概念验证指南：使用 蔚蓝色的中的 Citrix ADC将 统一资源定位地址重定向到安全浏览器

概述

以下是使用最新的 Citrix ADC市场模板设置 模数转换器配置 SSL转发代理和 SSL拦截的配置步骤。模数转换器的 统一资源定位地址重定向到安全浏览器功能使管理员能够定义要从本地浏览器自动重定向到安全浏览器的特定网站类别。Citrix ADC充当中间代理，在本地浏览和互联网之间进行拦截，从而实现 网状物隔离并保护企业网络。此功能在不影响用户体验的情况下提高了

概念体系结构

范围

本概念验证指南描述了以下内容：

1. 获取安全浏览器试用帐户
2. 在 蔚蓝色的中设置 模数转换器
3. 将 Citrix ADC设备设置为代理
4. 设置SSL拦截
5. 设置重写策略和操作

部署步骤

第 1 节：获取安全浏览器试用帐户

安全浏览器服务的参考文档

申请安全浏览器试用

1. 导航到 Citrix云帐户并输入用户名和密码

2. 单击登录。如果您的账户管理多个客户，请选择合适的客户

3. 双击安全浏览器磁贴。

4. 如果您知道自己的客户团队是谁，请联系他们以获得试用批准。如果您不确定客户团队是谁，请继续下一步。

5. 点击申请电话

6. 输入您的详细信息，然后在评论部分指定“安全浏览器服务试用版”。

7. 单击提交（提交）。

   注意：

   Citrix销售人员将与您联系以允许您访问该服务。这不是立即的，Citrix销售代表将联系

8. 安全浏览器试用版获得批准后，请参阅发布安全浏览器Citrix文档的部分以发布安全浏览器应用程序。

启用 统一资源定位地址参数

1. 在 Citrix云订阅中，双击安全浏览器磁贴

2. 在本示例中称为 “浏览器” 的已发布浏览器上，单击三个点并选择策略

3. 在已发布的浏览器上启用URL参数策略

第2部分:在Azure中设置ADC

模数转换器可以在任何选择的云中进行设置。在此示例中，蔚蓝色的是我们的首选云。

配置ADC实例

1. 导航到所有资源，然后单击+ 添加按钮,搜索Citrix ADC

2. 选择Citrix ADC模板

3. 根据您的要求选择软件计划（在本例中自备许可证）

4. 单击创建

配置 NIC卡

1. 导航到所有资源，然后为 模数转换器实例选择 NIC卡

2. 选择知识产权配置，记下ADC管理地址

3. 启用IP转发设置,保存更改。

配置虚拟IP

1. 单击添加，设置虚拟化为新配置的名称

2. 选择静态并在管理地址后添加新的IP地址

3. 启用公共地址选项并创建新的公有IP地址

4. 保存更改

在客户端上设置 FQDN

1. 导航到为虚拟化配置创建的公有IP地址资源

2. 单击配置,然后添加DNS标签(在本例中为urlredirection.eastus.cloudapp.azure.com）

设置网络规则

1. 添加以下网络规则

   注意：

   配置完成后，您可以选择关闭端口 22和 443，因为这些端口仅用于登录管理控制台以进行配置。

2. 此时Azure中的ADC实例已设置

第 3.节：将 Citrix ADC设备设置为代理

将ADC设置为代理,将流量从客户端浏览器路由到互联网。

登录ADC管理控制台

1. 通过在浏览器的搜索栏中输入实例的公有IP地址,导航到Citrix ADC管理控制台

   注意：

   使用您在前面的步骤（此示例中为https://40.88.150.164/）中置备的计算机的 知识产权地址

2. 通过输入您在前面步骤中设置的用户名和密码登录控制台

3. 在初始配置屏幕中，单击继续

上传许可证

1. 导航到系统 > 许可证 > 管理许可证

2. 上传 模数转换器所需的许可证。

   注意：

   您带来的许可证必须支持在配置基本功能和配置高级功能下的步骤11和13中突出显示的功能(例如CNS_V3000_server_plt_Retail。地方政府投资公司和CNS_Webf_sserver_Retail.lic)

3. 上传两个许可证后重新启动服务器。

4. 重新启动后，再次登录管理层

5. 导航到系统 > 设置 > 配置模式

6. 只有两个选项必须启用基于 雨衣的转发和路径MTU发现

7. 导航到系统 > 设置 > 配置基本功能

8. 选择：SSL卸载、负载平衡、重写、身份验证、授权和审计、内容切换和集成缓存

9. 导航到系统 > 设置 > 配置高级功能

10. 选择：高速缓存重定向、IPv6协议转换、AppFlow、名誉、转发代理、内容检查、应答器、URL过滤和SSL拦截

设置国家结核控制规划服务器

1. 导航到系统>国家结核控制规划服务器>添加

2. 例如，创建服务器pool.ntp.org

3. 出现提示时启用 NTP并将服务器设置为启用

4. 从管理门户保存配置保存操作

5. 打开 SSH会话到 模数转换器管理地址，使用从 蔚蓝色的预配 模数转换器时使用的凭据登录

设置 传输控制协议配置文件和虚拟服务器

1. 从第 2 节中的步骤中获取虚拟化,然后在命令中输入(在本例中为10.1.0.5)

2. 例如，使用sslproxy地址运行以下命令虚拟化：

3. 要添加 传输控制协议配置文件：

   添加ns tcpProfile proxy-tcpprofile01-启用动态接收缓冲-启用KA-启用mptcp-启用MPTCDropDataOnPreestSF-启用mptcpSessionTimeout 360-内置可修改<！--NeedCopy-->

4. 添加虚拟服务器

   添加cs vserver sslproxy01代理10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType没有绑定cs vserver sslproxy01 -lbvserver azurelbdnsvserver添加netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency启用mbf启用-proxyProtocol启用-proxyProtocoltxversion V2设置cs vserver sslproxy01-netProfile proxy-netprofile01 set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend save ns config 

5. 要更改缓存设置，请返回浏览器上的管理会话

6. 导航到优化 > 集成缓存

7. 导航到设置 > 更改缓存设置

8. 将内存使用限制设置为250 MB，然后单击确定

为 统一资源定位地址重定向设置客户端

1. 例如在客户端上,例如Firefox

2. 将浏览器代理配置为虚拟化、公共 知识产权或 FQDN:8080(例如urlredirection.eastus.cloudapp.azure.com: 8080）

3. 现在我们已经设置了ADC,请在使用ADC充当代理的情况下测试浏览器中的任何网站连接性。

第 4.节：设置 SSL拦截

SSL拦截使用的策略指定要拦,截阻止或允许哪些流量。Citrix建议您配置一个通用策略以拦截流量,并配置更具体的策略以绕过某些流量。

参考：

SSL截获

统一资源定位地址类别

配置视频示例

创建RSA密钥

1. 导航到流量管理 > SSL>SSL文件 > 密钥

2. 选择创建RSA密钥

3. 选择密钥文件名和所需的密钥大小

4. 创建密钥后，下载。key文件供以后使用

创建证书签名请求 （企业社会责任）

1. 导航到流量管理 > SSL>SSL文件 > 企业社会责任>创建证书签名请求 （企业社会责任）

2. 例如，为请求文件命名，例如semesec_req1.req

3. 单击密钥文件名 > 苹果糖密钥文件名是在上一步中创建的名称，在此示例中为smesec_key1.key

4. 选择密钥后，继续填写所需的空白：公用名称、组织名称和州或省

5. 单击创建

创建证书

1. 导航到流量管理 > SSL>SSL文件 > 证书 > 创建证书

2. 为证书指定一个名称，然后选择在前面步骤中创建的证书请求文件 (.req) 和密钥文件名 (。key)

3. 单击创建

4. 创建证书后，下载.证书文件供以后使用

创建SSL拦截策略

1. 导航到流量管理 > SSL>策略

2. 单击添加。

3. 为策略指定名称,然后选择拦截操作

4. 截取新闻的表达方式：

   client.ssl.detected_domain.url_categorize (0, 0) .category.eq(“新闻”)

5. 单击创建

6. 要将拦截策略绑定到虚拟服务器，请导航到安全> SSL转发代理>代理虚拟服务器

   ！[SSL代理 01]（/en us/tech zone/learn/media/poc-guides\u secure-browser-adc-integration\u 34.png）

7. 在此示例中选择虚拟服务器sslproxy01

8. 选择添加 SSL策略，然后单击无SSL策略绑定

9. 绑定拦截策略：

创建 SSL绕过策略

1. 导航到流量管理 > SSL>策略

2. 单击添加。

3. 为策略指定名称并选择等待操作,没有旁路选项,请参阅下一步

4. 绕过策略的表达式：CLIENT.SSL.DETECTED\u DOMAIN.CONTAINS（“云”）

   ![创建绕过策略] （/en us/tech zone/learn/media/poc-guides\u secure-browser-adc-integration\u 36.png）

5. 导航到安全 > SSL转发代理 > SSL拦截策略

6. 选择策略进行编辑

7. 将操作从等待更改为旁的路

8. 单击OK(确定)

9. 仔细检查该行动现在是否已绕过

10. 返回流量管理 > SSL>策略以仔细检查更改

11. 要将绕过策略绑定到虚拟服务器，请导航到安全> SSL转发代理>代理虚拟服务器

    ！[SSL代理 01]（/en us/tech zone/learn/media/poc-guides\u secure-browser-adc-integration\u 34.png）

12. 在此示例中双击虚拟服务器sslproxy01

13. 选择添加SSL策略，然后单击SSL策略绑定

14. 绑定绕过策略 > 添加

15. 点击绑定

    注意：

    创建此策略是为了绕过 模数转换器拦截进入安全浏览器launch.cloud.com的流量

创建SSL配置文件

1. 导航到系统>配置文件> SSL配置文件>添加

2. 通过为配置文件命名来创建配置文件，在此示例中为smesec_swg_sslprofile

3. 选中该框以启用 SSL会话拦截，然后单击确定

4. 单击确定创建SSL配置文件

5. 必须安装证书密钥对

6. 请确保您之前有证书密钥对的.pfx格式。有关如何从您之前下载的.证书和。key文件生成.pfx文件的指导，请参阅以下步骤。

准备证书密钥对

1. 首先安装SSL工具

2. 将openssl安装路径添加到系统环境变量

3. 在 动力壳中，运行以下命令：

   Openssl pkcs12 -export -out smesec_cert1。可以-inkey smesec.key1。关键——smesec.cert1.cert

将 SSL拦截 加利福尼亚州证书绑定到 SSL配置文件

1. 导航到系统>配置文件> SSL配置文件

2. 选择之前创建的配置文件

3. 点击+ 证书密钥

4. 点击安装

5. 选择之前准备的.pfx文件

6. 创建密码（稍后你需要密码）

7. 点击安装

将 SSL配置文件绑定到虚拟服务器

1. 导航到安全> SSL转发代理>代理虚拟服务器

2. 在此示例中选择虚拟服务器sslproxy01

3. 点击编辑 SSL配置文件

4. 在此示例中,选择之前创建的SSL配置文件smesec_swg_sslprofile

5. 完成

第 5.部分：设置重写策略和操作

重写策略由规则和操作组成。规则确定应用重写的流量,操作确定Citrix ADC要执行的操作。重写策略对于基于在浏览器中输入的URL类别发生到安全浏览器进行URL重定向是必要的,在此示例中为“新”闻。

参考

创建重写策略和操作

1. 导航到AppExpert >重写>策略

2. 单击添加。

3. 通过命名策略来创建策略,在此示例中为cloud_pol并使用表达式:HTTP.REQ.HOSTNAME.APPEND（HTTP.REQ.URL）.URL\u CATEGORIZE（0,0）.CATEGORY.EQ（“新闻”）

4. 点击创建

5. 在 油灰中创建动作

6. 运行以下命令：

   添加重写动作cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com//?url=https://" + HTTP. req . url . path + "\r\n\r\n " "}

   注意：

   在命令中，< customername >替换为Citrix云客户帐户名称,然后<浏览器名称>替换为已启用URL参数策略的安全浏览器已发布的应用程序名称。参考您在第 1 节中创建的已发布应用程序。

将重写策略绑定到虚拟服务器

1. 返回ADC管理控制台

2. 导航到AppExpert >重写>策略

3. 转到策略cloud_pol并将操作更改为cloud_act(之前创建的操作)

4. 要选择重写策略的类型，请导航到安全> SSL转发代理>代理虚拟服务器

5. 选择“+政策”

6. 策略：重写

7. 类型：响应

8. 选择创建的策略，在此示例中为cloud_pol

9. 优先级：10

10. 绑定

11. 点击完成

12. 保存配置

绑定证书密钥到配置文件

1. 导航到系统>配置文件> SSL配置文件

2. 例如，选择创建的配置文件smesec_swg_sslprofile

3. 双击+ 证书密钥

4. 选择证书密钥，例如smesec_cert_overall

5. 单击选择(选择)
6. 点击绑定
7. 单击”完成”
8. 保存配置

将证书文件导入浏览器

1. 将证书上传到 火狐(根据我们的新闻类别网站的示例）

2. 转到你选择的浏览器中的选项,在这个例子中,Firefox

3. 搜索“证书” > 点击 “查看证书”

4. 在证书管理器窗口中单击“导入……”

5. 浏览您的证书，然后单击打开，在此示例中为smesec_cert1.cert

6. 输入您在制作证书时创建的密码

7. 必须正确安装证书颁发机构

演示

来自本地浏览器的新闻网站会自动重定向到安全浏览器。请参阅下面的演示

摘要

在本PoC指南中,你学习了如何在Azure中设置Citrix ADC以及如何配置SSL转发代理和SSL拦截。此集成允许通过将浏览重定向到安全浏览器服务来动态交付资源。因此，在不牺牲用户体验的情况下，保护公司网络。