Citrix Gateway 上的策略和配置文件

Citrix Gateway 上的策略和配置文件允许您在指定的场景或条件下管理和实施配置设置。单个策略规定或定义在满足一组指定条件时生效的配置设置。每个策略都有唯一的名称,并且可以将配置文件绑定到该策略。

策略的工作原理

策略由布尔条件和称为配置文件的设置集合组成。在运行时对条件进行评估,以确定是否必须应用策略。

配置文件是使用特定参数的设置集合。配置文件可以有任意名称,您可以在多个策略中重复使用。可以在配置文件中配置多个设置,但每个策略只能包含一个配置文件。

可以将策略与配置的条件和配置文件绑定到虚拟服务器、组、用户或全局绑定。策略是通过其控制的配置设置类型来引用的。例如,在会话策略中,您可以控制用户的登录方式以及用户可以保持登录状态的次数。

如果您将 Citrix Gateway 与 Citrix Virtual Apps 结合使用,Citrix Gateway 策略名称将作为过滤器发送到 Citrix Virtual Apps。将 Citrix Gateway 配置为与 Citrix Virtual Apps 和 SmartAccess 兼容时,可以在 Citrix Virtual Apps 中配置以下设置:

  • 在设备上配置的虚拟服务器的名称。该名称作为 Citrix Gateway 场名称发送到 Citrix Virtual Apps。
  • 预身份验证或会话策略的名称作为过滤器名称发送。

有关将 Citrix Gateway 配置为与 Citrix Endpoint Management 兼容的详细信息,请参阅为您的 Citrix Endpoint Management 环境配置设置

有关将 Citrix Gateway 配置为与 Citrix Virtual Apps and Desktops 兼容的详细信息,请参阅使用 Web Interface 访问 Citrix Virtual Apps 和 Citrix Virtual Desktops 资源以及与 Citrix Endpoint Management 或 StoreFront 集成

有关预身份验证策略的详细信息,请参阅配置端点策略

条件策略

配置策略时,您可以使用任何布尔表达式来表示策略何时适用的条件。配置条件策略时,可以使用任何可用的系统表达式,例如:

  • 客户端安全字符串
  • 网络信息
  • HTTP 标头和 cookie
  • 一天中的时间
  • 客户端证书值

还可以创建仅在用户设备满足特定条件时应用的策略,例如 SmartAccess 的会话策略。

配置条件策略的另一个示例是更改用户的身份验证策略。例如,您可以要求从内部网络外部(例如从家用计算机或在移动设备上使用 Micro VPN)连接 Citrix Secure Access 代理的用户使用 LDAP 进行身份验证,并要求通过 WAN 连接的用户使用 RADIUS 进行身份验证。

注意:如果策略规则配置为会话配置文件中的安全设置的一部分,则不能使用基于端点分析结果的策略条件。

策略的优先级

请按照策略的绑定顺序对策略进行优先排序和评估。

以下两种方法确定策略优先级:

  • 策略绑定到的级别:全局、虚拟服务器、组或用户。策略级别按从高到低的顺序排列如下:
    • 用户(最高优先级)
    • 虚拟服务器
    • 全局(最低优先级)
  • 无论策略绑定到哪个级别,数字优先级都优先。如果全局绑定策略的优先级编号为 1,而绑定到用户的另一个策略的优先级编号为 2,则全局策略优先。优先级编号越低,策略的优先级越高。

在 Citrix Gateway 上创建策略

可以使用配置实用程序创建策略。创建策略后,将策略绑定到相应级别:用户、组、虚拟服务器或全局。当您将策略绑定到其中一个级别时,如果策略条件得到满足,用户将收到配置文件中的设置。每个策略和配置文件都有一个唯一名称。

如果您将 Citrix Endpoint Management 或 StoreFront 作为部署的一部分,则可以使用快速配置向导配置此部署的设置。有关该向导的详细信息,请参阅使用快速配置向导配置设置

Citrix Gateway 上的策略和配置文件