Citrix安全Web
Citrix安全Web是一款HTML5兼容的网页浏览器,用于提供对内部和外部站点的安全访问。您可以将安全Web配置为在安全中心中注册用户设备时自动推送到用户设备。或者,您也可以从端点管理应用商店添加应用程序。
有关安全Web以及其他移动生产力应用程序系统要求,请参阅系统要求。
集成并交付安全网络
注意:
MDX工具包10.7.10是支持打包移动生产力应用程序的最后一个版本。用户从公共应用商店访问移动生产力应用程序10.7.5及更高版本。
要集成并交付安全网页,请按照以下常规步骤进行操作:
要对内部网络启用单点登录(SSO),请配置Citrix网关。
对于HTTP流量,Citrix ADC可以向Citrix ADC支持的所有代理身份验证类型提供SSO。对于HTTPS流量,“网络密码缓存“策略允许安全Web进行身份验证并通过MDX提供对代理服务器的SSO。MDX仅支持基本身份验证,摘要式身份验证和NTLM代理身份验证。密码使用MDX缓存并存储在端点管理共享保管库(用于存储敏感应用程序数据的安全存储区域)中。有关Citrix网关配置的详细信息,请参阅Citrix网关。
- 下载安全网络。
- 确定如何配置与内部网络之间的用户连接。
- 将安全Web添加到端点管理中(操作步骤与其他MDX应用程序相同),然后配置MDX策略。有关安全Web特定策略的详细信息,请参阅本文后面的“关于安全Web策略”。
配置用户连接
安全Web支持以下用户连接配置:
- 安全浏览:通过通道连接到内部网络的连接可以使用无客户端VPN的变体(称为“安全浏览”)。这是为首选VPN模式策略指定的默认配置。建议对需要单点登录(SSO)的连接使用安全浏览。
- 完整VPN通道:通过通道连接到内部网络的连接可以使用首选VPN模式策略配置的完整VPN通道。建议对通过客户端证书或端到端SSL与内部网络中的资源建立的连接使用完整VPN通道。但是,安全Web不是可以读取存储在移动设备上的客户端证书的应用程序。可能会安装一些可提供此功能的第三方封装企业应用程序。完整VPN通道通过 TCP 处理任何协议,并且可以在 Windows 和 Mac 计算机以及 iOS 和 Android 设备上使用。
- 允许VPN模式切换策略允许用户根据需要在完整VPN通道模式与安全浏览模式之间自动切换。默认情况下,此策略设置为“关”。如果此策略设置为“开”,则将在备选模式下尝试重新处理由于无法在首选VPN模式下处理身份验证请求而失败的网络请求。例如,完整VPN通道模式接受服务器对客户端证书的质询,但安全浏览模式不接受。同样,使用安全浏览模式时,通过SSO向HTTP身份验证质询提供服务的可能性更大。
- 使用PAC的完整VPN通道:可以对iOS和Android设备的完整VPN通道部署使用代理自动配置(PAC)文件。PAC文件中包含的规则用于定义网络浏览器如何选择代理以访问指定URL。PAC文件规则可以指定对外部和内部站点的处理方式。安全的网络解析 PAC 文件规则并将代理服务器信息发送到 Citrix Gateway。
- 使用PAC文件时,完整VPN通道的性能可以与安全浏览模式相媲美。有关PAC配置的详细信息,请参阅使用PAC的完整VPN通道。
下表说明了安全Web是否会根据配置和站点类型提示用户输入凭据:
| 连接模式 | 站点类型 | 密码缓存 | 为Citrix网关配置的SSO | 在首次访问网络站点时,安全Web提示输入凭据 | 在之后访问网络站点时,安全Web提示输入凭据 | 在更改密码后,安全Web提示输入凭据 |
|---|---|---|---|---|---|---|
| 安全浏览 | HTTP | 否 | 是 | 否 | 否 | 否 |
| 安全浏览 | HTTPS | 否 | 是 | 否 | 否 | 否 |
| 完整VPN | HTTP | 否 | 是 | 否 | 否 | 否 |
| 完整VPN | HTTPS | 是,如果安全Web MDX策略”启用网络密码缓存”设置为“开”。 | 否 | 是,在安全Web中缓存凭据时需要。 | 否 | 是 |
使用PAC的完整VPN通道
重要:
如果为安全Web配置了PAC文件,并且为代理操作配置了Citrix ADC,安全Web将超时。请务必在使用“使用PAC的完整VPN通道”之前删除为代理配置的Citrix网关流量策略。
为安全Web配置使用PAC文件或代理服务器的完整VPN通道时,安全Web通过Citrix网关将所有流量发送到代理。Citrix网关随后根据代理配置规则路由流量。在此配置中,Citrix Gateway 无法识别 PAC 文件或代理服务器。该通信流与不使用 PAC 文件的完整 VPN 通道的通信流相同。
下图显示了安全Web用户导航到某个Web站点时的通信流:
在该示例中,流量规则指定以下内容:
- Citrix网关直接连接到内部网站点
example1.net。 - 流向内部网站点
example2.net的流量通过内部代理服务器代理。 - 外部流量通过内部代理服务器代理。代理规则阻止流向以下站点的外部流量
Facebook.com。
配置使用PAC的完整VPN通道
验证并测试PAC文件。
注意:
有关创建和使用PAC文件的详细信息,请参阅https://findproxyforurl.com/。
使用PAC验证工具(例如Pacparser)验证PAC文件。读取PAC文件时,请确保Pacparser结果与您的预期相同。如果PAC文件包含语法错误,移动设备将忽略PAC文件。(PAC文件仅存储在移动设备上的内存中)。
PAC文件按照从上到下的顺序处理,有规则与当前查询匹配时停止处理。
请在将PAC文件URL输入端点管理的PAC /代理字段之前,在网页浏览器中测试此URL。确保计算机可以访问PAC文件所在的网络。
https://webserver.local/GenericPAC.pachttps://webserver.local/GenericPAC.pac经过测试的PAC扩展名为. txt或.pac。
PAC文件在网页浏览器中显示其内容。
重要:
每次更新用于安全Web的PAC文件时,都会通知用户必须关闭并重新打开安全网络。
配置Citrix网关:
- 禁用Citrix网关拆分通道。如果启用了拆分通道并且配置了PAC文件,PAC文件规则将覆盖Citrix ADC拆分通道规则。代理不会覆盖Citrix ADC拆分通道规则。
- 删除为代理配置的Citrix网关流量策略。这是安全Web正常运行必需的。下图显示了要删除的策略规则示例。
![Citrix网关流量策略配置屏幕示意图]()
配置安全Web策略:
- 将“首选VPN模式”策略设置为完整VPN通道。
- 将“允许VPN模式切换“策略设置为关。
配置PAC文件URL或代理服务器策略。安全的网络支持 HTTP 和 HTTPS 以及默认端口和非默认端口。对于 HTTPS,如果证书为自签名证书或者不受信任,则必须在设备上安装根证书颁发机构。
请务必在配置策略之前,先在网页浏览器中测试URL或代理服务器地址。
PAC文件URL示例:
http [s]: / / example.com/proxy.pachttp [s]: / / 10.10.0.100 / proxy.txt示例代理服务器(需要配置端口):
myhost.example.com:端口10.10.0.100:端口注意:
如果配置了PAC文件或代理服务器,请不要在wi - fi的系统代理设置中配置PAC。
将“启用网络密码缓存“策略设置为开。网络密码缓存处理HTTPS站点的SSO。
如果代理支持相同的身份验证基础结构,Citrix ADC可以对内部代理执行SSO。
PAC文件支持的限制
安全Web不支持:
- 从一台代理服务器故障转移到另一台代理服务器。PAC文件评估可以返回某个主机名对应的多台代理服务器。安全Web仅使用返回的第一个代理服务器。
- PAC文件中的协议(例如FTP和金花鼠)。
- PAC文件中的袜子代理服务器。
- 网络代理自动发现协议(Web代理自动发现协议,WPAD)。
安全Web忽略PAC文件功能警报,以使安全Web能够解析不包括这些调用的PAC文件。
安全Web策略
添加安全网络时,请注意安全Web特定的这些MDX策略。对于所有受支持的移动设备:
允许或阻止的Web站点
网络安全Web通常不过滤链接。您可以使用此策略配置特定的允许或阻止站点的列表。可以对URL模式进行配置,以限制浏览器可以打开的网络站点,其格式为逗号分隔的列的表。加号 (+) 或减号 (-) 作为前缀添加到列表中的每种模式前面。浏览器按列出顺序将URL与模式进行比较,直至找到一个匹配项。找到匹配项后,前缀将决定要执行的操作,如下所示:
- 减号(-)前缀指示浏览器阻止打开的URL。在这种情况下,该 URL 被视为 Web 服务器地址无法解析。
- 加号(+)前缀允许按常规处理的URL。
- 如果随模式提供 + 或 -,则会假定提供 +(允许)。
- 如果URL与列表中的任何模式都不匹配,则允许打开该URL。
要阻止所有其他URL,请在列表结尾添加减号后跟星号(- *)。例如:
- 策略值
+ http:// * .mycorp.com/ *, http: / / *, + https:// *, + ftp:// * - *允许在mycorp.com域中使用HTTP URL,但在其他位置阻止这些URL,允许在任何位置使用HTTP和FTP URL,但阻止所有其他URL。 - 策略值
+ http:// * .training.lab / *, + https:// * .training.lab / * - *允许用户通过HTTP或HTTPS打开培训。实验室域(内部网)中的任何站点。但是,无论协议如何,您都无法打开公用URL,例如Facebook、谷歌和Hotmail。
默认值为空(允许打开所有URL)。
阻止弹出窗口
弹出窗口是在未经您允许的情况下网络站点打开的新选项卡。此策略确定安全Web是否允许弹出窗口。如果设为“开”,安全Web将阻止网络站点打开弹出窗口。默认值为关。
预加载的书签
为安全Web浏览器定义一组预加载的书签。此策略是一组用逗号分隔的元组列表,包括文件夹名称,友好名称和Web地址。每个元组必须采用文件夹,名字,url格式,其中文件夹和名称可能会有选择地用双引号(")引起。
例如,策略值,“Mycorp, Inc.主页”,https://www.mycorp.com,“Mycorp Links”,账户登录,https://www.mycorp.com/Accounts“Mycorp Links/投资者关系”,“Contactus”,https://www.mycorp.com/IR/Contactus.aspx定义了三个书签第。一个为主链接(无文件夹名称),标题为“Mycorp公司主页”。第二个链接放置在标题为“MyCorp链接”,标签为“账户登录”的文件夹中。第三个链接放置在“MyCorp链接”文件夹的“投资者关系”子文件夹中,显示为“联系我们”。
默认值为空。
主页URL
定义安全Web在启动时加载网络站的点。默认值为空(默认启动页面)。
仅限受支持的Android和iOS设备:
浏览器用户界面
规定安全Web的浏览器用户界面控件的行为和可见性。通常情况下,所有浏览控件都可用。这些控件包括前进、后退、地址栏和刷新/停止控件。可以配置此策略以限制这些控件的使用和可见性。默认值为所有控件都可见。
选项
- 所有控件都可见。所有控件都可见,并且不限制用户使用。
- 只读地址栏。所有控件都可见,但用户无法编辑浏览器地址字段。
- 隐藏地址栏。隐藏地址栏,但不隐藏其他控件。
- 隐藏所有控件。禁止显示整个工具栏以提供无框浏览体验。
启用网络密码缓存
当安全Web用户为访问或请求网络资源输入凭据时,此策略确定安全Web是否以无提示方式在设备上缓存密码。此策略适用于在身份验证对话框中输入的密码,不适用于在网络表单中输入的密码。
如果设置为开、安全的网络将缓存用户在请求网络资源时输入的所有密码。如果设置为关、安全的网络将不缓存密码并删除已缓存的现有密码。默认值为关。
仅当您同时将“首”选VPN策略设置为此应用程序的完整VPN通道时才能启用此策略。
代理服务器
在安全浏览模式下使用时,还可以为安全Web配置代理服务器。有关详细信息,请参阅此博客文章。
DNS后缀
在Android上,如果未配置DNS后缀,VPN可能会失败。有关配置DNS后缀的详细信息,请参阅支持使用面向Android设备的DNS后缀进行DNS查询。
准备用于安全Web的内部网站点
此部分面向Web站点开发人员,他们需要准备用于安全Web为Android和iOS的安全Web的内部网站点。旨在用于桌面浏览器的内部网站点需要更改才能在Android和iOS设备上正常使用。
安全Web依WebView靠Android和iOS WkWebView来提供网络技术支持。网络安全Web支持的一些技术包括:
- AngularJS
- ASP。net
- JavaScript
- jQuery
- WebGL
网络安全Web不支持的一些技术包括:
- 闪光
- Java
下表显示了安全Web支持的HTML呈现功能和技术。X表示相应功能适用于某个平台,浏览器和组件组合。
| 技术 | iOS安全Web | Android 6. x / 7。x安全Web |
|---|---|---|
| JavaScript引擎 | JavaScriptCore | V8 |
| 本地存储 | X | X |
| AppCache | X | X |
| IndexedDB | X | |
| SPDY | X | |
| WebP | X | |
| srcet | X | X |
| WebGL | X | |
| requestAnimationFrame API | X | |
| 导航计时API | X | |
| 资源计时API | X |
技术在不同设备上作用方式相同,但安全Web对不同的设备返回不同的用户代理字符串。要确定用于安全Web的浏览器版本,可以查看其用户代理字符串。从安全Web导航到https://whatsmyuseragent.com/。
内部网站点故障排除
要解决在安全Web中查看内部网站点时遇到的呈现问题,请将Web站点在安全Web上的呈现情况与在兼容的第三方浏览器中的呈现情况进行比较。
对于iOS,用于测试的兼容第三方浏览器为Chrome和海豚。
对于Android,用于测试的兼容第三方浏览器为海豚。
注意:
Chrome是Android上的本机浏览器。请勿将其用于比较。
在iOS中,请确保浏览器支持设备级VPN。可以通过在设备上导航到设置> VPN >添加VPN配置来配置VPN。
还可以使用应用商店中提供的VPN客户端应用程序,例如Citrix VPN、思科AnyConnect或脉冲安全。
- 如果Web页面在两个浏览器上的呈现情况相同,则问题源于您的Web站点。请更新此站点,并确保它可以很好地适用于操作系统。
- 如果Web页面上的问题仅出现在安全Web中,请联系Citrix技术支持,以打开一个支持票证。请提供您的故障排除步骤,包括测试过的浏览器和操作系统类型。如果安全Web为iOS存在呈现问题,请按以下步骤所述将页面的网页存档包括在内。这样可帮助Citrix更加快速地解决该问题。
创建网络存档文件
在macOS 10.9或更高版本上使用Safari,可以将Web页面另存为网页存档文件(又称为“阅读列表”)。网络存档文件包括所有链接的文件,例如图像,CSS和JavaScript。
在Safari中,清空“阅读列表“文件夹:在仪中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名称~ /图书馆/ Safari / ReadingListArchives,然后删除该位置下的所有文件夹。
在菜单栏中,转到Safari >偏好设置>高级并启”用在菜单栏中显示“开发“菜单”。
在菜单栏中,转到开发 > 用户代理并输入安全Web用户代理:(Mozilla / 5.0 (iPad, CPU系统8、例如macOS) AppleWebKit / 600.1.4 (KHTML,例如壁虎)移动/ 12 f69安全Web / 10.1.0(内部版本1.4.0)Safari / 8536.25)。
在Safari中,打开要另存为阅读列表(Web存档文件)的Web站点。
在菜单栏中,转到书签 > 添加到阅读列表。存档在后台进行,可能需要几分钟时间。
找到存档的阅读列表:在菜单栏中,转到查看 > 显示阅读列表边栏。
验证存档文件:
- 关闭与Mac之间的网络连接。
打开阅读列表中网络站的点。
该Web站点完全呈现。
压缩存档文件:在仪中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名称~ /图书馆/旅行/ ReadingListArchives /。现在将压缩使用随机十六进制字符串作为文件名的文件夹。打开支持票证时,可以将此文件发送给Citrix技术支持。
安全Web功能
安全Web利用移动数据交换技术创建专用VPN通道,以便用户能够访问内部和外部网络站点以及所有其Web站他点。这包括受贵公司的策略保护的环境中包含敏感信息的站点。
安全网络与安全邮件和Citrix文件的集成在安全容的端点管理器中提供无缝的用户体验。下面是集成功能的几个示例:
- 用户轻按Mailto链接时,将在Citrix安全邮件中打开一封新电子邮件,不需要进一步进行身份验证。
- 在iOS中,用户可以在安全Web中从本机邮件应用程序打开链接,方法是在URL前插入ctxmobilebrowser: / /。例如,从本机邮件应用程序中打开
example.com,使用URL ctxmobilebrowser: / / example.com。 - 当用户单击电子邮件中的内部网链接时,安全Web会转到该站点而无需进行额外的身份验证。
- 用户可以将其在安全Web中从Web下载的文件上载到Citrix文件。
安全Web用户还可以执行以下操作:
- 阻止弹出窗口。
注意:
安全Web的大多数内存用于呈现弹出窗口,因此,通常可通过在“设置”中阻止弹出窗口来提高性能。
- 为收藏的站点添加书签。
- 下载文件。
- 脱机保存页面。
- 自动保存密码。
- 清除缓存/历史记录/ cookie。
- 禁用饼干和HTML5本地存储。
- 与其他用户安全地共享设备。
- 在地址栏中搜索。
- 允许他们在安全Web中运行的网络应用程序访问其位置。
- 导出和导入设置。
- 直接在Citrix文件中打开文件,而不必下载文件。要启用此功能,请在端点管理中将ctx-sf:添加到“允许的URL”策略。
- 在iOS中,请使用三维触控操作来打开新选项卡,并直接从主屏幕访问脱机页面,收藏的站点和下载内容。
- 在iOS中,下载任意大小的文件并在Citrix文件或其他应用程序中打开。
注意:
将安全Web置于后台将导致下载停止。
使用在网页中查找在当前页面视图中搜索词语。
![“在网页中查找“选项示意图]()
安全Web还具有动态文本支持功能。此应用程序显示用户在其设备上设置的字体。