PoC 指南：利用 Citrix Virtual Apps and Desktops 实现 Citrix Secure Internet Access

概述

Citrix Secure Internet Access 提供了完整的云交付安全堆栈，可在不影响员工体验的情况下保护用户、应用程序和数据免受所有威胁。本概念验证 (PoC) 指南旨在帮助您在 Citrix Virtual Apps and Desktops 环境中快速配置 Citrix Secure Internet Access。在本 PoC 指南的末尾，您可以使用 Citrix Secure Internet Access 保护 Citrix Virtual Apps and Desktops 部署。您可以允许用户使用直接互联网访问 (DIA) 访问应用程序，而不会影响性能。

作用域

在本概念验证指南中，您将体验 Citrix 管理员的角色，并在组织的 Citrix Virtual Apps 程序和桌面部署与 Citrix Secure Internet Access 之间创建连接。

本指南展示了如何执行以下操作：

• 登录 Citrix Secure Internet Access (CSIA)
• 将 CSIA 安全组与域集成中的组连接
• 配置 CSIA 云平台的代理服务器设置
• 配置 Web 安全策略以允许/拒绝通过 CSIA 控制台访问某些网站或类别。
• 将策略应用于安全组
• 下载 CSIA 代理（Cloud Connector）
• 通过代理策略配置 CSIA 代理（Cloud Connector）
• 手动配置 CSIA 代理（Cloud Connector）（可选-仅限 Windows）
• 将 CSIA 代理（Cloud Connector）手动部署到 VDA 主映像
• 通过 AD 组策略将 CSIA 代理（Cloud Connector）部署到 VDA 映像

必备条件

• Microsoft Windows 7、8、10（x86、x64 和 ARM64）
• Microsoft Server 2008 R2、2012、2016、2019
• Microsoft .NET 4.5 或更高版本
• PowerShell 7（仅适用于 Windows 7）
• 以下防火墙规则

网络要求

端口/防火墙设置

CSIA —> 出站

源	目标位置	协议	端口	说明
CSIA	ibosscloud.com	TCP	80	代理连接和自定义块页面
		TCP	443	通过 HTTPS 和代理身份验证通过 HTTPS 检索 PAC 脚本
		TCP	7443	用于通过 HTTPS 检索 PAC 脚本的替代端口
		TCP	8009	用于代理连接的替代端口
		TCP	8015	通过 HTTP 进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于 Android Enterprise 的云分类端口
		TCP	8080	默认区块页面
		TCP	10080	通过 HTTP 检索 PAC 脚本
CSIA	api.ibosscloud.com	TCP	443	通过 HTTPS 和代理身份验证通过 HTTPS 检索 PAC 脚本
		TCP	7443	用于通过 HTTPS 检索 PAC 脚本的替代端口
		TCP	8009	用于代理连接的替代端口
		TCP	8015	通过 HTTP 进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于 Android Enterprise 的云分类端口
		TCP	8080	默认区块页面
		TCP	10080	通过 HTTP 检索 PAC 脚本
CSIA	账户.iboss.com	TCP	443	通过 HTTPS 和代理身份验证通过 HTTPS 检索 PAC 脚本
		TCP	7443	用于通过 HTTPS 检索 PAC 脚本的替代端口
		TCP	8009	用于代理连接的替代端口
		TCP	8015	通过 HTTP 进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于 Android Enterprise 的云分类端口
		TCP	8080	默认区块页面
		TCP	10080	通过 HTTP 检索 PAC 脚本
CSIA	客户 CSIA 节点-swg.ibosscloud.com	TCP	443	通过 HTTPS 和代理身份验证通过 HTTPS 检索 PAC 脚本
		TCP	7443	用于通过 HTTPS 检索 PAC 脚本的替代端口
		TCP	8009	用于代理连接的替代端口
		TCP	8015	通过 HTTP 进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于 Android Enterprise 的云分类端口
		TCP	8080	默认区块页面
		TCP	10080	通过 HTTP 检索 PAC 脚本
CSIA	客户 CSIA 节点-reports.ibosscloud.com	TCP	443	通过 HTTPS 和代理身份验证通过 HTTPS 检索 PAC 脚本
		TCP	7443	用于通过 HTTPS 检索 PAC 脚本的替代端口
		TCP	8009	用于代理连接的替代端口
		TCP	8015	通过 HTTP 进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于 Android Enterprise 的云分类端口
		TCP	8080	默认区块页面
		TCP	10080	通过 HTTP 检索 PAC 脚本

Citrix Secure Internet Access (CSIA) 云配置

在本节中，我们重点介绍管理控制台中 CSIA 的配置。

登录 Citrix Secure Internet Access

1. 登录 Citrix Cloud 并访问 Secure Internet Access 磁贴。
   

2. 选择配置选项卡，然后单击打开 Citrix SIA 配置以访问配置控制台。
   

配置 Citrix Secure Internet Access PAC 设置

1. 在配置选项卡中，导航至位置和地理映射。
   
2. 在区域选项卡上，单击编辑默认区域。
   
3. 单击PAC 设置。
   
4. 如果必须绕过域，请使用添加函数。
   
5. 以下是推荐添加到 PAC 文件的 Citrix 域名和子域名：
   ⋅ cloud.com & *.cloud.com
   ⋅ citrixdata.com & *.citrixdata.com
   ⋅ citrixworkspaceapi.net & *.citrixworkspaceapi.net
   ⋅ citrixworkspacesapi.net & *.citrixworkspacesapi.net
   ⋅ citrixnetworkapi.net & *.citrixnetworkapi.net
   ⋅ nssvc.net & *.nssvc.net
   ⋅ xendesktop.net & *.xendesktop.net
   ⋅ cloudapp.net & *.cloudapp.net
   ⋅ netscalergateway.net & *.netscalergateway.net
6. 请注意显示的节点是 “node-clusterxxxxxx-swg.ibosscloud.com: 80”。这必须与节点集合管理中客户的 SWG 节点匹配
   

将 CSIA 安全组与域集成中的组连接

连接到 Citrix Secure Internet Access (CSIA) 的用户通过当前用户登录和设备可以通过域 OU 信息进行通信。CSIA 云平台可用于匹配由域控制的用户帐户提供的组。将域集成的组与 CSIA 云平台上包含的安全组相关联，允许您以类似于组织内现有安全策略的方式管理策略和限制。

将域组信息集成到 CSIA 云平台的策略是编辑安全组以匹配向该平台报告的域组的别名。

集成示例

为了演示此概念的执行情况，让我们将 Windows 用户的域凭据映射到 CSIA 云平台上的安全组中。

1. 在目标计算机上打开命令提示符，然后运行命令“net user (user name) /domain”
2. 收集域控制器报告的组别名。
   
3. 转到 CSIA 云平台，然后编辑组名称或别名，使其与域用户报告的其中一个组对应。
   
4. 现在，当集成域组中的用户向 CSIA 云平台进行身份验证时，他们会自动分配给相应的安全组。

配置 CSIA 云平台的代理服务器设置

1. 导航到 “代理和缓存” 模块。
   
2. 将启用代理设置设置设置为是。
   
3. 将用户身份验证方法设置为本地用户凭据 + 云连接。
   
4. 单击保存。
   

配置 Web 安全策略

在本节中，我们重点介绍管理控制台中 CSIA Web 安全策略的配置。这是我们在网页类别上设置操作的主要位置。

将策略应用于安全组

1. 导航到Web 安全模块。
   
2. 对于具有基于组的实施可用的 Web 安全策略，该策略的配置窗体上方的页面顶部将显示一个下拉菜单。此下拉菜单的状态指示您当前正在查看哪个组的策略配置。
   
3. 单击组下拉菜单，然后选择要为当前 Web 安全策略重新配置的组。
   
4. 单击 “保存” 将仅将当前策略的配置保存到组下拉菜单中当前选定的安全组。
   ⋅注意：如果您希望将这些设置应用于多个组
5. （可选）单击保存到多个组将打开一个窗口，允许您将当前策略的配置同时分配给多个安全组。
   
6. 单击要应用当前策略配置的任何安全组的相应复选框。
   
7. 单击添加将选定的安全组添加到配置组。
   可以重新配置为仅接受当前已应用的配置更改，也可以接受并覆盖当前策略的所有配置设置。
8. 默认选择为 “应用更改的设置”，它仅应用您配置的更改。选择此选项可覆盖指定安全组的所有已配置设置。
   
9. 单击删除或删除所有选定进行配置的组，可以删除单个组，单击全部删除。单击保存以确认将配置应用于所有指定的安全组。
   

网络分类

根据域的内容使用 Web 类别进行标记。访问过的网站的类别记录在 “报告和分析” 中。

分类操作

您可以将操作与 Web 类别相关联。这使您能够快速部署安全策略，同时最大限度地减少允许或阻止单个 URL 的需要。可能的操作包括 “允许”、“阻止”、“隐身”、“软覆盖” 或 “启用 SSL 解密”。

1. 每个类别都可以有独立于其他类别应用的操作。

   操作	说明
   允许	允许用户访问此类别的网站。允许是所有类别的默认状态。
   阻止	阻止访问特定类别的网站。
   隐身	在日志中将该类别的流量标记为违规，但仍允许访问站点。
   软覆盖	向用户显示阻止页面，但包含暂时绕过阻止的选项。这允许用户访问被阻止的内容，而无需管理员立即干预。在为网关配置的时区内，软覆盖持续到第二天凌晨 2:00。任何带有软覆盖的块页面在 Reporting & Analytics 中都会显示为 “软封锁”。“ 用户请求软覆盖后，到该 URL 的任何流量都会显示为 “允许”，直到覆盖过期。
   SSL 解密	禁用此选项可清除特定类别的 SSL 解密。这确保了对财务或健康等特定类别的隐私合规性和担忧。此类别的优先级值不适用于此设置。如果一个站点属于多个类别，并且其中任何一个类别都启用了 “SSL 解密禁用” 选项，则不会对该站点进行解密。
   锁定	当主管理员将某个类别锁定为 “允许” 或 “阻止” 状态时，委派管理员将无法登录到 Web 网关管理界面并更改该类别的状态。
   类别替代	激活类别覆盖时，委派管理员无法登录 Web 网关管理界面并向允许列表中添加与此类别的规则相矛盾的 URL。例如，“艺术” 类别被阻止并设置为 “覆盖”，因此委派管理员无法将 art.com 添加到该组的 “允许列表”。

2. 单击每个图标可切换相应 Web 类别的操作。
   
3. 您希望通常应用于所有 Web 类别的操作可以使用 “操作” 下拉菜单来实现。
   
   注意：请小心 “未评级” 类别，因为它与许多未分类的网站匹配

类别优先级

如果域与多个类别关联，则通过比较类别的优先级值来确定操作。优先级值较高的类别优先。

示例：

1. 域名被归类为政府和黑客攻击。在网络类别配置中，允许政府的权重为 100，而黑客攻击则被封锁，重量为 200。
2. 由于具有较高优先级值的黑客网络类别的阻止操作，用户访问该域时将被阻止。
3. 单击优先级值字段，然后输入数值以重新配置类别的优先级。优先级值的可配置范围为 0-65535。

其他设置

与 Web 类别相关的设置使用 “其他设置” 下的切换进行配置。如果将切换配置为“是”，将切换配置为 “否” 时，将启用该设置。有关所有可用 Web 类别设置的完整说明，请参阅下表：

功能	说明
启用日志	启用和禁用当前被阻止的网站类别的违规尝试记录。日志报告可以在 CSIA 报告页面上查看。报告信息包括违规的日期、时间、用户、网站地址和类别。
启用隐身模式	它允许您在不阻止访问被禁网站的情况下隐蔽地监控互联网活动。启用日志记录和隐身模式后，您可以通过查看 CSIA 报告页面上的日志报告来监控互联网网上冲浪活动，同时保持网络上的互联网用户不注意。 注意：当 Web 类别的操作配置为隐身模式时，不会阻止网站和在线应用程序。
在非标准端口上启用 HTTP 扫描	如果启用此功能，CSIA 会扫描非标准端口上的 HTTP Web 请求。
允许旧版 HTTP 1.0 请求	如果启用此功能，CSIA 允许缺少 “HOST” 标头的 HTTP 1.0 请求。禁用此功能可提供更高级别的安全性，并使绕过安全性变得更加困难。如果启用此功能，它可能会提供与较旧的非 HTTP 1.1 兼容软件的兼容性。
启用 ID 盗窃/IP 地址 URL 阻止	当有人试图通过互联网钓鱼窃取您的个人信息时，通过通知您，防止潜在的身份盗窃企图。启用此功能还会阻止用户使用 IP 地址 URL 导航到网站。
启用阻止的站点覆盖	启用此功能将激活软覆盖操作，允许用户继续访问属于阻止类别的站点。当此设置处于活动状态时，系统会警告用户页面已被阻止，但会提供一个按钮以继续操作。
自动对未分类网站进行分类	当此切换为 “是” 时，任何未分类的站点都会自动提交进行分类。注意：当此切换设置为 “是” 时，未分类站点将被分配为 “信息” 的 Web 类别或其他此类名称。这只有在适当分类时才有效。当此开关设置为否时，未分类将自动指定为 “未评级”，该选项被控制为自己的 Web 类别。

分类调度

还可以按每周高级计划配置阻止事件，以允许在特定时间进行访问。

1. 将类别计划设置为允许使用高级计划选定的类别以启用计划功能。单击高级计划开始计划被阻止的类别。
   
2. 可以将当前的高级计划配置为应用于所有阻止的类别，也可以仅适用于特定的阻止类别。
   
3. 每周中的每一天都可以委派该类别允许的特定时间段。这些特定的时间段由蓝色矩形表示。
   
4. 最终确定特定类别的计划后，您可以再次单击类别下拉菜单，然后选择要配置的新类别。
5. 单击保存以确认所有计划配置。
   

允许列表

允许列表有选择地提供对特定网站或网络资源的访问权限。此功能使您能够覆盖安全策略并允许某些用户访问网站。特别是，您可以使用此功能授予对否则被阻止的域的特定 URL 的访问权限。这有时被称为“打孔”。

将 URL 添加到允许列表

1. 导航到Web 安全策略。
2. 在下拉菜单中，单击允许列表。
   
3. 从列表部分上方，单击URL L/IP 范围。
   
4. 键入域、子域、URL、IP 地址或 IP 范围。这是唯一的必填字段，但可以指定许多其他条件。
5. 从列表右侧，单击+ 添加。该条目现在已添加到列表中。

刮工具

允许列表部分包括方便的抓取工具。使用此选项可快速识别网站使用的所有域名。在现代网络中，许多网站使用来自其他域的资源，而这些资源并不是立即明显使用 Spepe Tool，它们很容易被揭示并添加到允许列表中。

Spepe Tool 的另一个用途是选择性地只允许网站的某些部分，同时不允许不需要的内容，例如广告服务器。

1. 从列表部分上方，单击抓取。
   
2. 输入要抓取的 URL，然后单击扫描。
   
3. 选择要添加到允许列表的域，然后单击添加选定内容到允许列表。
   

关键字阻止列表/允许列表

关键字过滤用于检查特定词语的 URL。如果识别了关键字，则可以允许或阻止该内容。

将 URL 添加到阻止列表/允许列表

1. 导航到Web 安全策略。
2. 在下拉菜单中，单击关键字。
   
3. 在 “关键字” 字段中输入要阻止的关键字，然后指定适用于此关键字的名称。单击添加。
   

选项	说明
允许关键字	如果单词位于关键字参数内的 URL 中，则选中此选项允许该单词。
高风险	搜索任何指定为 “高风险” 的词语时，会向组管理员发送电子邮件通知。
通配符匹配	启用后，即使关键字只是较大单词的子字符串，也会对其进行过滤。例如，关键字 “base” 的通配符匹配将阻止包含 “基本” 或 “棒球” 的搜索。“ 如果没有通配符匹配，它只会阻止 “base”。“
全局	选中后，此选项将跨所有安全组。删除 “全局” 条目时，它会从所有过滤组中删除该条目。

预定义的关键字列表

您可以为预定义的成人和高风险关键词列表启用筛选，也可以手动添加更多关键词

预定义的关键词列表包含常见的成人和高风险关键词通配符匹配将应用于这些列表中的所有关键字。通配符匹配可识别 URL 中任意位置的关键字字符序列，包括主机名。CSIA 云平台的 “报告和分析” 功能检测到高风险关键字时，高风险列表会向警报电子邮件的收件人生成一封电子邮件。

1. 要启用任何一个关键字列表，请将成人或高风险切换设置为是。单击保存。
   

Citrix Secure Internet Access 代理配置

在本节中，我们重点介绍 Citrix Secure Internet Access (CSIA) 代理的配置和安装。

配置 CSIA 代理下载（Cloud Connector）

1. 在 CSIA 管理员控制台中，转到将设备连接到云 > Cloud Connector。
   
2. 单击配置连接器下载。
   
3. 单击使用 HTTP PAC下拉菜单并选择否。
   （注意：如果您想使用 HTTPS 进行 PAC 下载，请使用HTTP PAC 选择“否”）
   
4. 单击安全组，然后为此特定安装文件下载选择所需的默认安全组。
   
5. 将其余连接器下载设置保留为默认值，然后单击保存
   

配置 CSIA Agent 高级连接器设置（Cloud Connector）

1. 从 CSIA 管理员控制台，转到将设备连接到云 > Cloud Connector > 高级连接器设置。
   
2. 在全局设置下启用以下内容：
   ⋅启用 Security Cloud 连接器过滤
   ⋅ 将自动登录 Cloud Connector 配置为使用组密钥
   ⋅使用会话加密
3. 在源 IP 日志记录下启用 -使用客户端的私有来源 IP（如果可用）。
4. 在组特定设置下，验证是否选择了正确的组，然后单击保存。
   

云下载Citrix安全上网代理(Connector）

1. 在 CSIA 管理控制台中，转到将设备连接到云 > Cloud Connector > 下载连接器。
   
2. 在 “WindowsCloud Connector” 下，单击 “下载并全部下载”。
   
   .msi 安装包可以直接从 CSIA 管理控制台下载。在开始安装之前，请确保为 Windows 和处理器体系结构的版本使用了正确的软件包。

平台	软件包
Windows 10 ARM64	ibsa64-win10-arm64.msi
Windows 10 x64、Windows 8 x64、Windows Server 2019 或 Windows Server 2016	ibsa64-win8.msi
Windows 10 x86 或 Windows 8 x86	ibsa32-win8.msi
Windows 7 x64、Windows Server 2012 或 Windows Server 2008R2	ibsa64.msi
Windows 7 x86	ibsa32.msi

在 CSIA 管理控制台中配置 CSIA 代理策略

1. 从相管理控制台,转到将设备连接到云 > 代理策略。
   
2. 单击添加代理策略。
   
3. 为您的代理策略提供名称，然后选择添加代理策略。
   
4. 要配置策略，请单击编辑代理策略。
   

5. 单击客户端设置并设置推荐的设置。
   

   Recommended Settings for Multi-Session OS VDA Deployments

   Setting	Recommended Value
   Multi-User Mode:	EnableMulti-User/Terminal Server Mode - Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Use Machine Name for User name:	DisableSetting - Use the user account name as the user name.
   Use UPN for User name:	DisableSetting - Use the Security Account Manager (SAM) account name, such as DOMAIN\user name.
   Redirect All Ports:	EnableSetting
   Bypass Private Subnets:	EnableSetting
   Captive Portal Detection:	DisableSetting
   Auto-Update Enabled:	EnableSetting
   Auto-Update Release Level:	Level 1 - Mature
   Enable Windows Desktop App: (Agent is not supported Multi-User Deployments)	DisableSetting

   Recommended Settings for Single-Session OS VDA Deployments

   Setting	Recommended Value
   Multi-User Mode:	DisableMulti-User/Terminal Server Mode - Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Use Machine Name for User name:	DisableSetting - Use the user account name as the user name.
   Use UPN for User name:	DisableSetting - Use the Security Account Manager (SAM) account name, such as DOMAIN\user name.
   Redirect All Ports:	EnableSetting
   Bypass Private Subnets:	EnableSetting
   Captive Portal Detection:	DisableSetting
   Auto-Update Enabled:	EnableSetting
   Auto-Update Release Level:	Level 1 - Mature
   Enable Windows Desktop App: (Agent is not supported on Multi-User Deployments)	EnableSetting
   Allow End Users to Disable Security:	DisableSetting
   Require Password to Disable Security:	EnableSetting
   Require Password to View Diagnostics Info:	EnableSetting

6. 单击动态链接，然后选择要分配策略的组。
   
7. 单击保存。
   

（可选）手动配置 Citrix Secure Internet Access 代理

仅建议使用通过 Orca 编辑用于 Windows .msi 的 CSIA 代理，仅用于故障排除。

Orca.msi 在 WindowsCloud Connector“全部下载” 选项中提供

用 Orca 打开 .MSI 文件

1. 打开 Zip 文件并安装 Orca.msi
   
2. 在文件资源管理器程序中找到所需的安装文件。
3. 右键单击 .msi 安装文件。
4. 单击 “使用 Orca 编辑”。
   

在 Orca 中配置 .MSI 的属性

1. 双击以打开 “属性” 表格。
   

2. 可以通过双击属性的 “值” 字段来编辑每个属性。
   

   Recommended Settings for Multi-Session OS VDA

   Setting	Recommended Value
   Multi-User Mode: (PARAM_MULTI_USER_SUPPORT)	(1): Enable multi-user mode.Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Terminal Server Mode: (PARAM_TERMINAL_SERVER_MODE)	(0): Disabled——这似乎不赞成of Multi-User Support
   Use Machine Name for User name: (PARAM_USE_MACHINE_NAME_FOR_USER NAME)	(0): Disabled- Use the user account name as the user name.
   Redirect All Ports: (PARAM_REDIRECT_ALL_PORTS)	(1): Enabled- Redirect all ports to the proxy.
   Bypass Private Subnets: PARAM_BYPASS_PRIVATE_SUBNETS)	(1): Enable bypass
   Captive Portal Detection: (PARAM_CAPTIVE_PORTAL_DETECTION)	(0): Disabled
   Auto-Update Enabled: (PARAM_AUTO_UPDATE_ENABLE)	(1): Enabled– The cloud connector to be updated automatically.
   Restart After Upgrade: (PARAM_RESTART_AFTER_UPGRADE)	(0): Disabled- Does not prompt a restart.

   Recommended Settings for Single-session OS VDA

   Setting	Recommended Value
   Multi-User Mode: (PARAM_MULTI_USER_SUPPORT)	(0): Disable multi-user mode.Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Terminal Server Mode: (PARAM_TERMINAL_SERVER_MODE)	(0): Disabled——这似乎不赞成of Multi-User Support
   Use Machine Name for User name: (PARAM_USE_MACHINE_NAME_FOR_USER NAME)	(0): Disabled- Use the user account name as the user name.
   Redirect All Ports: (PARAM_REDIRECT_ALL_PORTS)	(1): Enabled- Redirect all ports to the proxy.
   Bypass Private Subnets: (PARAM_BYPASS_PRIVATE_SUBNETS)	(1): Enable bypass
   Captive Portal Detection: (PARAM_CAPTIVE_PORTAL_DETECTION)	(0): Disabled
   Auto-Update Enabled: (PARAM_AUTO_UPDATE_ENABLE)	(1): Enabled– The cloud connector to be updated automatically.
   Restart After Upgrade: (PARAM_RESTART_AFTER_UPGRADE)	(0): Disabled- Does not prompt a restart.

3. 在 Orca 中，单击保存图标以保存对 Windows Cloud Connector 参数所做的更改。
   
   VE注意：确保仅使用此方法（不使用 “另存为”）在 Orca 中保存文件。如果未以这种方式保存 Windows Cloud Connector，则会导致其功能出现问题。

将 Citrix Secure Internet Access 代理部署到主映像

Citrix 建议您在更新目录中的计算机之前保存主映像的副本或快照。数据库保存用于每个计算机目录的主映像的历史记录。如果用户在将更新部署到其桌面时遇到问题，您可以回滚（还原）目录中的计算机以使用以前版本的主映像，从而最大限度地减少用户停机时间。请勿删除、移动或重命名主图像；否则，您将无法恢复目录以使用它们。

对于使用 Provisioning Services 的目录，必须发布新的虚拟磁盘才能将更改应用于目录。有关详细信息，请参阅 Provisioning Services 文档。

更新计算机后，计算机将自动重新启动。

将 CSIA 代理（Cloud Connector）手动部署到 VDA 主映像

更新主图片

在更新目录之前，请更新现有主映像或在主机虚拟机管理程序上创建新的主映像。

1. 在您的虚拟机管理程序或云服务提供程序上，创建当前 VM 的快照并为该快照提供一个有意义的名称。可以根据需要使用该快照还原（回滚）目录中的计算机。
2. 打开主映像并登录。
3. 将适用于您的平台的 CSIA Agent .msi 软件包安装到主映像中。
   
4. 如果主映像使用个人虚拟磁盘，请更新清单。
5. 关闭 VM 的电源。
6. 拍摄 VM 的快照，然后为快照指定一个有意义的名称，在 Studio 中更新目录时可以识别该名称。虽然 Studio 可以创建快照，Citrix 仍建议您使用虚拟机管理程序管理控制台创建快照，然后在 Studio 中选择该快照。使用此方法可以提供有意义的名称及说明，而非自动生成的名称。

更新目录

准备并前滚目录中的所有计算机的更新：

1. 在 Studio 导航窗格中选择计算机目录。
2. 选择目录，然后在 “操作” 窗格中选择 “更新计算机”。
3. 在主映像页面上，选择要推出的主机和映像。
4. 在 “部署策略” 页面上，选择何时可以使用新的主映像更新计算机目录中的计算机：下次关闭时还是立即更新。有关详细信息，请参阅下文。
5. 验证 “摘要” 页面上的信息，然后单击 “完成”。每台计算机都在更新后自动重新启动。

通过 AD 组策略将 CSIA 代理（Cloud Connector）部署到静态 VDA 映像

创建分发点

1. 在充当文件服务器的 AD 加入的计算机上创建文件夹。
2. 将CSIA Agent .msi 软件包保存在该文件夹中。
3. 右键单击新创建的文件夹，选择属性。
4. 转到“共享”选项卡。
5. 选择“高级共享”。
6. 启用“共享此文件夹”。
7. 在 “共享名称” 下的 “设置” 中，在 CSIA Agent 文件夹名称之后添加$。（例如。CSIA_AGENT$)。
8. 选择应用。
9. 然后关闭。

创建组策略对象

1. 打开组策略管理。
2. 右键单击组策略对象。
3. 选择新建，然后命名新 GPO（例如：部署 CSIA 代理）。
4. 右键单击上方新创建的组策略对象，选择编辑。
5. 展开软件设置文件夹。
6. 选择软件安装。
7. 在右侧面板中右键单击。
8. 选择 “新建”。
9. 选择 “包裹”。
10. 在相应的窗口中，键入包含 CSIA Agent .msi 包的 CSIA 代理文件夹的位置（文件路径）。
11. 选择MSI。
12. 选择 “打开”。
13. 在 “部署软件” 窗口中，选择“选择部署方法” 下方的 “高级”。
14. 在部署下，选择… 时卸载此应用程序。（这意味着当终端节点下次运行 gpupdate 并且 CSIA 代理已被删除时，它也会从终端节点中删除）。
15. 选择确定并关闭。

场景 1：用户数据存储在本地磁盘中的静态 VDA

1. 在虚拟机管理程序或云服务提供商上，拍摄 VDA 的快照并为快照命名有意义。
2. 在组策略管理中，展开域。
3. 右键单击静态 VDA 的位置，然后选择 “链接现有 GPO”。
4. 选择创建的部署 CSIA 代理 GPO。
5. 选择 OK（确定）。
6. 应用组策略后，必须重新启动 VDA。

场景 2：注销时丢弃用户数据的静态 VDA

1. 在您的虚拟机管理程序或云服务提供程序上，创建当前 VM 的快照并为该快照提供一个有意义的名称。可以根据需要使用该快照还原（回滚）目录中的计算机。
2. 在组策略管理中，展开域。
3. 右键单击主映像的位置，然后选择 “链接现有 GPO”。
4. 选择创建的部署 CSIA 代理 GPO。
5. 选择 OK（确定）。
6. 应用组策略后，必须重新启动计算机。
7. 拍摄虚拟机的快照，并为快照指定一个有意义的名称，该名称在 Studio 中更新目录时可识别出来。虽然 Studio 可以创建快照，Citrix 仍建议您使用虚拟机管理程序管理控制台创建快照，然后在 Studio 中选择该快照。使用此方法可以提供有意义的名称及说明，而非自动生成的名称。
8. 在 Studio 导航窗格中更新计算机目录。（请参阅上面的更新目录部分）

场景 3：用户数据存储在本地磁盘中的非 MC 静态 VDA

1. 在您的虚拟机管理程序或云服务提供程序上，创建当前 VM 的快照并为该快照提供一个有意义的名称。可以根据需要使用该快照还原（回滚）目录中的计算机。
2. 在组策略管理中，展开域。
3. 右键单击主映像的位置，然后选择 “链接现有 GPO”。
4. 选择创建的部署 CSIA 代理 GPO。
5. 选择 OK（确定）。
6. 应用组策略后，必须重新启动计算机。

验证的使用案例

将 CSIA 代理（Cloud Connector）手动部署到 VDA 主映像

MCS：池随机桌面

• Windows 10 企业版（单会话）
• Windows Server 2019（多会话）

MCS：池静态桌面

• Windows 10 企业版（单会话）

MCS：专用桌面

• Windows 10 企业版（单会话）

PVS：池随机桌面

• Windows 10 企业版（单会话）
• Windows Server 2019（多会话）

PVS：池静态桌面

• Windows 10 企业版（单会话）

PVS：专用桌面

• Windows 10 企业版（单会话）

非 MC：随机桌面

• Windows 10 企业版（单会话）
• Windows Server 2019（多会话）

非 MC：静态桌面

• Windows 10 企业版（单会话）

通过 AD 组策略将 CSIA 代理（Cloud Connector）部署到静态 VDA 映像

MCS

• 用户数据存储在本地磁盘中的静态 VDA
• 注销时丢弃用户数据的静态 VDA

非 MC

• 将用户数据保存到本地磁盘的静态 VDA

不同地区的 VDA

故障排除

故障排除的重要工具

1. Windows 事件日志
2. CSIA 实时控制面板（报告和分析 > 实时日志）
3. CSIA 事件日志（报告和分析 > 日志 > 事件日志）
4. CSIA IPS 日志（报告和分析 > 日志 > IPS 日志）
5. 已连接设备的注册信息（用户、组和设备 > 云连接设备 > 信息）
6. URL 查找工具（工具 > URL 查找）
7. 增强的日志记录
   ⋅ 要设置此设置，必须更改以下注册表项，从 0 到 4 变化，越高，提供更详细的日志记录。
   ⋅HKEY_LOCAL_MACHINE\SOFTWARE\IBoss\IBSA\Parameters\LogLevel
   ⋅ 一旦设置了注册表项，必须重新启动 Windows 服务下的 IBSA 服务才能使设置生效。选中 windows 事件查看器后，您会看到许多条目被记录，具体取决于日志级别设置。
8. Windows 代理日志 (C:\Windows\SysWOW64\ibsa_0.log)

关键词未被屏蔽

CSIA 云平台的运营中和周围有许多策略和变量可能会干扰正确阻止已配置的关键字。请参阅以下内容；

1. 确保本网站的 SSL 解密处于活动状态。HTTPS 网站无法观察或控制关键词。
2. 如果客户端工作站的源 IP 或 Web 服务器的目标 IP 已添加到 “网络” > “绕过 IP 范围” 列表中，则不会强制执行 Web 安全控制。
3. 如果在未启用关键字/安全搜索选项的情况下，将网站添加到 Web Security > 允许列表中，则配置为阻止的关键字不会生效。选中 “关键字/安全搜索” 复选框后，Web Gateway 允许访问网站，但仍然需要强制执行关键字控制和安全搜索。
4. 关键字包含星号，而是删除星号并激活关键字的通配符匹配（如果这是所需的效果）。
5. 关键字具有多个单词，并且未启用通配符匹配，或者空格未用加号 (“+”) 表示。
6. 用户与启用了关键字控件的预期 Web 安全组没有关联。

预定义的关键字列表中的冲突操作

在某些情况下，内置关键字列表中的一个词可能会意外阻止内容。要更正此操作，请编辑特定的预定义关键字列表。当您单击铅笔图标以编辑内置列表时，CSIA 云平台界面会显示一页关键字旁边的复选框。要从内置列表中删除关键字，请清除要删除的关键字旁边的框，然后单击保存。要将此操作应用于所有组，请选中标记为应用于所有组的复选框。

识别客户的 Citrix Secure Internet Access 节点

1. 从主页导航到节点集合管理。
   
2. 单击节点组。
   
3. 这为您提供了客户 CSIA 节点-reports.ibosscloud.com 和客户 CSIA 节点-swg.ibosscloud.com 节点群集。

Splunk 与 Citrix Secure Internet Access 节点集成

Splunk 服务器设置

1. 导航到 Splunk Server 实例，然后单击页面顶部的设置链接，然后单击 “数据” 子部分下的数据输入链接。
   
2. 单击 “UDP” 部分右侧的添加新链接。
   
3. 在 “端口” 字段中输入端口（如果可能的话，高于 1023，以避免操作系统的安全限制）。在 “仅接受来自连接” 字段中，输入 CSIA 报告程序节点的 IP 地址。如果在此字段中未输入任何内容，则接受来自所有主机的连接。完成后，单击“下一步”。
   
4. 在下一页上，单击选择源类型并键入“syslog”，然后选择它。
   
5. 将应用程序上下文更改为搜索和报告（搜索）。
   
6. 将主机方法更改为IP。
   
7. 单击查看（查看当前配置），然后单击提交。
   

CSIA 报告和分析模块设置

1. 导航到 iboss 云平台界面中的报告和分析 > 日志转发 > 从报告器转发。
   
2. 在Splunk 集成下，单击操作，然后单击添加服务器。
   
3. 将Splunk服务器的地址/主机名添加到“主机名”和Splunk服务器上选择的端口号。接下来，在下拉菜单 “Splunk 集成协议” 中，选择协议。 添加 Splunk 服务器时可用的选项如下所示：
   
4. 您还可以将 Splunk 服务器的集成协议配置为 HEC。使用 HEC 协议配置与 Splunk 服务器的集成需要从 Splunk 服务器的配置中获取 HEC 令牌。将检索到的令牌放入 Splunk 集成协议选择下拉菜单下方的令牌字段中。
   
5. 如果为 Splunk 日志实施ELFF日志格式，则Splunk 集成 ELFF 批量大小字段可供配置。配置的默认值为100。
   
6. 设置 > 外部日志记录的“Splunk 集成”部分下提供了名为“接受所有 SSL 证书”的开关。如果使用非标准 SSL 证书（例如自签名证书或由不受信任的根 CA 签名的证书），请将此开关切换为 “是” 以绕过 SSL 证书验证，否则保持关闭。
7. 从 “日志格式” 下拉菜单中选择传送日志数据的格式。最后，切换界面底部的一个或多个按钮以选择所需的日志记录信息类型。单击 “保存” 按钮以更新更改。日志记录立即开始。在 Splunk 实例上执行搜索，以检查数据是否正确发送和索引。请参阅下面的示例输出。
   

更改代理端口

CSIA 代理端口可能会更改，但是您不能尝试将代理端口更改为网关用于其他服务的端口。

不能使用的端口包括：53、139、199、443、445、953、1080、1344、5432、6001、7009、7080、7443、8008、8016、8025、8026、8035、8036、8035、8036、8080、8200、8201、9080、9443、17500、22022

所有其他端口都是默认端口的可接受替代方案。

1. 导航到代理和缓存 > 代理设置
   
2. 在“设置” 选项卡下，在 “代理端口” 字段中输入代理侦听流量的所需端口号。
   注意：在其他平台功能中配置代理设置时，将使用为此设置配置的端口。由于预先配置的网关服务，某些端口可能无法分配给此设置。
   
3. 单击 “保存” 以应用此更改。
   

附录

主要分类列表

注意：请注意“未评级” 类别，因为它与许多未分类的网站相匹配。

类别	说明
堕胎*	与堕胎相关的网站
广告	除了在线优惠券、广告销售、优惠券、优惠和优惠之外，还用于分发广告图形或内容的网站
成人内容	包含面向成人的材料的网站。此类别中的网站不包含任何裸体，但确实有亵渎和粗俗的内容。自我认为不适合 18 岁以下人群的网站属于此类别。
酒精/烟草	包含酒精和烟草内容的网站。此外，还包括酒吧等与酒类相关的网站。此类别中的网站不包含非法药物，但可能会讨论、鼓励、推广、提供、出售、供应或以其他方式倡导使用或制作酒精/烟草。
艺术	包含艺术或讨论艺术的网站，包括博物馆。可能还包括可打印的着色书、雕塑、马赛克、纹身、书法、字体、绘画、涂鸦、基督教或宗教设计、动画绘画、艺术设计
拍卖	与商品和服务拍卖和竞价相关的网站，包括在线和现场
音频和视频	除销售此内容的网站外，还包含流媒体或可下载音频/视频内容（如 mp3s、影片剪辑和电视节目）的网站。
工商企业	代表企业在线形象的站点。可能参与公司与消费者之间的商业或购买和销售产品和服务的活动。包括制造商、生产商、供应商、经销商、分销商、批发商、零售商、家族企业和任何其他面向企业的实体。
CDN*	内容交付网络 (CDN) 和与 CDN 相关的站点
约会和交友	提供约会服务或帮助建立浪漫关系的网站
字典	包含大量信息和知识的网站。除了时钟、计算器、计时器和模板等实用程序外，还包括维基、词汇词典、地图、人口普查、年鉴、图书馆目录、系谱相关网站、科学信息和目录等资源。
药物	包含与安非他明、巴比妥类药物、苯二氮卓类、可卡因、名牌药、迷魂药和海洛因等非法药物相关内容的网站。不提及大麻/大麻
药物-受控 *	与受管制药物和药物相关的网站
动态 DNS *	使用动态 DNS 服务将其域名映射到动态 IP 地址的站点。
教育	除了提供供出售或参考的教育材料的网站之外，还提供教育服务（例如学校和大学）的网站。包括提供教育或贸易/职业/职业学校和计划信息的网站。还包括由学校、教育机构、教师或校友团体赞助的网站。
娱乐	包含或推广电视、电影、杂志、广播、书籍、食品、时尚和生活方式的网站。更具体地说，提供有关流行文化的信息或宣传流行文化的网站，包括（但不限于）电影、电影评论、讨论、电影预告片、票房、电视、家庭娱乐、音乐、漫画、平面小说、文学新闻和评论，以及其他以娱乐为导向的网站期刊、访谈、粉丝俱乐部、名人八卦、播客、音乐和电影图表、节目、事件、报价、模因、歌词、音乐家、乐队、戏剧艺术、戏剧、歌剧、乐队。
极端 *	包含强烈粗俗、图形、令人震惊或恶心的内容的网站，这些内容会被认为是对大多数人极具冒犯性。
文件共享	提供在线文件存储、文件共享、设备间文件同步或基于网络的数据备份和恢复的服务的站点。这些服务可能提供在虚拟数据存储中上载、下载、粘贴、组织、发布和共享文档、文件、计算机代码、文本、非版权限视频、音乐和其他电子格式化信息的方法。此外，此类别涵盖了分发软件以促进用户之间直接交换文件的服务。
财务	包含有关银行、财经新闻和提示、股票市场、投资、信用卡、保险和贷款内容的网站。
食物	除了列出、审查、讨论、宣传和推广食品、餐饮、餐饮服务、烹饪和食谱的网站之外，还包含与餐厅、食品、餐饮相关内容的网站。
论坛	包含留言板、在线聊天室和讨论论坛的网站
免费软件/共享软件 *	与分发免费软件和共享软件相关的网站
友谊	包含柏拉图友谊相关材料和社交网站的网站。
赌博	宣传或包含赌博相关内容的网站，例如在线扑克和赌场、体育博彩和彩票。用户可以下注或参加博彩池、彩票或接收此类活动的信息、帮助、建议或培训的网站。此类别不包括销售赌博相关产品的网站或线下赌场/酒店的网站，除非它们符合上述要求之一。
游戏	包含在线游戏或提供有关电子游戏、家用视频游戏和游戏机、电脑游戏和角色扮演游戏的服务和信息的网站。还包括游戏指南/秘籍和配件
政府	由政府机构（包括军事和政治组织）赞助或代表其代表的网站可以提供有关税收、紧急服务和各政府实体法律的信息。还包括提供收养服务、收养信息、移民信息和移民服务的网站。
枪支和武器	宣传、销售或提供有关枪支、刀具和其他武器信息的网站
黑客 *	与黑客和黑客工具相关的网站
运行状况	包含与健康、疾病和疾病相关内容的网站，包括医院、医生和处方药，包括主要关注健康研究的网站。此外，还提供有关一般健康的建议和信息的网站，例如健身和福祉、个人健康、医疗服务、非处方药和处方药、合法和非法药物使用的健康影响、替代和补充疗法、牙科、验光术和精神病学。此外，还包括致力于疾病或健康状况的自助和支持组织。
幽默 *	主要与笑话、幽默或喜剧相关的网站
非法活动 *	在大多数国家，与非法活动或活动相关的网站
图片/视频搜索	用于图像和视频搜索的网站，包括共享媒体（例如，照片共享），并且包含成人或色情图形材料等令人反感的内容的风险较低。
参考信息	包含区域信息或建议等信息内容的网站
Infosec*	包含与信息安全相关内容的网站
互联网通信	与互联网通信和 VOIP 相关的网站
IoT*	与物联网和物联网设备相关的网站
作业	包含求职引擎和其他材料的网站，例如寻找工作的建议和策略。
孩子 *	主要与儿童和年轻人相关的网站
恶意软件内容 *	包含恶意软件、病毒或恶意软件、软件黑客攻击、非法代码和计算机黑客相关材料的站点常见的做法是阻止所有组的恶意软件类别。
大麻 *	与生产、使用或销售大麻有关的网站
消息 *	与即时消息和聊天相关的网站
手机	销售或提供有关移动（蜂窝）电话的信息和服务的网站
新闻	提供最新新闻和活动的网站，包括在线报纸。主要报告有关当日事件或当代问题的信息或评论的网站。 还包括新闻电台和新闻杂志。可能不包括可以更好地被其他类别捕获的网站。
Nudity*	包含任何形式裸体的网站
在线会议 *	与在线会议或举办在线会议软件相关的网站
组织	包含与促进慈善志愿服务的组织（如非营利组织、基金会、协会、社区、机构）相关内容的网站。还包括公认的选美活动（地球小姐）、男孩/女童子军以及培养慈善或救济工作的机构。
P2P*	与点对点 (P2P) 文件共享相关的站点
停域	已停放的站点，这意味着域名与任何服务（如电子邮件或网站）无关联。这些域名通常被列为 “待售”。“
网络钓鱼 *	网络钓鱼和钓鱼活动中使用的网站和网站
Piracy*	与数字盗版相关的网站
政治	包含政治内容的网站，包括代表政治组织或组织宣传政治观点的网站
色情-孩子	包含以成人为导向的内容的网站，包括以儿童为特色的色情图片和材料，或者似乎以儿童为特色。
色性/裸体	包含以成人为导向的内容的网站，包括色情露骨的图形和材料。包括裸体艺术品、性商店和带有裸体广告的网站、裸体游戏
私人网站	个人创建的网站包含个人表达方式，例如博客、个人日记、经验或兴趣
专业服务	提供专业、无形产品或专业知识的网站（而不是物质商品）。包括个人或团队为客户的利益专业执行的服务的站点。典型的服务包括清洁、维修、会计、银行、咨询、园林美化、教育、保险、治疗和交通服务。此外，还包括在线辅导、舞蹈、驾驶、武术、乐器课程和论文写作。
房地產	专注于房地产的网站，包括经纪人、租赁住宅和办公室以及其他房地产信息
宗教	宣传或提供有关宗教信仰和习俗信息的网站
远程访问工具 *	远程访问工具，例如屏幕共享服务
诈骗 *	与诈骗相关的网站
搜索引擎	用于搜索网络的网站
性爱德	包含与性教育有关的内容的网站。内容可能是图形化的，但旨在提供有关生殖过程、性发展、安全性行为、性行为、节育、改善性行为的提示和性增强产品的信息。
购物	用于购买消费品的网站，包括在线拍卖和分类广告。包括活动门票
垃圾邮件 *	与垃圾邮件相关或用于垃圾邮件活动的网站
体育	与体育和活跃爱好相关的网站。除了钓鱼、高尔夫、狩猎、慢跑、划独木舟、射箭、国际象棋等活跃的爱好之外，还包括有组织的、专业和竞技的运动
流媒体收音机/电视	包含直播或电视内容的网站
自杀 *	与自杀有关的网站，包括自杀信息
怀疑 *	不一定包含恶意软件或恶意内容但由于某些属性而被标记为可疑的站点。iboss 的恶意软件分析将这些站点归类为 “不安全”，即使未检测到恶意软件也是如此。Web 请求启发式保护（如果处于活动状态）还会将归类为可疑的站点标记。
泳衣	包含性暴露内容但没有裸体的网站。包括购买比基尼、泳装、内衣和其他内衣的购物网站。
技术	包含内容相关技术（包括软件、计算机硬件、技术公司和计算机技术帮助）的站点。此外，赞助或提供有关计算、计算设备和技术、消费电子产品和通用技术的信息、新闻、评论、意见和报道的网站。
恐怖主义/化	以激进团体或运动为特色的网站，具有激进的反政府信念或信仰。
科技基础设施 *	与技术基础设施相关的站
工具栏	为 Web 浏览器提供工具栏下载的站点
翻译服务 *	提供翻译服务的网站
交通	包含与交通相关的内容的网站。这包括有关火车、公共汽车路线和公共交通的信息，以及销售、推广或与汽车、摩托车、船只和飞机相关的网站的信息。
旅行	提供旅行相关服务或信息的网站，例如在线旅行讨论、规划、旅游、住宿和交通（如航空公司、火车和公共汽车）以及相关的时刻表和票价。推广或提供旅游预订、旅行体验、汽车租赁、旅行目的地描述或酒店/赌场或其他旅行相关住宿促销的网站。可能包括节日和游乐园。
暴力与仇恨	宣传暴力行为或描绘无理的死亡、血腥或身体伤害图像的网站
网络托管 *	网络托管提供商
网络邮件	提供基于网络的电子邮件
Web 代理	提供有关 Web 代理的信息、服务或下载的网站，通常用于尝试绕过 URL 和内容过滤器的方法