概念验证：Citrix通讯Citrix Secure工作区Access安培互联网访问

概述

Citrix安全上网提供了完整的云交付安全堆栈,可在不影响员工体验的情况下保护用户,应用程序和数据免受所有威胁。本概念验证(PoC)指南旨在帮助您在Citrix云环境中快速配置Citrix安全上网。在本 PoC 指南的末尾，您可以使用 Citrix Secure Internet Access 保护 Citrix Secure Workspace Access 部署。您可以允许用户使用直接互联网访问 (DIA) 访问应用程序，而不会影响性能。

范围

在本概念验证指南中,您将体验Citrix管理员的角色,并在组织的安全工作区访问部署和企业拥有设备的Citrix安全上网之间创建连接。

本江南展示了如何行行程

• 登录Citrix安全互联网接入(相)
• 将csia安全组与域域中连接
• 配置塞西亚云平台的定理器材设置
• 配置网络安全策略以允许/拒绝通过相控制台访问某些网站或类别。
• 将策略应用于安全组
• 下载相代理(云连接器)
• 通过代理策略配置相代理(云连接器)
• 手动配置相代理(云连接器)(可选,仅限窗口)
• 通过广告组策略将相代理(云连接器)部署到企业Windows设备
• 通过端点管理解决方案将相代理(云连接器)部署到企业设备
• 将相代理(云连接器)手动部署到公司设备

必备条件

• 微软Windows 7、8、10 (x86, x64和ARM64)
• Microsoft Server 2008 R2, 2012, 2016, 2019
• 微软。net 4.5或更高版本
• PowerShell 7(仅适用于Windows 7)
• 以下防火墙规则

网

端口/防火墙设置

相- >出站

源	目标	协议	端口	说明
CSIA.	ibosscloud.com	TCP	80	管理和自我定义块块
		TCP	443	通过HTTPS和代理身份验证通过HTTPS检索PAC脚本
		TCP	7443	用于通过HTTPS检索PAC脚本的替代端口
		TCP	8009	用来治理连接的替代端口
		TCP	8015	通过HTTP进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于Android企业的云分类端口
		TCP	8080	默认区块页面
		TCP	10080.	通过HTTP检索PAC脚本
CSIA.	api.ibosscloud.com	TCP	443	通过HTTPS和代理身份验证通过HTTPS检索PAC脚本
		TCP	7443	用于通过HTTPS检索PAC脚本的替代端口
		TCP	8009	用来治理连接的替代端口
		TCP	8015	通过HTTP进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于Android企业的云分类端口
		TCP	8080	默认区块页面
		TCP	10080.	通过HTTP检索PAC脚本
CSIA.	账户.iboss.com	TCP	443	通过HTTPS和代理身份验证通过HTTPS检索PAC脚本
		TCP	7443	用于通过HTTPS检索PAC脚本的替代端口
		TCP	8009	用来治理连接的替代端口
		TCP	8015	通过HTTP进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于Android企业的云分类端口
		TCP	8080	默认区块页面
		TCP	10080.	通过HTTP检索PAC脚本
CSIA.	客户相节点-swg.ibosscloud.com	TCP	443	通过HTTPS和代理身份验证通过HTTPS检索PAC脚本
		TCP	7443	用于通过HTTPS检索PAC脚本的替代端口
		TCP	8009	用来治理连接的替代端口
		TCP	8015	通过HTTP进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于Android企业的云分类端口
		TCP	8080	默认区块页面
		TCP	10080.	通过HTTP检索PAC脚本
CSIA.	客户相节点-reports.ibosscloud.com	TCP	443	通过HTTPS和代理身份验证通过HTTPS检索PAC脚本
		TCP	7443	用于通过HTTPS检索PAC脚本的替代端口
		TCP	8009	用来治理连接的替代端口
		TCP	8015	通过HTTP进行代理验证
		TCP	8016	代理身份验证的替代端口
		TCP	8026	适用于Android企业的云分类端口
		TCP	8080	默认区块页面
		TCP	10080.	通过HTTP检索PAC脚本

Citrix安全互联网接入(相)云配置

在本节中,我们重点介绍管理控制台中相的配置。

登录Citrix安全上网

1. 登录Citrix云并访问安全互联网访问磁贴。
   

2. 选择配置选项卡，然后单击打开Citrix新航配置以访问配置控制台。
   

配置Citrix安全上网PAC设置

1. 在配置选项卡中，导航至位置和地理映射。
   
2. 在区域选项卡上，单击编辑默认区域。
   
3. 单击PAC设置。
   
4. 如果必须绕过域，请使用添加函数。
   
5. 以下是推荐添加到PAC文件的Citrix域名和子域名:
   ⋅cloud.com & *.cloud.com
   ⋅citrixdata.com和.citrixdata.com
   ⋅citrixworkspaceapi.net＆* .citrixworkspaceaeapi.net
   ⋅citrixworkspacesapi.net & *.citrixworkspacesapi.net
   ⋅citrixnetworkapi.net & *.citrixnetworkapi.net
   ⋅nssvc.net & *.nssvc.net
   ⋅xendesktop.net & *.xendesktop.net
   ⋅cloudapp.net & *.cloudapp.net
   & * .netscalergateway.net⋅netscalergateway.net
6. 请注意显示的节点是“node-clusterxxxxxx-swg.ibosscloud.com: 80”。这必须与节点集合管理中客户的SWG节点匹配
   

将csia安全组与域域中连接

连接到citrix安全互联网接入（CSIA）的用途将通道其当前用品登录和设备集成的组与csia云平台上衣的安防关键词，允许您以类似于组织内有安全性的方便策略和限制。

将域组信息集成到相云平台的策略是编辑安全组以匹配向该平台报告的域组的别名。

集成示例

为之演示此概念概念的执情况，让我们将窗口使用的域凭映射到到云云平台上的安全。

1. 在目标计算机上打开命令提示符,然后运行命令“网络用户(用户名)/域”
2. 收集域控制器报告的组别名。
   
3. 转到相云平台,然后编辑组名称或别名，使其与域用户报告的其中一个组对应。
   
4. 现在,当集成域组中的用户向相云平台进行身份验证时,他们会自动分配给相应的安全组。

配置塞西亚云平台的定理器材设置

1. 导航到”管理和缓存“模块。
   
2. 将启用代理设置设置设置为是。
   
3. 将用户身份验证方法设置为本地用户凭据 + 云连接。
   
4. 单击保存。
   

配置网络安全策略

在本节中，我们重点介绍管理控制中CSIA网络安全的配置。我在网上类别上的主要主要。

将策略应用于安全组

1. 导航到网络安全模块。
   
2. 对于具有基于组的实施的Web安全策略,该策略的配置窗体上方的页面顶部会显示一个下拉菜单。此下拉菜单的状态指示您当前正在查看哪个组的策略配置。
   
3. 单击组下拉菜单，然后选择要为当前网络安全策略重新配置的组。
   
4. 单击保存，将当前策略的配置仅保存到组下拉菜单中当前选定的安全组。
   ⋅注意：如果您希望将这些设置设置使用更多
5. （可选）单击保存到多个组将打开一个窗口，允许您将当前策略的配置同时分配给多个安全组。
   
6. 单击要应用当前策略配置的任何安全组的相应复选框。
   
7. 单击添加将选定的安全组加加到配置组。
   可以重新配置组以仅接受当前已应用的配置更改，也可以接受并覆盖当前策略的所有配置设置。
8. 默认选择为“应用更改的设置”，它应用您配置的更改。选择此选项可覆盖指定安全组的所有已配置设置。
   
9. 单击删除或删除所有选定进行配置的组，可以删除单位组，单位全部删除。单击保存以确认将配置应用于所有指定的安全组。
   

网站分享

根据域的内容使使用网页类别进行。访问过的网站的类别记录在“报告和分享”中。

分类操作

您可以将操作与Web类别相关联。这使您能够快速部署安全策略,同时最大限度地减少允许或阻止单个URL的需要。可能的操作包括”允许”,“阻止”,“隐身”,“软覆盖”或“启用SSL解密”。

1. 每个类别都可以有独立于其他类别应用的操作。

   操作	说明
   允许	允许用户访问此类别的网站。允许是所有类别的默认状态。
   阻止	阻止访问特定类别的网站。
   隐身	在日志中将该类别的传输为主，但但允许访问站点。
   软覆盖	向用户显示阻止页面，但包含暂时绕过阻止的选项。这允许用户访问被阻止的内容，而无需管理员立即干预。在为网关配置的时区内，软覆盖持续到第二天凌晨 2:00。任何带有软覆盖的块页面在 Reporting & Analytics 中都会显示为 “软封锁”。“ 用户请求软覆盖后，到该 URL 的任何流量都会显示为 “允许”，直到覆盖过期。
   SSL解密	禁用此选项可清除特定类别解的SSL密。这确保了对财务或健康等特定类别的隐私合规性和担忧。此类别的优先级值不适用于此设置。如果一个站点属于多个类别,并且其中任何一个类别都启用了“SSL解密禁用“选项,则不会对该站点进行解密。
   锁定	当主管理员将某个类别锁定为“允许”或“阻止”状态时,委派管理员将无法登录到Web网关管理界面并更改该类别的状态。
   类别替代	激活类别覆盖时,委派管理员无法登录Web网关管理界面并向允许列表中添加与此类别的规则相矛盾的URL。例如,“艺术”类别被阻止并设置为“覆盖”,因此委派管理员无法将art.com添加到该组的“允许列表”。

2. 单击每个图标可切换相应的Web类别的操作。
   

3. 您希望通常应用于所有Web类别的操作可以使用“操”作下拉菜单来实现。
   
   注意：小心”未评级”类别,因为它与许多未分类的网站相匹配

类别优先级

如果域与多个类别关联，则通过比较类别的优先级值来确定操作。优先级值较高的类别优先。

示例:

1. 域姓被归类为政府和黑客攻击。在网络类别配置中，允许政府的权重被封锁，而黑客攻击则封锁，重黑客则被封锁，尺寸为200。
2. 由于具有较高优先级值的网页类类的阻止阻止作用，用来访问该域时将被被。
3. 单击优先级值字段，然后输入数值以重新配置类别的优先级。优先级值的可配置范围为 0-65535。

其他设置

与网页类别相关性“其他设置”下的切换进行配置。如果将切换配置为“是”,将切换配置为“否”时,将启用该设置。有关所有可用Web类别设置的完整说明,请参阅下表:

功能	说明
启用日志	启用和禁用当前被阻止的网站类别的违规尝试记录。日志报告可以在相报告页面上查看。报告信息包括违规的日期、时间、用户、网站地址和类别。
启用隐身模式	它允许你在不阻止访问被禁网站的情况下隐蔽地监控互联网活动。启用日志记录和隐身模式后，您可以通过查看 CSIA 报告页面上的日志报告来监控互联网网上冲浪活动，同时保持网络上的互联网用户不注意。注意：当 Web 类别的操作配置为隐身模式时，不会阻止网站和在线应用程序。
在非标准端口上启用HTTP扫描	如果启用此功能，csia会扫描非标准端口上的http web请求。
允许旧版HTTP 1.0请求	如果启用此功能,相允许缺少“主机”标头的HTTP 1.0请求。禁用此功能可提供更高级别的安全性，并使绕过安全性变得更加困难。如果启用此功能,它可能会提供与较旧的非HTTP 1.1兼容软件的兼容性。
启用ID盗窃/ IP地址URL阻止	当有人上图通讯网页钓窃取窃取您的妇女信仰时，通讯通道您，防止ー潜此还您企企。
启用阻止的站点覆盖	启用此功能将激活软覆盖操作，允许用户继续访问属于阻止类别的站点。当此设置处于活动状态时，系统会警告用户页面已被阻止，但会提供一个按钮以继续操作。
自动对未分类网站进行分类	当此切换为“是”时,任何未分类的站点都会自动提交进行分类。注意：如果此切换设置为 “是”，则可能会为未分类站点分配 “信息” 的 Web 类别或其他此类名称。这只有在适当分类时才有效。当此开关设置为否时，未分类将自动指定为 “未评级”，该选项被控制为自己的 Web 类别。

分类调度

还可以按每周高级计划配置阻止事件，以允许在特定时间进行访问。

1. 将将类别计划为允许使用高级计划选定的类别以启用计划功能。单击高级计划开始计划被阻止的类别。
   
2. 可以将当前的高级计划配置为应用于所有阻止的类别，也可以仅适用于特定的阻止类别。
   
3. 每周的每一天都可以委派该类别允许使用的特定时间段。这些特定的时间段由蓝色矩形表示。
   
4. 最终确定特价别的计划后，您可以再次单位类别下拉的地票，然后选择要配置的新闻别。
5. 单击保存以确认所有计划配置。
   

允许列表

允许列表有选择地提供对特定网站或网络资源的访问权限。此功能使您能够覆盖安全策略并允许某些用户访问网站。特别是,您可以使用此功能授予对否则被阻止的域的特定URL的访问权限。这有时被称为“打孔”。

将URL添加到允许列表

1. 导航到网络安全策略。
2. 在下拉菜单中，单击允许列表。
   
3. 从列表列表分上方，单位URL L / IP范围。
   
4. 键入域，子域，网址，IP地址或IP范围。这是唯一的必填字段，但可以指定许多其他条件。
5. 从列表右侧，单击+ 添加。该条目现在已添加到列表中。

刮工具

允许列表部分包括方便的抓取工具。使用此选项可快速识别网站使用的所有域名。在现代网络中，许多网站使用来自其他域的资源，而这些资源并不是立即明显使用 Spepe Tool，它们很容易被揭示并添加到允许列表中。

Spepe工具的另一个用途是选择性地只允许网站的某些部分,同时不允许不需要的内容,例如广告服务器。

1. 从列表列表分上方，单位抓取。
   
2. 输入要抓取的URL，然后单击扫描。
   
3. 选择要添加到允许列表的域，然后单击添加选定内容到允许列表。
   

关键字阻止列表/允许列表

关键字过滤用于检查特定词语的URL。如果识别了关键字，则可以允许或阻止该内容。

将URL添加到阻止列表/允许列表

1. 导航到网络安全策略。
2. 在下拉菜单中，单击关键词。
   
3. 在“关键字“字段中输入要阻止的关键词，然后指定适用于此关键字的名称。单击添加。
   

选项	说明
允许关键字	如果单词位于关键字参数内的URL中,则选中此选项允许该单词。
高风度	搜索任何指定为“高风险”的词语时,会向组管理员发送电子邮件通知。
通配符匹配	使用后，即使关键词只较大单位的子字，也会对其进行过滤。例如，关键词“基础”的通讯匹配阻止包含“基本”或“棒球”的搜索“的搜索。”，它只会阻止“基础”。“
全局	选中后，此选项将跨所有安全组。删除“全局”条目时,它会从所有过滤组中删除该条目。

预定义的关键字列表

您可以为之为预定义的成人和高风光关键词词列表列表列表筛选，也可驾驶更多的是

预定义的关键词列表包含常见的成人和高风险关键词通配符匹配将应用于这些列表中的所有关键字。通配符匹配可识别URL中任意位置的关键字字符序列,包括主机名。CSIA.云平台的 “报告和分析” 功能检测到高风险关键字时，高风险列表会向警报电子邮件的收件人生成一封电子邮件。

1. 要启用任何一个关键字列表，请将成人或高风险切换设置为是。单击保存。
   

Citrix安全上网代理配置

在本节中,我们重点介绍Citrix安全互联网接入(相)代理的配置和安装。

配置CSIA管理下载（云连接器）

1. 在CSIA管理员中，转到将设备连接到云>云连接器。
   
2. 单击配置连接器下载。
   
3. 单击使用HTTP PAC下拉菜单，然后选择否。
   （注意：如果您想使用HTTPS进行PAC下载,请使用HTTP PAC到“否”）
   
4. 单击安克，然后为此特定安装文件下载选择所需的默认安全组。
   
5. 将其余连接器下载设置保留为默认值，然后单击保存
   

配置CSIA代理高压器材设置（云连接器）

1. 从csia管理员，转到将制备连接到云>云连接器>高层仪器设置。
   
2. 在全局设置下启用以下内容：
   ⋅启用安全云连接器筛选
   ⋅将自动登录云连接器配置为使用组密钥
   ⋅使用会话加密
3. 在源IP日志记录下启用-使用客户端的私有来源IP(如果可用)。
4. 在组特定设置下，验证是否选择了正确的组，然后单击保存。
   

下载Citrix安全上网代理(云连接器)

1. 在相管理控制台中,转到云连接器将设备连接到云> >下载连接器。
   
2. 在“Windows云连接器”下,单击”下载并全部下载”。
   
   msi安装软件包可以直接从相管理员控制台下载。在开始安装之前，请确保为 Windows 和处理器体系结构的版本使用了正确的软件包。

平台	软件包
Windows 10 ARM64	ibsa64-win10-arm64.msi
Windows 10 x64, Windows 8 x64 Windows Server 2019或Windows Server 2016	IBSA64-WIN8.MSI.
Windows 10 x86或windows 8 x86	ibsa32-win8.msi
Windows 7 x64, Windows Server 2012或Windows Server 2008 r2	ibsa64.msi
Windows 7的x86	ibsa32.msi

在相管理控制台中配置相代理策略

1. 从csia管理控制台，转到将设备连接到云 > 代理策略。
   
2. 单击加加管理策略。
   
3. 为您的代理策略提供名称，然后选择加加管理策略。
   
4. 要配置配置，请单击编辑代理策略。
   

5. 单击客户端设置并设置推荐的设置。
   

   公司无助装置的推荐设置

   设置	推荐值
   多用户模式：	禁用多用户/终端服务器模式-启用以在运行终端服务器时支持多个用户会话。即使用户未同时登录，也必须为终端服务器启用此功能。
   使用计算机名称作为用户名：	汉语 - 用上名为Isp.ysne作用。
   使用隐喻作为用户名:	使用设置 - 使用安全全定理器（SAM）帐户名，例如域\例如域\例如域。
   重定向所有端口：	启用设置
   绕过私有子网：	启用设置
   俘虏门户检测：	禁用设置
   已启用自动更新：	启用设置
   自动新新版本级别：	级别 1-成熟
   启用Windows桌面应用程序:(代理程序未运行多用户部署)	启用设置
   允许最终用户禁用安全：	禁用设置
   需要密码才能禁禁用安：	启用设置
   需要密码才能查看诊断信息:	启用设置

6. 单击动态链接，然后然后选择分享到的策略。
   
7. 单击保存。
   

（可选）手动配置Citrix安全上网代理

仅仅使用通过orca编辑用于windows .msi的csia监位，仅用于故障排除。

虎鲸。msi在窗户云连接器“全部下载”选项中提供

用虎鲸打开msi文件

1. 打开zip文件并安装orca.msi
   
2. 在文件资源管理器程序中找到所需的安装文件。
3. 右键单击msi安装文件。
4. 单击”使用虎鲸编辑”。
   

在兽人中配置msi的属性

1. 双击以打开”属性”表格。
   

2. 可以通过双击属性的”值“字段来编辑每个属性。
   

   公司无助装置的推荐设置

   设置	推荐值
   多用户模式:(PARAM_MULTI_USER_Support)	(0): 禁用多用户模式。使用以在运行终端服务器时支持多个用户会话。即使用户未同时登录，也必须为终端服务器启用此功能。
   终端服务器模式:(PARAM_TERMAL_SERVER_MODE)	(0): 已禁用-这似乎被弃用而支持多用户支持
   将计算机名用作用户名:(PARAM_USE_MACHINE_NAME_FOR_USERNAME)	（0）：已已用 - 用上名称作为用作人类。
   重定向所有端口:(PARAM_REDIRECT_ALL_PORTS)	（1）：已已用 - 将所有端口端口重定原理。
   绕过绕过已有子网:( param_bypas_private_subnetes）	(1): 启用旁路
   俘虏门户检测(PARAM_CAPTIVE_PORTAL_CAPTAL_CETIENT):	（0）：已已用
   已启用自动更新:(PARAM_AUTO_UPDATE_ENABLE)	(1):已启用——要自动更新云的连接器。
   升级后重新启动:(PARAM_RESTART_AFTER _UPDATE)	（0）：已禁用 - 不再更新动力。

3. 在兽人中,单击保存图标以保存对Windows云连接器参数所做的更改。
   
   注意：确保仅使用此方法（不使用另存为）将文件保存在兽人中。如果未以这种方式保存Windows云连接器,则会导致其功能出现问题。

Citrix安全上网代理(云连接器)部署

Citrix建议对于相PoC,您只能将相代理安装到公司设备。

通讯广告组策略将将将将源部署到到业窗口

创建分发点

1. 在充当文件服务器的广告加入的计算机上创建文件夹。
2. 将相剂msi软件包保存在该文件夹中。
3. 右键单一新创建的文件夹，选择属性。
4. 转到“共享”选项卡。
5. 选择“高级共享”。
6. 使用“共享此文件夹”。
7. 在“共享名词”下的“设置”中，在Csia Agent文中文名称之后加加＄。（例如.sia_agent $）。
8. 选择应用。
9. 然后关闭。

创建组策略对象

1. 打开组策略管理。
2. 右键单一组策略对象。
3. 选择新建,然后命名新GPO(例如:部署相代理)。
4. 右键单一上方新闻的组策略，选择选择。
5. 开软件设置文件夹。
6. 选择软件安装。
7. 在右侧面板中右键单位。
8. 选择”新建”。
9. 选择”包裹”。
10. 在相应的窗口中,键入包含相剂msi包的相代理文件夹的位置(文件路径)。
11. 选择MSI。
12. 选择”打开”。
13. 在“部署软件“窗口中,选择“选择部署方法”下方的“高级”。
14. 在部署下，选择…时卸载此应用程序。（这意味着当终端节点节点运行Gpupdate并且塞西亚管理已删除删除时，它也会从终端节点中删除）。
15. 选择确定并关闭。

通过Citrix端点管理解决方案向企业设备部署相代理

安装窗户驾驶

1. 在端点管理控制台中,导航到配置>实用程序。单击添加。
2. 单击企业。
   
3. 在同时使用程序信息页面上，配置以下内容：
   ⋅名称：键入应用程序的描述性名称。该名称显示在“应用程序”表格的“应用名称“下
   ⋅描述：键入应用程序的可选描述。
   ⋅应用程序类别：或者，在列表中，单击要添加应用程序的类别。
4. 单击下一篇。此时将显示应用程序平台页面。
5. 选择平坦：Windows桌面/平台电视。
6. 在Windows桌面/平台电脑企业实用管理内部上传并导航到该文件。
7. 配置以下设置：
   
8. 根据需要指定部署规则并存储配置。
9. 单击”下一篇“直到进入“摘要“页面,然后单击”保存”。
10. 在端点管理控制台中,导航到配置 > 交付组。选择要配置的交付组，然后单击应。
11. 将所需的应用程序拖动到必需实用程序框中。
    
12. 在“摘要“页面上,单击”保存”。

用于通过第三方UEM部署相代理

有关部署msi文件的信息,请参阅统一端点管理文档。

安装macOS代理

1. 在端点管理控制台中,导航到配置>实用程序。单击添加。
2. 单击企业。
   
3. 在同时使用程序信息页面上，配置以下内容：
   ⋅名称：键入应用程序的描述性名称。该名称显示在“应用程序”表格的“应用名称“下
   ⋅描述：键入应用程序的可选描述。
   ⋅应用程序类别：或者，在列表中，单击要添加应用程序的类别。
4. 单击下一篇。此时将显示应用程序平台页面。
5. 选择平坦：macOS。
6. 上传PKG文库（MACOS）并并成配置。单位下一篇。
   
7. 单击”下一篇“直到进入“摘要“页面,然后单击“保存”。
8. 在端点管理控制台中,导航到配置 > 交付组。选择要配置的交付组，然后单击应。
9. 将所需的应用程序拖动到必需实用程序框中。
   
10. 在“摘要“页面上,单击”保存”。

用于通过第三方UEM部署相代理

有关部署. pkg文件,请参阅统一端点管理文档。

通过手动将相代理部署到公司设备

安装窗户驾驶

1. 打开Windows计算机并登录。
2. 为您的平台安装适当的csia代理.msi软件包。
   

安装macOS代理

1. 导航到并在Finder中打开已下载的档案。
2. 打开安装包文件。
3. 完成安装过程。

验证的使用案例

通过相代理进行相网站过滤

Citrix工作区应用程序启动

1. 未未用品增强安全性的SaaS实用程序通讯CSIA策略受到保护
2. 启用了增强安全性的SaaS应用程序通过相策略受到保护
3. 未启用增强安全性的内部网络应用程序通过相策略进行保护
4. 启用了增强安全性的内部网页使用程序通讯CSIA策略受到保护

Citrix工作区HTML启动

1. 未未用品增强安全性的SaaS实用程序通讯CSIA策略受到保护
2. 使用了增强安全的SaaS使用程度不受相政策的保护
3. 未启用增强安全性的内部网络应用程序通过相策略进行保护
4. 启用了增强安全性的内部网络应用程序不受相政策的保护

通过浏览器扩展Citrix工作区

1. 未未用品增强安全性的SaaS实用程序通讯CSIA策略受到保护
2. 使用了增强安全的SaaS使用程度不受相政策的保护
3. 未启用增强安全性的内部网络应用程序通过相策略进行保护
4. 启用了增强安全性的内部网络应用程序不受相政策的保护

故障排除

故障排除的重要工具

1. 窗户事件日志
2. 相实时控制面板（报告和分享>逐时日志）
3. CSIA事件日志（报告和分析 > 日志 > 事件日志）
4. 相IPS日志(报告和分析>日志> IPS日志)
5. 已连接设备的注册信息（用户、组和设备 > 云连接设备 > 信息）
6. URL查找工具（工具> URL查找）
7. 增强的日志记录
   ⋅要设置此设置,必须更改以下注册表项,从0到4变化,越高,提供更详细的日志记录。
   ⋅IBSA HKEY_LOCAL_MACHINE \ SOFTWARE \伊博人\ \ \ LogLevel参数
   ⋅重新动动窗口项i windows事件级别设置设置生长。
8. Windows代理日志(C: \ Windows \ SysWOW64 \ ibsa_0.log)

关键词

CSIA云平台的常务和许有更多策略和量子会干扰正式阻止阻止已已的键字参阅以内容;

1. 确保本网站的SSL解密处于活动状态。HTTPS网站无法观察或控制关键词。
2. 如果客户端工作室的源IP或网页仪器的目标IP已添加到“网络”>“绕过IP范围“列表中,则不会强制执行网络安全控制。
3. 如果在未启用关键字/安全搜索选项的情况下,将网站添加到网络安全>允许列表中,则配置为阻止的关键字不会生效。选中“关键字/安全搜索“复选框后,网络网关允许访问网站,但仍然需要强制执行关键字控制和安全搜索。
4. 关键字包含星号，而是删除星号并激活关键字的通配符匹配（如果这是所需的效果）。
5. 关键字具有多个单词,并且未启用通配符匹配,或者空格未用加号(“+”)表示。
6. 用户与启用了关键字控件的预期网络安全组没有关联。

预定义的关键字列表中的冲突操作

在某些情况下，内置关键字列表中的一个词可能会意外阻止内容。要更正此操作，请编辑特定的预定义关键字列表。当您单击铅笔图标以编辑内置列表时,相云平台界面会显示一页关键字旁边的复选框。要从内置列表中删除关键字，请清除要删除的关键字旁边的框，然后单击保存。要将此操作用于所组，请选中标记为使用于所所的复选框。

识别客户的Citrix安全上网节点

1. 从主页导航到节点集合管理。
   
2. 单击节点组。
   
3. 这为您提供了客户相节点-reports.ibosscloud.com和客户相节点-swg.ibosscloud.com节点群集。

Splunk与Citrix安全上网节点集成

Splunk服务器设置

1. 导航到Splunk服务器实例,然后单击页面顶部的设置链接,然后单击”数据“子部分下的数据输入链接。
   
2. 单击“UDP”部分右侧的添加新链接。
   
3. 在“端”口字段中输入端口(如果可能的话,高于1023年,以避免操作系统的安全限制)。在“仅接受来自连接”字段中,输入相报告程序节点的IP地址。如果在此字段中未输入任何内容，则接受来自所有主机的连接。完成后,单击”下一篇”。
   
4. 在下一页上，单击选择源类型并键入“syslog”,然后选择它。
   
5. 将应用程序上下文更改为搜索和报告（搜索）。
   
6. 将主机方法更改为知识产权。
   
7. 单击查看（查看当前配置），然后单击提交。
   

相报告和分析模块设置

1. 导航到伊博人云平台界面中的报警和分类>日本批发>从作者转发。
   
2. 在Splunk集成下，单击操作，然后单击加载器。
   
3. 将Splunk服务器的地址/主机名添加到“主机名”和Splunk服务器上选择的端口号。接下来,在下拉菜单”Splunk集成协议”中,选择协议。添加Splunk服务器时可用的选项如下所示:
   
4. 您您可将夹夹仪器的集成协议为hec。目前用hec协议配置与夹在何种集从splunds的配置中获取hec令牌。将检索到的令牌放入。令牌字段中。
   
5. 如果为Splunk日志实施ELFF日志格式，则Splunk集成ELFF批量大小字段可供配置。配置的默认值为100.。
   
6. 设置 > 外部日志记录的“Splunk集成“部分下提供了名为“接受所有SSL证书”的开关。如果使用非标准SSL证书(例如自签名证书或由不受信任的根CA签名的证书),请将此开关切换为“是”以绕过SSL证书验证,否则保持关闭。
7. 从“日志格式”下拉菜单中选择传送日志数据的格式。最后，切换界面底部的一个或多个按钮以选择所需的日志记录信息类型。单击”保存“按钮以更新更改。日志记录立即开始。在Splunk 实例上执行搜索，以检查数据是否正确发送和索引。请参阅下面的示例输出。
   

更改代理端口

相代理端口可能会更改,但是您不能尝试将代理端口更改为网关用于其他服务的端口。

不能使用的端口包括：53、139、199、443、445、953、1080、1344、5432、6001、7009、7080、7443、8008、8016、8025、8026、8035、8036、8035、8036、8080、8200、8201、9080、9443、17500、22022

所有其他端口都是默认端口的可接受替代方案。

1. 导航到代理和缓存 > 代理设置
   
2. 在“设置”选项卡下,在“代理端口”字段中输入代理侦听流量的所需端口号。
   注意：在其他平台功能中配置代理设置时，将使用为此设置配置的端口。由于预先配置的网关服务，某些端口可能无法分配给此设置。
   
3. 单击”保存“以应用此更改。
   

附录

主要分类列表

注意：请注意“未评级”类别,因为它与许多未分类的网站相匹配。

类别	说明
堕胎*	与堕胎相关的网站
广告	除了在线优惠券、广告销售、优惠券、优惠和优惠之外，还用于分发广告图形或内容的网站
成人内容	包含面向成人的材料的网站。此类别中的网站不包含任何裸体，但确实有亵渎和粗俗的内容。自我认为不适合 18 岁以下人群的网站属于此类别。
酒精/烟草	包含酒精和烟草内容的网站。此外，还包括酒吧等与酒类相关的网站。此类别中的网站不包含非法药物，但可能会讨论、鼓励、推广、提供、出售、供应或以其他方式倡导使用或制作酒精/烟草。
艺术	包含包含术或讨论讨论艺术的网站，包括博物。可博物。可能包括可打印的着色书，雕塑，马赛克，纹身，书法，繁体，绘画，涂鸦，基于宗教设计，动词绘画，艺术设计
拍卖	与商品和服务拍卖和竞价相关的网站，包括在线和现场
音频和视频	除除销售此的网站外，还包含流媒体或可下载音频/视频内容（如mp3，影片mp3s，影片影片和电池节目）的网站。
工商企业	代表企业在线形象的站点。可能参与公司与消费者之间的商业或购买和销售产品和服务的活动。包括制造商、生产商、供应商、经销商、分销商、批发商、零售商、家族企业和任何其他面向企业的实体。
CDN *	内容交付网络(CDN)和与CDN相关的站点
约会和交友	提供约会服务或帮助建立浪漫关系的网站
字典	包含大量信息和知识的网站。除了时钟、计算器、计时器和模板等实用程序外，还包括维基、词汇词典、地图、人口普查、年鉴、图书馆目录、系谱相关网站、科学信息和目录等资源。
药物	包含与安非他明、巴比妥类、苯二氮卓类、可卡因、名牌药、迷魂药、海洛因等非法药物相关内容的网站。不提及大麻/大麻
药物-受控 *	与受管制药物和药物相关的网站
动态DNS *	使用动态DNS服务将其域名映射到动态IP地址的站点。
教育	除了提供供出售或参考的教育材料的网站之外，还提供教育服务（例如学校和大学）的网站。包括提供教育或贸易/职业/职业学校和计划信息的网站。还包括由学校、教育机构、教师或校友团体赞助的网站。
娱乐	包含或推广电视、电影、杂志、广播、书籍、食品、时尚和生活方式的网站。更具体地说，提供有关流行文化的信息或宣传流行文化的网站，包括（但不限于）电影、电影评论、讨论、电影预告片、票房、电视、家庭娱乐、音乐、漫画、平面小说、文学新闻和评论，以及其他以娱乐为导向的网站期刊、访谈、粉丝俱乐部、名人八卦、播客、音乐和电影图表、节目、事件、报价、模因、歌词、音乐家、乐队、戏剧艺术、戏剧、歌剧、乐队。
极端 *	包含强烈粗俗，图片，令人震惊或恶心的内容的网站，这些内容会被认是对大多数人极冒犯性。
文件共享	提供在线文件存储、文件共享、设备间文件同步或基于网络的数据备份和恢复的服务的站点。这些服务可能提供在虚拟数据存储中上传、下载、粘贴、组织、发布和共享文档、文件、计算机代码、文本、非版权限视频、音乐和其他电子格式化信息的方法。此外，此类别涵盖了分发软件以促进用户之间直接交换文件的服务。
财务	包含有关银行、财经新闻和提示、股票市场、投资、信用卡、保险和贷款内容的网站。
食	除了列出、审查、讨论、宣传和推广食品、餐饮、餐饮服务、烹饪和食谱的网站之外，还包含与餐厅、食品、餐饮相关内容的网站。
论坛	包含留言板、在线聊天室和讨论论坛的网站
免费软件/共享软件 *	与分发免费软件和共享软件相关的网站
友谊	包含柏拉图友谊相关材料和社交网站的网站。
赌博	宣传或包含赌博相关内容的网站，例如在线扑克和赌场、体育博彩和彩票。用户可以下注或参加博彩池、彩票或接收此类活动的信息、帮助、建议或培训的网站。此类别不包括销售赌博相关产品的网站或线下赌场/酒店的网站，除非它们符合上述要求之一。
游戏	包含在线游戏或提供有关电子游戏、家用视频游戏和游戏机、电脑游戏和角色扮演游戏的服务和信息的网站。还包括游戏指南/秘籍和配件
政府	由由机械（包括军事和政治组织）赞助或代表其代表的网站有关税收，紧急服务和各政府体还包括提供收养，还包括提供收养，收养信，移民信息和移民服务的网站。
枪支和武器	宣传、销售或提供有关枪支、刀具和其他武器信息的网站
黑客 *	与黑客和黑客工具相关的网站
运行状况	包含与健康，疾病和疾病相关内容的网站，包括医院，医生和处方向，包括主要关键词研究的网站。户外，还提供有关一般来说的建议和信仰的网站，例如健身和福音，孙人健康，医疗服务，非非方向和方方药，合法和致法含有的健康影响，替代和补充法，牙科，验光艺术和精密学。
幽默 *	主要与笑话、幽默或喜剧相关的网站
非法活动 *	在大多数国家，与非法活动或活动相关的网站
图片/视频搜索	用于图像和视频搜索的网站，包括共享媒体（例如，照片共享），并且包含成人或色情图形材料等令人反感的内容的风险较低。
参考信息	包含区域信息或建议等信息内容的网站
信息安全*	包含与信息安全相关内容的网站
互联网通信	与互联网通信和VOIP相关的网站
物联网*	与物联网和物联网设备相关的网站
作业	包含求职引擎和其他材料的网站，例如寻找工作的建议和策略。
孩子 *	主要与儿童和年轻人相关的网站
恶意软件内容*	包含恶意软件、病毒或恶意软件、软件黑客攻击、非法代码和计算机黑客相关材料的站点常见的做法是阻止所有组的恶意软件类别。
大麻 *	与生产、使用或销售大麻有关的网站
消息 *	与即时消息和聊天相关的网站
手	销售或提供有关移动（蜂窝）电话的信息和服务的网站
新闻	提供最新新闻和活动的网站，包括在线报纸。主要报告有关当日事件或当代问题的信息或评论的网站。还包括新闻电台和新闻杂志。可能不包括可以更好地被其他类别捕获的网站。
裸露*	包含任何形式裸体的网站
在线会议*	与在线会议或举办在线会议软件相关的网站
组织	包含与促进慈善志愿服务的组织（如非营利组织、基金会、协会、社区、机构）相关内容的网站。还包括公认的选美活动（地球小姐）、男孩/女童子军以及培养慈善或救济工作的机构。
P2P *	与点对点（P2P）文章共享相关的站点
停域	已停放的站点，这意味着域名与任何服务（如电子邮件或网站）无关联。这些域名通常被列为“待售”。”
网络钓鱼 *	网络钓鱼和钓鱼活动中使用的网站和网站
盗版*	与数字盗版相关的网站
政治	包含政治内容的网站，包括代表政治组织或组织宣传政治观点的网站
色情 - 孩子	包含以成人为导向的内容的网站，包括以儿童为特色的色情图片和材料，或者似乎以儿童为特色。
色性/裸体	包含以成人为导向的内容的网站，包括色情露骨的图形和材料。包括裸体艺术品、性商店和带有裸体广告的网站、裸体游戏
私人网站	何人创建的网站网页包含包含人表达方式，例如博客，孙人日记，体育或兴趣
专业	提供专业，无形产品或专业的网站（而不可能商品）。包括个人或团队为之了的服务包括，维修，会议，银行，咨询林美化，教育，保险，治疗和普通服务。户外，还包括在线，在线辅导，舞蹈，驾驶，武术，乐器课程和文章。
房地產	专题储蓄地产的网站，包括包括人，租赁住宅和办公主以及以及地产信息
宗教	宣传或提供有关宗教信息和函件的网站
远程访问工具 *	远程访问工具，例如屏幕共享服务
诈骗*	与诈骗相关的网站
搜索引擎	用词于网站的网站
性爱德	包含与性教育有关的内容的网站。内容可能是图形化的，但旨在提供有关生殖过程、性发展、安全性行为、性行为、节育、改善性行为的提示和性增强产品的信息。
购物	用于购买消费品的网站，包括在线拍卖和分类广告。包括活动门票
垃圾邮件*	与垃圾邮件相关或用于垃圾邮件活动的网站
体育	与体育和活跃爱好相关的网站。除了钓鱼、高尔夫、狩猎、慢跑、划独木舟、射箭、国际象棋等活跃的爱好之外，还包括有组织的、专业和竞技的运动。
流流体手机/电阻	包含直播或电视内容的网站
自负*	与自杀有关的网站，包括自杀信息
怀疑 *	不一定包含恶意软件或恶意内容但由于某些属性而被标记为可疑的站点。伊博人的恶意软件分析将这些站点归类为“不安全”,即使未检测到恶意软件也是如此。网络请求启发式保护(如果处于活动状态)还会将归类为可疑的站点标记。
泳衣	包含性暴露内容但没有裸体的网站。包括购买比基尼、泳装、内衣和其他内衣的购物网站。
技术	包含内容相关技术（包括软件、计算机硬件、技术公司和计算机技术帮助）的站点。此外，赞助或提供有关计算、计算设备和技术、消费电子产品和通用技术的信息、新闻、评论、意见和报道的网站。
恐怖主义/化	以激进团体或运动为特色的网站，具有激进的反政府信念或信仰。
科技基础设施 *	与技术基础设施相关的站
工具栏	为网页浏览器提供工具栏下载的站点
翻译服务 *	提供翻译服务的网站
交通	包含与交通相关的内容的网站。这包括有关火车、公共汽车路线和公共交通的信息，以及销售、推广或与汽车、摩托车、船只和飞机相关的网站的信息。
旅行	提供旅行相关服务或信息的网站，例如在线旅行讨论、规划、旅游、住宿和交通（如航空公司、火车和公共汽车）以及相关的时刻表和票价。推广或提供旅游预订、旅行体验、汽车租赁、旅行目的地描述或酒店/赌场或其他旅行相关住宿促销的网站。可能包括节日和游乐园。
暴力与仇恨	宣传宣传力行为或或描绘定理的死亡，血腥或身体伤害图片的网站
网站*	网络托管提供商
网	提供基于网络的电子邮件
网络代理	提供有关网络代理的信息,服务或下载的网站,通常用于尝试绕过URL和内容过滤器的方法