安全Web통합및배포
安全Web을통합하여제공하려면다음일반단계를따르십시오。
내부네트워크에대해SSO가사용되도록Citrix网关를구성합니다。
HTTP트래픽의경우,Citrix ADC는Citrix ADC에의해지원되는모든프록시인증유형에대해SSO를제공할수있습니다。HTTPS트래픽의경우,웹암호캐싱정책으로安全Web이인증할수있고MDX를통해프록시서버에SSO를제공할수있습니다。Mdx는기본,다이제스트및NTLM프록시만지원합니다。암호는MDX를사용하여캐싱되고민감한앱데이터의보안스토리지영역端点管理인공유저장소에저장됩니다。Citrix Gateway구성에대한자세한내용은Citrix网关를참조하십시오。
- 安全Web을다운로드합니다。
- 내부네트워크에대한사용자연결을어떻게구성할지결정합니다。
- 다른MDX앱과동일한절차에따라安全Web을端点管理에추가한다음MDX정책을구성합니다。安全Web관련정책에대한자세한내용은安全Web정책정보를참조하십시오。
사용자연결구성
安全Web은다음과같은사용자연결구성을지원합니다。
- 터널링됨-웹sso:내부네트워크로터널링되는연결은터널링됨——웹SSO라고하는클라이언트없는VPN의변형을사용할수있습니다。이 구성은기본설정VPN모드정책에대해지정된기본값입니다。SSO(单点登录)가필요한연결에대해터널링됨——웹SSO를사용하는것이좋습니다。
- 전체VPN터널:내부네트워크로터널링되는연결은기본설정VPN모드정책에의해구성된전체VPN터널을사용할수있습니다。클라이언트인증서또는종단SSL간을사용하여내부네트워크의리소스로연결되는경우전체VPN터널을사용하는것이좋습니다。전체VPN터널은TCP기반의모든프로토콜을처리하고,Windows및Mac컴퓨터뿐아니라iOS및Android장치에서도사용될수있습니다。
참고:
MDX래핑기술은2021년9월에eol(수명종료)에도달할예정입니다。엔터프라이즈응용프로그램을계속관리하려면mam sdk를포함해야합니다。레거시MDX모드에서는전체VPN터널이지원되지않습니다。
- VPN모드전환허용정책은필요에따라전체VPN터널모드와터널링됨——웹SSO모드간의자동전환을허용합니다。기본적으로이정책은꺼져있습니다。이정책을켜면기본설정VPN모드에서처리할수없는인증요청으로인해실패하는네트워크요청이대체모드에서다시시도됩니다。예를들어전체VPN터널모드에서는클라이언트인증서에대한서버챌린지를수용할수있지만터널링됨——웹SSO모드에서는수용할수없습니다。HTTP마찬가지로인증챌린지는터널링됨——웹SSO모드를사용할경우SSO에로더쉽게서비스될수있습니다。
- 역분할터널링:反向(역분할)모드에서는인트라넷응용프로그램의트래픽이VPN터널을우회하고다른트래픽은VPN터널을통과합니다。이정책을통해모든비로컬LAN트래픽을기록할수있습니다。
역분할터널링의구성단계
Citrix Gateway에서역분할터널링모드를구성하려면다음을수행하십시오。
- 策略(정책)>会话(세션)정책으로이동합니다。
- 安全中心정책을선택한후客户体验(클라이언트환경)> Split Tunnel(분할터널)로이동합니다。
- 反向(역분할)를선택합니다。
역분할터널모드제외목록MDX정책
Citrix端点管理내에서역분할터널모드정책의제외범위를구성합니다。범위는쉼` ` ` ` ` ` `로구분된DNS접미사및fqdn의목록을기반으로합니다。이목록은장치의局域网에서송신하고Citrix ADC로보내지않을트래픽URL을의정의합니다。
다음표에서는구성및사이트유형별로安全Web이사용자에게자격증명을요구하는지여부를설명합니다。
| 연결 모드 | 사이트유형 | 암호 캐싱 | Citrix Gateway에대해구성된SSO | 처음웹사이트에액세스할경우安全Web이자격명묻기 | 이후에웹사이트에액세스할경우安全Web이자격명묻기 | 암호변경후安全Web이자격명묻기 |
|---|---|---|---|---|---|---|
| 터널링됨-웹sso | HTTP | 아니 | 예 | 아니 | 아니 | 아니 |
| 터널링됨-웹sso | HTTPS | 아니 | 예 | 아니 | 아니 | 아니 |
| 전체VPN | HTTP | 아니 | 예 | 아니 | 아니 | 아니 |
| 전체VPN | HTTPS | 예。Secure Web MDX정책웹암호캐싱사용설정이켜짐경우 | 아니 | 예:자격명을安全Web에캐싱하는데필함 | 아니 | 예 |
安全网页정책
安全Web을추가할경우,安全Web과관련된다음MDX정책에유의하십시오。지원되는모든모바일장치에해당:
허용또는차단된웹사이트
일반적으로安全Web은웹링크를필터링하지않습니다。이정책을사용하면허용또는차단된사이트의구체적목록을구성할수있습니다。쉼표로구분된목록형식의URL패턴을구성하여브라우저에서열수있는웹사이트를제한할수있습니다。목록의각패턴앞에는더하기기호(+)또는빼기기호(-)가올수있습니다。브라우저가일치항목이발견될때까지나열된순서대로url을패턴과비교합니다。일치항목이발견되면다음과같이접두사에따라작업이결정됩니다。
- 빼기(-)접두사가있으면브라우저에서url을차단합니다。이경우url은웹서버주소를확할수없는것처럼처리됩니다。
- 더하기(+)접두사가있으면url이정상적으로처리됩니다。
- 패턴에+또는-접두사가없는경우에는+(허용)로간주됩니다。
- Url과일치하는패턴이목록에없는경우Url이허용됩니다。
다른모든url을차단하려면목록의끝에빼기기호와별` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` ` `를추가합니다。예:
- 정책 값
+ http:// * .mycorp.com/ *, http: / / *, + https:// *, + ftp:// * - *는mycorp.com도메인내의HTTP URL을허용하고그외다른위치의URL은차단하며,모든위치의HTTPS및FTP URL은허용하고다른모든URL은차단합니다。 - 정책 값
+ http:// * .training.lab / *, + https:// * .training.lab / * - *는사용자가培训。实验室도메인(인트라넷)의모든사이트를HTTP또는HTTPS를통해여는것을허용합니다。그러나정책값은프로토콜에관계없이사용자가Facebook、谷歌,Hotmail과같은공용URL을여는것을허용하지않습니다。
기본값은비어있습니다(모든url이허용됨)。
팝업 차단
팝업은사용자의허가없이웹사이트가열수있는새탭입니다。이정책은安全Web에서팝업을허용할지여부를결정합니다。켜짐网络版경우,安全网页은웹사이트가팝업을열지못하게합니다。기본값은꺼짐입니다。
미리로드된책갈피
安全Web브라우저에대해미리로드되는책갈피집합을정의합니다。이정책은폴더이름,식별이름및웹주소를포함하는튜플이쉼표로구분되어있는목록입니다。각목록은폴더,이름,URL형식이어야하며이름은선택적으로큰따옴표(")로묶일수있습니다。
예를들어,정책값,“Mycorp, Inc.主页”,https://www.mycorp.com,“Mycorp链接”,帐户登录,https://www.mycorp.com/Accounts“Mycorp链接/投资者关系”,“联系我们”,https://www.mycorp.com/IR/Contactus.aspx는3개의책갈피를정의합니다。첫번째는”Mycorp公司主页”라는이름의기본링크(폴더이름없음)입니다。두번째링크는“MyCorp链接”라는이름의폴더에배치되고”账户登录“이라는레이블이지정됩니다。세번째는“MyCorp链接”폴더의하“投资者关系”위폴더에배치되고“联系我们”로표시됩니다。
기본값은비어있습니다。
홈페이지url
安全Web을시작할때로드할웹사이트를정의합니다。기본값은비어있습니다(기본시작페이지)。
지원되는Android및iOS장치에만해당:
브라우저사용자터페이스
安全Web에대해브라우저사용자인터페이스컨트롤의동작및가시성을지정합니다。일반적으로모든탐색컨트롤을사용할수있습니다。앞으로,뒤로,주소,시줄및새로고침/중지컨트롤이여기에포함됩니다。이러한컨트롤중일부의용도및가시성을제한하기위해이정책을구성할수있습니다。기본값은모든컨트롤을@ @시하는것입니다。
옵션:
- 모든컨트롤@ @시。모든컨트롤을볼수있고사용자는제한없이이러한컨트롤을사용할수있습니다。
- 읽기전용주소@ @시줄。모든컨트롤을볼수있지만사용자가브라우저주소필드를편집할수는없습니다。
- 주소@ @시줄숨기기。주소@ @시줄을숨기지만다른컨트롤은숨기지않습니다。
- 모든컨트롤숨기기。전체도구모음이@ @시되지않도록하여프레임없는탐색환경을제공합니다。
웹암호캐싱사용
웹리소스를액세스하거나요청할때安全Web사용자가자격증명을입력하는경우,安全Web이자동으로암호를장치에캐싱하는지여부를이정책이결정합니다。이정책은웹양식에입력한암호가아니라外公外公대화상자에입력한암호에적용됩니다。
켜짐인경우,安全Web은웹리소스요청시에사용자가입력하는모든암호를캐싱합니다。꺼짐인경우,安全Web은암호를캐싱하지않고기존의캐싱된암호를제거합니다。기본값은꺼짐입니다。
이앱에대해기본VPN정책을전체VPN터널로설정한경우에만이정책을사용하도록설정됩니다。
프록시서버
터널링됨——웹SSO모드에서사용될때安全Web에대해프록시서버를구성할수도있습니다。자세한내용은이블로그게시물을참조하십시오。
DNS后缀(DNS접미사)
DNS접미사가구성되지않은경우Android에서VPN이실패할수도있습니다。DNS접미사구성에대한자세한내용은Android设备支持DNS后缀查询(Android장치에대해DNS접미사를사용한DNS쿼리지원)를참조하십시오。
安全Web을위한护栏트라넷사이트준비
이섹션은Android및iOS용安全Web과함께사용할인트라넷사이트를준비해야하는웹사이트개발자를대상으로합니다。데스크톱브라우저에맞춰설계된인트라넷사이트Android및iOS가장치에서올바로작동하려면사이트를변경해야합니다。
安全Web은Android WebView및iOS WkWebView를통해웹기술지원을제공합니다。安全Web에서지원하는일부웹기술은다음과같습니다。
- AngularJS
- ASP。net
- JavaScript
- jQuery
- WebGL
- WebSocket(제한되지않은모드에서만)
安全Web에서지원하지않는일부웹기술은다음과같습니다。
- 闪光
- Java
다음표에서는安全Web에대해지원되는HTML렌더링기능및기술을보여줍니다。X는플랫폼,브라우저및구성소조합에기능을사용할수있음을나타냅니다。
| 기술 | iOS용安全网络 | Android용安全网络 |
|---|---|---|
| JavaScript엔진 | JavaScriptCore | V8 |
| 로컬스토리지 | X | X |
| AppCache | X | X |
| IndexedDB | X | |
| SPDY | X | |
| WebP | X | |
| srcet | X | X |
| WebGL | X | |
| requestAnimationFrame API | X | |
| 导航定时API | X | |
| 资源定时API | X |
기술은여러장치에걸쳐동일하게작동하고,安全Web은장치에따라서로다른사용자에이전트문자열을반환합니다。安全Web에사용되는브라우저버전을확인하려면사용자에이전트문자열을보면됩니다。安全网页에서https://whatsmyuseragent.com/으로이동합니다。
트라넷사이트문제해결
인트라넷사이트를安全Web에서볼때의렌더링문제를해결하려면安全Web및호환되는타사브라우저에서웹사이트가어떻게렌더링되는지비교합니다。
iOS의경우테스트와호환되는타사브라우저는Chrome및海豚입니다。
Android의경우테스트와호환되는타사브라우저는海豚입니다。
참고:
Chrome은Android에서기본브라우저입니다。이브라우저를비교작업에사용하지마십시오。
iOS의경우브라우저에장치수준VPN지원기능이있는지확远程网关하십시오。이지원은장치의설정> VPN > VPN구성추가에서구성할수있습니다。
또한App Store에서다운로드할수있는Citrix SSO,思科AnyConnect또는脉冲安全등의VPN클라이언트앱을사용할수있습니다。
- 웹페이지가두브라우저에서동일하게렌더링되면웹사이트에문제가있는것입니다。사이트를업데이트하고os에대해사이트가잘작동하는지확합니다。
- 安全Web에서만웹페이지에문제가나타나면Citrix지원팀에문의하여지원티켓을엽니다。테스트한브라우저및操作系统유형을포함하여문제해결절차를제공하십시오。iOS용安全Web에렌더링문제가있는경우,다음절차에설명된대로페이지의웹보관을포함하십시오。그러면Citrix에서문제를더신속히해결하는데도움이됩니다。
SSL연결확猎手端
SSL透视图/透视图/透视图/透视图/透视图/透视图。SSL vlllec.서검사기를사용하여모바일장치에연결또는설치되어있지않아누락된루트또는중간CA를검사할수있습니다。
여러계층적인증기관(CA)에서서버인증서에서명하는경우가많으며이는곧인증서가체인을구성한다는의미입니다。이러한外公外公서는연결해야합니다。인증서설치또는연결에관한정보는인증서설치,연결및업데이트를참조하십시오。
웹보관파일을생성하려면
Safari 10.9 macOS이상에서를사용하면웹보관파일(읽기목록이라고함)로웹페이지를저장할수있습니다。웹보관파일에는이미지,CSS및JavaScript와같은모든연결된파일이포함됩니다。
Safari에서읽기 목록폴더를비우고仪에서메뉴시줄에있는이동메뉴를클릭하고폴더로이동을선택한후,경로이름~ /图书馆/旅行/ ReadingListArchives를입력합니다。이제해당위치의모든폴더를삭제하십시오。
메뉴시줄에서Safari >환경설정>고급으로이동하고메뉴@ @시줄에서개발자용메뉴보기를사용하도록설정합니다。
메뉴시줄에서개발>사용자에이전트로이동하고安全Web사용자에이전트를입력합니다(Mozilla / 5.0 (iPad;CPU OS 8_3像macOS) AppleWebKit/600.1.4 (KHTML,像Gecko) Mobile/12F69安全Web/ 10.1.0(构建1.4.0)Safari/8536.25)。
Safari에서읽기목록(웹보관파일)으로저장할웹사이트를엽니다。
메뉴시줄에서책갈피>읽기목록에추가로이동합니다。이단계는몇분이걸릴수있습니다。보관은백그라운드에서이루어집니다。
보관된읽기목록을찾습니다。메뉴시줄에서보기>읽기목록사이드바보기로이동합니다。
보관파일을확합니다。
- Mac으로의네트워크연결을끕니다。
읽기목록에서웹사이트를엽니다。
웹사이트가완전히렌더링됩니다。
보관파일을압축합니다。仪에서메뉴시줄에있는이동메뉴를클릭하고폴더로이동을선택한후,경로이름~ /图书馆/旅行/ ReadingListArchives를입력합니다。그런다음하고임의의16진수문자열이파일이름marketing폴더를압축합니다。이파일은지원티켓을열때Citrix지원팀으로보낼수있는파일입니다。
安全网页기능
安全Web은모바일데이터교환기술을활용해전용VPN터널을생성하여사용자가내부와외부웹사이트및다른모든웹사이트를액세스할수있게합니다。조직의정책으로보안되는환경에서민감한정보가포함된사이트도이러한사이트에포함됩니다。
安全Web을安全邮件및Citrix文件와통합하면보안端点管理컨테이너내에서원활한사용자환경이제공됩니다。통합기능의일부예는다음과같습니다。
- 사용자가Mailto링크를누르면추가적인인증을요구하지않고새전자메일메시지가安全邮件에서열립니다。
- 데이터보을유지하기위해링크를安全Web에서열도록허용합니다.iOS및Android용安全Web을사용하면사용자가전용VPN터널을통해민감한정보를포함하는사이트에안전하게액세스할수있습니다。사용자는安全邮件,安全Web내부또는타사앱에서링크를클릭할수있습니다。링크는安全Web에서열리며데이터는전하게유지됩니다。사용자는ctxmobilebrowser구성표가있는내부링크를安全Web에서열수있습니다。이렇게하면安全Web은
ctxmobilebrowser: / /접두사를http://。로변환합니다。HTTPS링크를열기위해安全Web은ctxmobilebrowsers: / /를https://로변환합니다。
이 기능은바운드문서교환이라는앱상호작용MDX정책에따라달라집니다。이정책은기본적으로제한 없음으로설정됩니다。이설정을사용하면URL을安全Web에서열수있습니다。허용목록에포함된앱만安全Web과통신할수있도록정책설정을변경할수있습니다。
- 사용자가전자메일메시지에서인트라넷링크를클릭하면安全Web이추가적인인증없이해당사이트로이동합니다。
- 사용자는安全Web에서웹으로부터다운로드한파일을Citrix文件에업로드할수있습니다。
安全Web사용자는다음작업을수행할수도있습니다。
- 팝업차단。
참고:
安全Web메모리의많은부분이팝업렌더링에사용되므로설정에서팝업을차단할경우보통성능이향상됩니다。
- 즐겨찾기사이트를책갈피로지정합니다。
- 파일을다운로드합니다。
- 페이지를오프라으로저장합니다。
- 암호를자동저장합니다。
- 캐시/기록/쿠키를지웁니다。
- 쿠키및html5로컬스토리지를사용하지않도록설정합니다。
- 다른사용자와전하게장치를공유합니다。
- 주소@ @시줄내에서검색합니다。
- 安全Web과함께실행되는웹앱이위치에액세스할수있도록허용합니다。
- 설정을내보내고가져옵니다。
- 파일을다운로드할필없이Citrix Files에서파일을직접엽니다。이기능을사용하도록설정하려면终端管理에서ctx-sf:를허용된url정책에추가합니다。
- iOS에서3 d터치동작을사용하여새탭을열고홈화면에서바로오프라인페이지,즐겨찾기사이트및다운로드에액세스합니다。
- iOS에서모든크기의파일을다운로드하고Citrix文件또는다른앱에서파일을엽니다。
참고:
安全Web을백그라운드로전환하면다운로드가중지됩니다。
Page(페이지에서찾기)를사용하여현재페이지보기내에서용어를검색합니다。
또한安全Web은동적텍스트를지원하므로사용자가장치에서설정한글꼴을표시합니다。