.
创建web归档文件
通过在macOS 10.9或更高版本上使用Safari,您可以将网页保存为网络存档文件(称为阅读列表)。web归档文件包含所有链接文件,如图片、CSS、JavaScript等。
在Safari中,清空阅读列表文件夹:在仪,点击去的菜单菜单酒吧,选择转到文件夹,输入路径名~/Library/Safari/ReadingListArchives/。现在删除该位置的所有文件夹。
在菜单酒吧,去Safari >首选项>高级并使显示开发菜单在菜单栏中。
在菜单酒吧,去开发>用户代理并进入安全Web用户代理:(Mozilla/5.0 (iPad;CPU OS 8_3如macOS) AppleWebKit/600.1.4 (KHTML,如Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25
在Safari中,打开你想要保存为阅读列表(网络存档文件)的网站。
在菜单酒吧,去书签>添加到阅读列表.这个步骤可能需要几分钟。归档在后台进行。
找到存档的阅读列表:在菜单酒吧,去查看>显示阅读列表侧边栏.
验证归档文件:
- 关闭Mac的网络连接。
从阅读列表中打开网站。
网站呈现完全。
压缩归档文件:在仪,点击去的菜单菜单酒吧,选择转到文件夹,然后输入路径名~/Library/Safari/ReadingListArchives/。然后,压缩具有随机十六进制字符串作为文件名的文件夹。此文件是在您打开支持票据时可以发送给Citrix支持的文件。
安全的Web特性
安全Web通过移动数据交换技术,创建一个专用的VPN隧道,供用户访问内部和外部网站以及所有其他网站。这些站点包括在受组织策略保护的环境中包含敏感信息的站点。
安全Web与安全邮件和Citrix文件的集成在安全端点管理容器中提供了无缝的用户体验。以下是一些集成特性的示例:
- 当用户点击Mailto链接时,在“安全邮件”中打开新的电子邮件,不需要额外的身份验证。
- 允许链接在安全Web中打开,保证数据安全.通过Secure Web for iOS和Android,用户可以通过专用的VPN隧道安全地访问包含敏感信息的站点。他们可以点击来自安全邮件、安全Web或第三方应用程序的链接。链接在安全Web中打开,数据被安全包含。用户可以在Secure Web中打开具有ctxmobilebrowser方案的内部链接。在此过程中,安全Web转换了
ctxmobilebrowser: / /
前缀http://。
要打开HTTPS链接,安全Web将进行转换ctxmobilebrowsers: / /
来https://
.
此功能依赖于应用程序交互MDX策略入境文件交换.策略设置为不受限制的默认情况下。此设置允许url在安全Web中打开。您可以更改策略设置,以便只有包含在允许列表中的应用程序才能与安全Web通信。
- 当用户单击电子邮件消息中的内部网链接时,安全Web不需要额外的身份验证就可以访问该站点。
- 用户可以通过“安全web”将从web下载的文件上传到Citrix。
安全Web用户还可以执行以下操作:
- 阻止弹出窗口。
注意:
大部分安全Web内存用于呈现弹出窗口,因此通常通过在设置中阻止弹出窗口来提高性能。
- 收藏他们最喜欢的网站。
- 下载文件。
- 脱机保存页面。
- 自动保存密码。
- 清楚缓存/历史/ cookie。
- 禁用cookie和HTML5本地存储。
- 安全地与其他用户共享设备。
- 在地址栏内搜索。
- 允许使用安全web运行的web应用程序访问他们的位置。
- 导出和导入设置。
- 直接在Citrix files中打开文件,而无需下载文件。要启用此特性,请添加ctx-sf:到“端点管理”中的“允许访问的url”策略。
- 在iOS中,使用3D Touch操作可以打开一个新标签页,并直接从主屏幕访问离线页面、收藏的网站和下载。
- 在iOS系统中,下载任意大小的文件,然后在Citrix files或其他应用程序中打开它们。
注意:
将Secure Web置于后台会导致下载停止。
在当前页面视图中搜索术语在页面中查找.
安全Web还具有动态文本支持,因此它显示用户在其设备上设置的字体。