-
-
-
-
네트워크 액세스 제어
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
네트워크 액세스 제어
네트워크 액세스 제어(NAC) 솔루션을 사용하여 Android 및 Apple 장치에 대한 XenMobile® 장치 보안 평가를 확장할 수 있습니다. NAC 솔루션은 XenMobile 보안 평가를 사용하여 인증 결정을 용이하게 하고 처리합니다. NAC 어플라이언스를 구성한 후 XenMobile에서 구성한 장치 정책 및 NAC 필터가 적용됩니다.
NAC 솔루션과 함께 XenMobile을 사용하면 네트워크 내부에 있는 장치에 대한 QoS 및 더욱 세분화된 제어를 추가할 수 있습니다. NAC를 XenMobile과 통합할 때의 이점에 대한 요약은 액세스 제어를 참조하십시오.
Citrix®는 XenMobile과의 통합을 위해 다음 솔루션을 지원합니다.
- Citrix Gateway
- Cisco Identity Services Engine (ISE)
- ForeScout
Citrix는 다른 NAC 솔루션과의 통합을 보장하지 않습니다.
네트워크에 NAC 어플라이언스가 있는 경우:
-
XenMobile은 iOS, Android Enterprise 및 Android 장치에 대한 엔드포인트 보안 기능으로 NAC를 지원합니다.
-
XenMobile에서 필터를 활성화하여 규칙 또는 속성을 기반으로 장치를 NAC에 대해 규정 준수 또는 규정 미준수로 설정할 수 있습니다. 예를 들면 다음과 같습니다.
-
XenMobile에서 관리되는 장치가 지정된 기준을 충족하지 않으면 XenMobile은 해당 장치를 규정 미준수로 표시합니다. NAC 어플라이언스는 네트워크에서 규정 미준수 장치를 차단합니다.
-
XenMobile에서 관리되는 장치에 규정 미준수 앱이 설치되어 있는 경우 NAC 필터가 VPN 연결을 차단할 수 있습니다. 결과적으로 규정 미준수 사용자 장치는 VPN을 통해 앱 또는 웹 사이트에 액세스할 수 없습니다.
-
NAC에 Citrix Gateway를 사용하는 경우 분할 터널링을 활성화하여 Citrix Gateway 플러그인이 불필요한 네트워크 트래픽을 Citrix Gateway로 보내는 것을 방지할 수 있습니다. 분할 터널링에 대한 자세한 내용은 분할 터널링 구성을 참조하십시오.
-
지원되는 NAC 규정 준수 필터
XenMobile Server는 다음 NAC 규정 준수 필터를 지원합니다.
익명 장치: 장치가 익명 모드인지 확인합니다. 이 확인은 장치가 다시 연결을 시도할 때 XenMobile이 사용자를 재인증할 수 없는 경우에 사용할 수 있습니다.
Samsung Knox 인증 실패: 장치가 Samsung Knox 인증 서버 쿼리에 실패했는지 확인합니다.
금지된 앱: 장치에 앱 액세스 장치 정책에 정의된 금지된 앱이 있는지 확인합니다. 해당 정책에 대한 자세한 내용은 앱 액세스 장치 정책을 참조하십시오.
비활성 장치: 서버 속성의 장치 비활성 일수 임계값 설정에 정의된 대로 장치가 비활성 상태인지 확인합니다. 자세한 내용은 서버 속성을 참조하십시오.
필수 앱 누락: 장치에 앱 액세스 정책에 정의된 필수 앱이 누락되었는지 확인합니다.
권장되지 않는 앱: 장치에 앱 액세스 정책에 정의된 권장되지 않는 앱이 있는지 확인합니다.
규정 미준수 암호: 사용자 암호가 규정 준수하는지 확인합니다. iOS 및 Android 장치에서 XenMobile은 현재 장치에 있는 암호가 장치로 전송된 암호 정책을 준수하는지 확인할 수 있습니다. 예를 들어, iOS에서 XenMobile이 장치로 암호 정책을 보내면 사용자는 60분 이내에 암호를 설정해야 합니다. 사용자가 암호를 설정하기 전에는 암호가 규정 미준수일 수 있습니다.
규정 미준수 장치: 규정 미준수 장치 속성을 기반으로 장치가 규정 미준수 상태인지 확인합니다. 일반적으로 자동화된 작업 또는 XenMobile API를 사용하는 타사가 해당 장치 속성을 변경합니다.
해지된 상태: 장치 인증서가 해지되었는지 확인합니다. 해지된 장치는 다시 승인될 때까지 재등록할 수 없습니다.
루팅된 Android 및 탈옥된 iOS 장치: Android 또는 iOS 장치가 탈옥되었는지 확인합니다.
관리되지 않는 장치: 장치가 XenMobile 제어 하에 관리 상태에 있는지 확인합니다. 예를 들어, MAM에 등록된 장치 또는 등록되지 않은 장치는 관리되지 않습니다.
참고:
암시적 규정 준수/미준수 필터는 XenMobile이 관리하는 장치에만 기본값을 설정합니다. 예를 들어, 차단된 앱이 설치되어 있거나 등록되지 않은 모든 장치는 규정 미준수로 표시됩니다. NAC 어플라이언스는 해당 장치가 네트워크에 액세스하는 것을 차단합니다.
구성 개요
NAC 구성 요소를 나열된 순서대로 구성하는 것이 좋습니다.
-
NAC를 지원하도록 장치 정책 구성:
iOS 장치의 경우: NAC를 지원하도록 VPN 장치 정책 구성을 참조하십시오.
Android Enterprise 장치의 경우: Citrix SSO용 Android Enterprise 관리형 구성 생성을 참조하십시오.
Android 장치의 경우: Android용 Citrix SSO 프로토콜 구성을 참조하십시오.
-
NAC 솔루션 구성:
-
NAC를 지원하도록 Citrix Gateway 정책 업데이트에 자세히 설명된 Citrix Gateway.
장치에 Citrix SSO를 설치해야 합니다. Citrix Gateway 클라이언트를 참조하십시오.
- Cisco ISE: Cisco 설명서를 참조하십시오.
- ForeScout: ForeScout 설명서를 참조하십시오.
-
XenMobile에서 NAC 필터 활성화
-
XenMobile 콘솔에서 설정 > 네트워크 액세스 제어로 이동합니다.

-
활성화하려는 규정 미준수로 설정 필터의 확인란을 선택합니다.
-
저장을 클릭합니다.
NAC를 지원하도록 Citrix Gateway 정책 업데이트
VPN 가상 서버에서 고급(기존 방식 아님) 인증 및 VPN 세션 정책을 구성해야 합니다.
다음 단계는 다음 특성 중 하나를 가진 Citrix Gateway를 업데이트합니다.
- XenMobile Server 환경과 통합되어 있습니다.
- 또는 VPN용으로 설정되어 있지만 XenMobile Server 환경의 일부가 아니며 XenMobile에 연결할 수 있습니다.
콘솔 창에서 VPN 가상 서버에 대해 다음을 수행합니다. 명령 및 예제의 IP 주소는 가상의 주소입니다.
-
VPN 가상 서버에서 기존 정책을 사용하는 경우 모든 기존 정책을 제거하고 바인딩 해제합니다. 확인하려면 다음을 입력합니다.
show vpn vserver <VPN_VServer>Classic이라는 단어가 포함된 모든 결과를 제거합니다. 예를 들어:
VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0정책을 제거하려면 다음을 입력합니다.
unbind vpn vserver <VPN_VServer> -policy <policy_name> -
다음을 입력하여 해당 고급 세션 정책을 생성합니다.
add vpn sessionPolicy <policy_name> <rule> <session action>예:
add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_ -
다음을 입력하여 정책을 VPN 가상 서버에 바인딩합니다.
bind vpn vserver _XM_XenMobileGateway -policy vpn_nac -priority 100 -
다음을 입력하여 인증 가상 서버를 생성합니다.
add authentication vserver <authentication vserver name> <service type> <ip address>예:
add authentication vserver authvs SSL 0.0.0.0이 예에서0.0.0.0은 인증 가상 서버가 공용으로 노출되지 않음을 의미합니다. -
다음을 입력하여 SSL 인증서를 가상 서버에 바인딩합니다.
bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate>예:
bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY -
VPN 가상 서버에서 인증 가상 서버에 인증 프로필을 연결합니다. 먼저 다음을 입력하여 인증 프로필을 생성합니다.
add authentication authnProfile <profile name> -authnVsName <authentication vserver name>예:
add authentication authnProfile xm_nac_prof -authnVsName authvs -
다음을 입력하여 인증 프로필을 VPN 가상 서버에 연결합니다.
set vpn vserver <vpn vserver name> -authnProfile <authn profile name>예:
set vpn vserver _XM_XenMobileGateway -authnProfile xm_nac_prof -
다음을 입력하여 Citrix Gateway에서 장치로의 연결을 확인합니다.
curl -v -k https://<XenMobile server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"예를 들어, 이 쿼리는 환경에 등록된 첫 번째 장치(
deviceid_1)의 규정 준수 상태를 가져와 연결을 확인합니다.curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"성공적인 결과는 다음 예와 유사합니다.
HTTP/1.1 200 OK < Server: Apache-Coyote/1.1 < X-Citrix-Device-State: Non Compliant < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure <!--NeedCopy--> -
이전 단계가 성공하면 XenMobile에 대한 웹 인증 작업을 생성합니다. 먼저 iOS VPN 플러그인에서 장치 ID를 추출하는 정책 표현식을 생성합니다. 다음을 입력합니다.
add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")" -
다음을 입력하여 XenMobile로 요청을 보냅니다. 이 예에서 XenMobile Server IP는
10.207.87.82이고 FQDN은example.em.server.com:4443입니다.add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: example.em.server.com:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"XenMobile NAC의 성공적인 출력은
HTTP status 200 OK입니다.X-Citrix-Device-State헤더는Compliant값을 가져야 합니다. -
다음을 입력하여 작업을 연결할 인증 정책을 생성합니다.
add authentication Policy <policy name> -rule <rule> -action <web authentication action>예:
add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac -
다음을 입력하여 기존 LDAP 정책을 고급 정책으로 변환합니다.
add authentication Policy <policy_name> -rule <rule> -action <LDAP action name>예:
add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP -
다음을 입력하여 LDAP 정책을 연결할 정책 레이블을 추가합니다.
add authentication policylabel <policy_label_name>예:
add authentication policylabel ldap_pol_label -
다음을 입력하여 LDAP 정책을 정책 레이블에 연결합니다.
bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT -
규정 준수 장치를 연결하여 성공적인 LDAP 인증을 확인하기 위한 NAC 테스트를 수행합니다. 다음을 입력합니다.
bind authentication vserver <authentication vserver> -policy <web authentication policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END -
인증 가상 서버에 연결할 UI를 추가합니다. 다음 명령을 입력하여 장치 ID를 검색합니다.
add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid -
다음을 입력하여 인증 가상 서버를 바인딩합니다.
bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END -
Secure Hub 연결을 활성화하기 위한 LDAP 고급 인증 정책을 생성합니다. 다음을 입력합니다.
add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAPbind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT
공유
공유
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.