Proof of Concept Guide: URL Redirection to Secure Browser with Citrix ADC in Azure

Übersicht

Im Folgenden finden Sie die Konfigurationsschritte für die Einrichtung eines ADC, die Konfiguration von SSL Forward Proxy und SSL Interception mit der neuesten Citrix ADC Marketplace-Vorlage. Die URL-Umleitung von ADC zu Secure Browser ermöglicht es Administratoren, bestimmte Website-Kategorien zu definieren, die automatisch vom lokalen Browser an Secure Browser umgeleitet werden. Der Citrix ADC fungiert als Zwischenproxy, um das Abfangen zwischen lokalem Surfen und Internet durchzuführen, wodurch die Webisolierung erreicht und das Unternehmensnetzwerk geschützt wird. Diese Fähigkeit erhöht die Sicherheit, ohne die Benutzererfahrung zu beeinträchtigen.

Konzeptarchitektur

URL-Umleitung zu Secure Browser Service Architecture

Bereich

Dieser Leitfaden für den Machbarkeitsnachweis beschreibt Folgendes:

  1. Secure Browser-Testkonto abrufen
  2. Einrichten von ADC in Azure
  3. Richten Sie die Citrix ADC Appliance als Proxy ein
  4. Einrichten von SSL Interception
  5. Einrichten von Rewrite-Richtlinien und -Aktionen

Schritte für die Bereitstellung

Abschnitt 1: Beziehen eines Secure Browser-Testkontos

Referenzdokument für Secure Browser Service

Fordern Sie eine Testversion von Sec

  1. Navigieren Sie zu Ihrem Citrix Cloud-Konto und geben Sie Benutzernamen und Kennwort ein

  2. Klicken Sie auf Anmelden. Wenn Ihr Konto mehr als einen Kunden verwaltet, wählen Sie den entsprechenden aus

    Melden Sie sich bei Citrix Cloud an

  3. Doppelklicken Sie auf die Kachel Secure Browser

    Kachel für sichere

  4. Wenn Sie wissen, wer Ihr Account-Team ist, wenden Sie sich an dieses, um die Testversion zu genehmigen. Wenn Sie sich nicht sicher sind, wer Ihr Account-Team ist, fahren Sie mit dem nächsten Schritt fort.

  5. Klicken Sie auf Anruf anfordern

    Einen Anruf anfordern

  6. Geben Sie Ihre Daten ein und geben Sie im Abschnitt Kommentare die Testversion des Secure Browser Service an.

  7. Klicken Sie auf Absenden.

    Fordern Sie ein Anrufformular

    Hinweis:

    Citrix Sales wird sich mit Ihnen in Verbindung setzen, um Ihnen Zugriff auf den Service zu geben. Dies ist nicht sofort, ein Citrix Vertriebsmitarbeiter wird sich melden

  8. Wenn Sie die Secure Browser-Testversion genehmigt haben, lesen Sie den Posten a Secure Browser Abschnitt des Citrix Doc, um eine Secure Browser-App zu veröffentlichen.

URL-Parameter aktivieren

  1. Doppelklicken Sie in Ihrem Citrix Cloud-Abonnement auf die Secure Browser-Kachel

  2. Klicken Sie in Ihrem veröffentlichten Browser, in diesem Beispiel “Browser” genannt, auf die drei Punkte und wählen Sie Richtlinienaus

    veröffentlichte Browser-App

  3. Aktivieren Sie die Richtlinie für URL-Parameter in Ihrem veröffentlichten Browser

    Richtlinie für URL-Parameter aktivieren

Abschnitt 2: Einrichten von ADC in Azure

Der ADC kann in jeder Cloud Ihrer Wahl eingerichtet werden. In diesem Beispiel ist Azure unsere Cloud der Wahl.

Konfigurieren einer ADC-Instanz

  1. Navigieren Sie zu Alle Ressourcen und klicken Sie auf + Schaltfläche Hinzufügen, suchen Sie nach Citrix ADC

  2. Wählen Sie die Citrix ADC-Vorlage

  3. Wählen Sie den Softwareplan nach Ihren Anforderungen aus (in diesem Beispiel Bring Your Own License)

  4. Klicken Sie auf Erstellen

    Einrichten von ADC in Azure

Konfigurieren der NIC-Karte

  1. Navigieren Sie zu Alle Ressourcen und wählen Sie die NIC-Karte für die ADC-Instanz

  2. Wählen Sie IP-Konfigurationenaus, notieren Sie sich die ADC-Verwaltungsadresse

  3. Aktivieren Sie die Einstellungen für die IP-Weiterleitung, speichern Sie die Änderungen.

    Konfigurieren von NIC für ADC

Konfigurieren virtueller IP

  1. Klicken Sie auf Hinzufügen, legen Sie virtualip als Namen der neuen Konfiguration fest

  2. Wählen Sie Static aus und fügen Sie nach der Verwaltungsadresse eine neue IP-Adresse hinzu

  3. Aktivieren Sie die Option “Öffentliche Adresse” und erstellen Sie eine neue öffentliche IP-Adresse

  4. Speichern Sie die Änderungen

    Konfigurieren virtueller IP

Richten Sie den FQDN auf dem Client ein

  1. Navigieren Sie zu der für die virtualip Konfiguration erstellten Ressource für öffentliche IP-Adressen

  2. Klicken Sie auf Konfigurationund fügen Sie ein DNS-Label hinzu (in diesem Beispiel urlredirection.eastus.cloudapp.azure.com)

    FQDN festlegen

Einrichten von Netzwerkregeln

  1. Fügen Sie die folgenden Regeln für Netzwerke hinzu

    Regeln für das Netzwerk

    Hinweis:

    Sie können die Ports 22 und 443 nach Abschluss der Konfiguration schließen, da diese Ports nur für die Anmeldung bei der Verwaltungskonsole zu Konfigurationszwecken benötigt werden.

  2. Zu diesem Zeitpunkt ist die ADC-Instanz in Azure eingerichtet

Abschnitt 3: Richten Sie die Citrix ADC Appliance als Proxy ein

Richten Sie den ADC als Proxy ein, um den Datenverkehr vom Clientbrowser zum Internet zu leiten.

Melden Sie sich bei ADC Management Console an

  1. Navigieren Sie zur Citrix ADC Management Console, indem Sie die öffentliche IP-Adresse der Instanz in die Suchleiste Ihres Browsers eingeben

    Hinweis:

    Verwenden Sie in diesem Beispiel die IP-Adresse der Maschine, die Sie in den vorherigen Schritten bereitgestellt haben https://40.88.150.164/

  2. Melden Sie sich bei der Konsole an, indem Sie den Benutzernamen und das Kennwort eingeben, die Sie in den vorherigen Schritten eingerichtet haben

    Melden Sie sich bei Management Console

  3. Klicken Sie auf dem Bildschirm für die Erstkonfiguration auf Weiter

Die Lizenzen hochladen

  1. Navigieren Sie zu System > Lizenzen > Lizenzen verwalten

  2. Laden Sie die notwendigen Lizenzen für ADC hoch.

    Hinweis:

    Die von Ihnen mitgetretenen Lizenzen müssen die in den Schritten 11 und 13 unter Configure Basic Features und Configure Advanced Features hervorgehobenen Funktionen unterstützen (z. B. CNS_V3000_SERVER_PLT_Retail.lic und CNS_WEBF_SSERVER_Retail.lic)

    Lizenzen verwalten

  3. Starten Sie den Server neu, nachdem Sie beide Lizenzen hochgeladen haben.

  4. Melden Sie sich nach dem Neustart erneut bei der Verwaltung an

  5. Navigieren Sie zu System > Einstellungen > Modi konfigurieren

  6. Es müssen nur zwei Optionen aktiviert werden, die Mac-basierte Weiterleitung und Path MTU Discovery

    Modi konfigurieren

    Modi konfigurieren

  7. Navigieren Sie zu System > Einstellungen > Basisfunktionen konfigurieren

    Konfigurieren der Grundfunktionen

  8. Wählen Sie aus: SSL OffloadingLoad Balancing, Rewrite, Authentication, Authorization, and Auditing,, Content Switching, und Integrated Caching

    Konfigurieren der Grundfunktionen

  9. Navigieren Sie zu System > Einstellungen > Erweiterte Funktionen konfigurieren

    Konfigurieren erweiterter Funktionen

  10. Wählen Sie aus: Cache RedirectionIPv6 Protocol TranslationAppFlow, Reputation,, Forward Proxy, Content Inspection, Responder, URL Filtering, und SSL Interception

    Konfigurieren erweiterter Funktionen

Richten Sie den NTP Server ein

  1. Navigieren Sie zu System > NTP Servers > Hinzufügen

    Einrichten von NTP-Server

  2. Erstellen Sie zum Beispiel einen Server pool.ntp.org

    Einrichten von NTP-Server

  3. Aktivieren Sie NTP bei Aufforderung und setzen Sie den Server auf aktiviert

    Einrichten von NTP Serve

  4. Speichern der Aktion “Speichern” der Konfiguration aus dem Managementportal

    Konfiguration speichern

  5. Öffnen Sie SSH Session to ADC Verwaltungsadresse, melden Sie sich mit Anmeldeinformationen an, die Sie bei der Bereitstellung des ADC von Azure verwendet haben

Einrichten von TCP-Profil und vServer

  1. Holen Sie sich das virtualip aus den Schritten in Abschnitt 2 und geben Sie den Befehl ein (in diesem Beispiel 10.1.0.5)

  2. Führen Sie zum Beispiel die folgenden Befehle mit der sslproxy Adresse aus virtualip:

  3. So fügen Sie TCP-Profil hinzu:

    add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE
    <!--NeedCopy-->
    
  4. So fügen Sie einen virtuellen Server hinzu

    add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE
    
    bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver
    
    add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2
    
    set cs vserver sslproxy01 -netProfile proxy-netprofile01
    
    set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend
    
    save ns config
    <!--NeedCopy-->
    
  5. Um die Cache-Einstellungen zu ändern, kehren Sie im Browser zur Verwaltungssitzung zurück

  6. Navigieren Sie zu Optimierung > Integriertes Caching

  7. Navigieren Sie zu Einstellungen > Cache-Einstellungen ändern

    Cache-Einstellungen ändern

  8. Setzen Sie das Speichernutzungslimit auf 250 MB und klicken Sie auf

    Limit für die Speicher

Richten Sie den Client für die URL-Umleitung ein

  1. Auf einem Client, zum Beispiel Firefox

  2. Konfigurieren Sie Ihren Browser-Proxy für virtualip, Public IP oder FQDN: 8080, den Sie in Abschnitt 2 konfiguriert haben (z. B. urlredirection.eastus.cloudapp.azure.com:8080)

    Konfigurieren des Browser-Proxys

  3. Nachdem wir nun einen ADC eingerichtet haben, testen Sie auf jede Website-Konnektivität des Browsers, wobei der ADC als Proxy fungiert.

Abschnitt 4: Einrichten des SSL-Interception

SSL-Interception verwendet eine Richtlinie, die angibt, welcher Datenverkehr abgefangen, blockiert oder zugelassen werden soll. Citrix empfiehlt, dass Sie eine allgemeine Richtlinie zum Abfangen des Datenverkehrs und spezifischere Richtlinien konfigurieren, um einen bestimmten Datenverkehr zu umgehen.

Informationsquellen:

SSL-Interception

URL-Kategorien

Videobeispiel für die Konfiguration

Erstellen Sie einen RSA-Schlüssel

  1. Navigieren Sie zu Verkehrsmanagement > SSL > SSL-Dateien > Schlüssel

  2. Wählen Sie RSA-Schlüssel erstellen

    RSA-Schlüssel erstellen

  3. Wählen Sie den Schlüsseldateinamen und die erforderliche Schlüsselgröße aus

    RSA-Schlüssel erstellen

  4. Sobald der Schlüssel erstellt wurde, laden Sie die .key Datei zur späteren Verwendung herunter

    RSA-Schlüssel erstellen

Erstellen einer Zertifikatsignieranforderung (CSR)

  1. Navigieren Sie zu Verkehrsmanagement > SSL > SSL-Dateien > CSRs > Zertifikatsignieranforderung erstellen (CSR)

    CSR

  2. Benennen Sie zum Beispiel die Anforderungsdatei semesec_req1.req

    CSR-Erstellung

  3. Klicken Sie auf Key Filename > Appliace Der Schlüsseldateiname ist derjenige, der im vorherigen Schritt erstellt wurde, in diesem Beispiel smesec_key1.key

    CSR-Erstellung

  4. Nach der Auswahl des Schlüssels füllen Sie die erforderlichen Felder weiter aus: Allgemeiner Name, Organisationsname und Bundesland oder Provinz

  5. Klicken Sie auf Erstellen

Erstellen Sie ein Zertifikat

  1. Navigieren Sie zu Verkehrsmanagement > SSL > SSL-Dateien > Zertifikate > Zertifikat erstellen

    Zertifikat erstellen

  2. Geben Sie dem Zertifikat einen Namen und wählen Sie die Zertifikatsanforderungsdatei (.req) und den in den vorherigen Schritten erstellten Schlüsseldateinamen (.key)

    Zertifikat erstellen

  3. Klicken Sie auf Erstellen

  4. Sobald das Zertifikat erstellt wurde, laden Sie die .cert Datei für die spätere Verwendung herunter

    Zertifikat erstellen

SSL INTERCEPT-Richtlinie erstellen

  1. Navigieren Sie zu Verkehrsmanagement > SSL > Richtlinien

  2. Klicken Sie auf Hinzufügen

    Erstellen von SSL-Policy

  3. Geben Sie der Richtlinie einen Namen und wählen Sie die INTERCEPT-Aktion

  4. Ausdruck zum Abfangen von Nachrichten:

    client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

  5. Klicken Sie auf Erstellen

    SSL Intercept erstellen

  6. Um die Intercept-Richtlinie an den virtuellen Server zu binden, navigieren Sie zu Sicherheit > SSL Forward Proxy > Proxy Virtual Servers

    SSL proxy01

  7. Wählen Sie in diesem Beispiel den virtuellen Server aus sslproxy01

  8. Wählen Sie SSL-Richtlinien hinzufügen aus und klicken Sie auf Keine SSL-Richtlinienbindung

  9. Binden Sie die Abfang-Richtlinie:

    Richtlinie "Abfangen" binden

Erstellen einer SSL-BYPASS-Richtlinie

  1. Navigieren Sie zu Verkehrsmanagement > SSL > Richtlinien

  2. Klicken Sie auf Hinzufügen

    Erstellen von SSL-Policy

  3. Geben Sie der Richtlinie einen Namen und wählen Sie die NOOP-Aktion aus - es gibt keine BYPASS-Option, siehe nächsten Schritt

  4. Ausdruck zur Bypass der Richtlinie: CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

    Umgehungsrichtlinie erstellen

  5. Navigieren Sie zu Sicherheit > SSL Forward Proxy > SSL Interception Policys

    SSL Umgehungsrichtlinie

  6. Wählen Sie die Richtlinie aus, um sie zu bearbeiten

  7. Aktion von NOOP nach BYPASS ändern

  8. Klicken Sie auf OK.

    SSL Umgehungsrichtlinie

  9. Vergewissern Sie sich, dass die Aktion jetzt BYPASS ist

  10. Gehen Sie zurück zu Traffic management > SSL > Richtlinien, um die Änderung zu überprüfen

    Umgehung der Richtlinie

  11. Um die Bypass-Richtlinie an den virtuellen Server zu binden, navigieren Sie zu Sicherheit > SSL Forward Proxy > Proxy Virtual Servers

    SSL proxy01

  12. Doppelklicken Sie in diesem Beispiel auf den virtuellen Server sslproxy01

  13. Wählen Sie SSL-Richtlinien hinzufügen aus und klicken Sie auf SSL-Richtlinienbindung

  14. Binden Sie die Umgehungsrichtlinie > Hinzufügen

    Schritt 5.7

  15. Klicken Sie auf Binden

    Schritt 5.8

    Hinweis:

    Diese Richtlinie wird erstellt, um die ADC-Überwachung zu Bypass, damit der Datenverkehr in den sicheren Browser übergeht launch.cloud.com

Erstellen eines SSL-Profils

  1. Navigieren Sie zu System > Profile > SSL-Profil > Hinzufügen

    Schritt 6.1

  2. Erstellen Sie das Profil, indem Sie ihm in diesem Beispiel einen Namen geben smesec_swg_sslprofile

    SSL Profilname

  3. Aktivieren Sie das Kontrollkästchen, um SSL Sessions Interception zu aktivieren, und klicken Sie dann auf OK

    Schritt 6.3

  4. Klicken Sie auf OK um ein SSL-Profil zu erstellen

  5. Muss das Cert-Schlüssel-Paar installieren

  6. Stellen Sie sicher, dass Sie zuvor ein .pfx Format des Zertifikat-Schlüsselpaars haben. Im folgenden Schritt finden Sie Anleitungen zum Generieren einer .pfx Datei aus den .key Dateien .cert und, die Sie zuvor heruntergeladen haben.

Bereiten Sie Cert-Schlüssel-Paar

  1. Beginnen Sie mit Installieren des SSL-Tools

  2. Den openssl Installationspfad zu den Systemumgebungsvariablen

    Pfad der SSL-Installation

  3. Führen Sie in PowerShell den folgenden Befehl aus:

    openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

    PowerShell-Screenshot

Binden eines SSL Interception CA-Zertifikats an das SSL-Profil

  1. Navigieren Sie zu System > Profile > SSL-Profil

  2. Wählen Sie das zuvor erstellte Profil aus

  3. Klicken Sie auf + Zertifikatschlüssel

  4. Klicken Sie auf Installieren

  5. Wählen Sie die zuvor vorbereitete PFX-Datei

  6. Erstelle ein Kennwort (du brauchst es später)

  7. Klicken Sie auf Installieren

    Schritt 8

Binden Sie das SSL-Profil an den virtuellen Server

  1. Navigieren Sie zu Sicherheit > SSL Forward Proxy > Proxy Virtual Servers

    SSL proxy01

  2. Wählen Sie in diesem Beispiel den virtuellen Server aus sslproxy01

  3. Klicken Sie hier, um das SSL-Profil zu

    SSL-Profil bearbeiten

  4. Wählen Sie in diesem Beispiel das zuvor in erstellte SSL-Profil smesec_swg_sslprofile

  5. Fertig

Abschnitt 5: Einrichten von Rewrite-Richtlinien und -Aktionen

Eine Rewrite-Richtlinie besteht aus einer Regel und einer Aktion. Die Regel bestimmt den Datenverkehr, auf den das Umschreiben angewendet wird, und die Aktion bestimmt die Aktion, die vom Citrix ADC ausgeführt werden soll. Die Umschreibungsrichtlinie ist erforderlich, damit die URL-Umleitung an Secure Browser basierend auf der im Browser eingegebenen Kategorie der URL, in diesem Beispiel “Nachrichten”, erfolgt.

Referenz

Erstellen von Rewrite-Richtlinien und -Aktionen

  1. Navigieren Sie zu AppExpert > Rewrite > Policy

  2. Klicken Sie auf Hinzufügen

    Rewrite-Richtlinie erstellen

  3. Erstellen Sie die Richtlinie, indem Sie in diesem Beispiel cloud_pol nennen und den Ausdruck verwenden: HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

  4. Klicken Sie auf erstellen

    Rewrite-Richtlinie erstellen

  5. Erstellen Sie die Aktion in PuTTY

  6. Führen Sie den folgenden Befehl aus:

    add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com/<customername>/<appname>?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

    Hinweis:

    Ersetzen Sie im Befehl <customername> durch den Namen Ihres Citrix Cloud-Kundenkontos und <appname> ersetzen Sie ihn durch den Namen der veröffentlichten Secure Browser-App, für den die Richtlinie für URL-Parameter aktiviert ist. Unter Bezugnahme auf die veröffentlichte App, die Sie in Abschnitt 1 erstellt haben.

Richtlinie zum Umschreiben an virtuellen Server binden

  1. Zurück zur ADC-Management-Konsole

  2. Navigieren Sie zu AppExpert > Rewrite > Policy

  3. Gehe zur Richtlinie cloud_pol und ändere die Aktion in cloud_act (die zuvor erstellte)

    cloud_act Aktion

  4. Um den Typ der Umschreibungsrichtlinie auszuwählen, navigieren Sie zu Sicherheit > SSL Forward Proxy > Proxy Virtual Servers

  5. Wählen Sie “+ Richtlinien”

  6. Richtlinie: Rewrite

  7. Typ: Response

    Schritt 11.2

  8. Wählen Sie in diesem Beispiel die erstellte Richtlinie aus cloud_pol

  9. Priorität: 10

  10. Binden

    Schritt 11.3

  11. Klicken Sie auf Fer

  12. Konfiguration speichern

Zertifikatschlüssel an Profil binden

  1. Navigieren Sie zu System > Profile > SSL-Profil

  2. Wählen Sie zum Beispiel das erstellte Profil smesec_swg_sslprofile

  3. Doppelklicken Sie auf + Zertifikatschlüssel

    Schritt 12.2

  4. Wählen Sie zum Beispiel den Zertifikatschlüssel aus smesec_cert_overall

    Schritt 12.3

  5. Klicken Sie auf Auswählen
  6. Klicken Sie auf Binden
  7. Klicken Sie auf Fer
  8. Konfiguration speichern

Importieren Sie die Zertifikatsdatei in den Browser

  1. Laden Sie das Zertifikat in Firefox hoch (laut unserem Beispiel mit Websites der Nachrichtenkategorie)

  2. Gehen Sie in diesem Beispiel zu Optionen in Ihrem bevorzugten Browser, Firefox

  3. Suche “Zertifikate” > klicken Sie auf “Zertifikate anzeigen”

    Schritt 13.1

  4. Klicken Sie im Fenster “Certificate Manager” auf “Importieren…”

    Schritt 13.2

  5. Suchen Sie nach Ihrem Zertifikat und klicken Sie smesec_cert1.cert in diesem Beispiel auf “Öffnen”

    Schritt 13.3

  6. Geben Sie das Kennwort ein, das Sie bei der Erstellung des Zertifikats

  7. Ihre Zertifizierungsstelle muss ordnungsgemäß installiert sein

    Schritt 13.4

Demo

Nachrichtenwebsites aus dem lokalen Browser werden automatisch an Secure Browser umgeleitet. Siehe die folgenden Demo

Zusammenfassung

In diesem PoC-Handbuch haben Sie gelernt, wie Sie Citrix ADC in Azure einrichten und SSL Forward Proxy und SSL Interception konfigurieren. Diese Integration ermöglicht die dynamische Bereitstellung von Ressourcen, indem das Surfen an den Secure Browser-Dienst umgeleitet wird. So schützt das Firmennetzwerk ohne Einbußen bei der Benutzererfahrung.

Proof of Concept Guide: URL Redirection to Secure Browser with Citrix ADC in Azure