Citrix Gateway

允许使用 Citrix 移动生产力应用程序从移动设备访

适用于 XenMobile 的 Citrix ADC 向导配置所需的设置,以允许用户通过 Citrix Gateway 从受支持的设备连接到内部网络中的移动应用程序和资源。用户通过使用安全中心(以前称为 Citrix Secure Hub)进行连接,它可以建立 Micro VPN 通道。用户连接时,VPN 隧道将打开到 Citrix Gateway,然后传递到内部网络中的 XenMobile。然后,用户可以从 XenMobile 访问其 Web、移动和 SaaS 应用程序。

要确保用户在使用多个设备同时连接到 Citrix Gateway 时使用单个通用许可证,可以在虚拟服务器上启用会话传输。有关详细信息,请参 阅在虚拟服务器上配置连接类型

如果在使用 Citrix ADC for XenMobile 向导后需要更改配置,请使用本文中的部分获取指导。在更改设置之前,请确保了解更改的含义。有关详细信息,请参阅 XenMobile 部署 文章。

在 Citrix Gateway 中配置 Secure Browse

您可以更改 Secure Browse 作为全局设置的一部分或作为会话配置文件的一部分。您可以将会话策略绑定到用户、组或虚拟服务器。配置 Secure Browse 时,还必须启用无客户端访问。但是,无客户端访问不需要启用 Secure Browse。配置无客户端访问时,将 无客户端访问 URL 编码 设置为 清除

要全局配置 Secure Browse:

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 全局设置
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 在 “ 全局 Citrix Gateway 设置 ” 对话框的 “ 全” 选项卡上,单击 “ Secure Browse ”,然后单击 “ 确定”。

要在会话策略和配置文件中配置 Secure Browse:

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway > 策略 ,然后单击 会话
  2. 在详细信息窗格中,执行以下操作之一:
    • 如果要创建新的会话策略,请单击 添加
    • 如果要更改现有策略,请选择一个策略,然后单击 打开
  3. 在策略中,创建配置文件或修改现有配置文件。为此,请执行以下操作之一:
    • 请求配置文件旁边,单击 新建
    • 在 “ 请求配置文件” 旁边,单击 “ 修改”。
  4. 全选项卡上的 Secure Browse旁边,单击 覆盖全局 ,然后选择 Secure Browse
  5. 执行以下操作之一:
    • 如果要创建新的配置文件,请单击 创建,在策略对话框中设置表达式,单击 创建, 然后单击 关闭
    • 如果要修改现有配置文件,请在进行选择后单击 “ 确定 ” 两次。

要在 Secure Browse 模式下为 Secure Web 配置流量策略:

使用以下步骤配置流量策略,以便在 Secure Browse 模式下通过代理服务器路由 Secure Web 流量。

  1. 在配置实用程序中的 配置 选项卡上,展开 Citrix Gateway > 策略 ,然后单击 流量
  2. 在右窗格中,单击 “ 流量配置文件 ” 选项卡,然后单击 “ 添加”。
  3. 名称中,输入配置文件的名称,选择 TCP作为协议,然后保持其余设置不变。
  4. 单击创建
  5. 单击 流量配置文件 选项卡,然后单击 添加
  6. 名称中,输入配置文件的名称,然后选择 HTTP 作为 协议。 此流量配置文件适用于 HTTP 和 SSL。无客户端 VPN 流量设计上是 HTTP 流量,无论目标端口或服务类型如何。因此,您可以在流量配置文件中将 SSL 和 HTTP 流量指定为 HTTP
  7. 代理中,输入代理服务器的 IP 地址。在 端口中,输入代理服务器的端口号。
  8. 单击创建
  9. 单击 流量策略 选项卡,然后单击 添加
  10. 输入流量策略的 名称 ,对于 请求配置文件,选择您在步骤 3 中创建的流量配置文件。输入以下 表达式 ,然后单击 创建

    REQ.HTTP.HEADER HOST contains ActiveSyncServer || REQ.HTTP.HEADER User-Agent CONTAINS WorxMail || REQ.HTTP.HEADER User-Agent CONTAINS com.zenprise || REQ.HTTP.HEADER User-Agent CONTAINS Citrix Secure Hub || REQ.HTTP.URL CONTAINS AGServices || REQ.HTTP.URL CONTAINS StoreWeb
    <!--NeedCopy-->
    

    该规则根据主机标头执行检查。要绕过来自代理的活动同步流量,请替换 ActiveSyncServer 为相应的活动同步服务器名称。

  11. 单击 流量策略 选项卡,然后单击 添加。输入流量策略的 名称 ,对于 请求配置文件,选择在步骤 6 中创建的流量配置文件。输入以下 表达式 ,然后单击 创建

    (REQ.HTTP.HEADER 用户代理包含 Mozilla   REQ.HTTP.HEADER 用户代理包含 com.citrix.浏览器   REQ.HTTP.HEADER 用户代理包含 WorxWeb) & REQU.TCP.DESTPORT = 80
  12. 单击 流量策略 选项卡,然后单击 添加。输入流量策略的 名称 ,对于 请求配置文件,选择在步骤 6 中创建的流量配置文件。输入以下 表达式 ,然后单击 创建

    (REQ.HTTP.HEADER 用户代理包含 Mozilla   REQ.HTTP.HEADER 用户代理包含 com.citrix.浏览器   REQ.HTTP.HEADER 用户代理包含 WorxWeb) & REQU.TCP.DESTPORT = 443
  13. 导航到 Citrix Gateway > 虚拟服务器,在右窗格中选择虚拟服务器,然后单击 编辑
  14. 策略 行上,单击 +
  15. 从 “ 选择策略 ” 菜单中,选择 “ 流量”。
  16. 单击继续
  17. 策略绑定下的 “选择策略”对面,单击 **
  18. 选择您在步骤 10 中创建的策略,然后单击 确定
  19. 单击 Bind(绑定)。
  20. 略下,单击 流量策略
  21. VPN 虚拟服务器流量策略绑定下,单击 添加绑定
  22. 策略绑定下的 “选择策略” 菜单旁边,单击 ** 以查看策略列表。
  23. 选择在步骤 11 中创建的策略,然后单击 确定
  24. 单击 Bind(绑定)。
  25. 策略下,单击 流量策略
  26. VPN 虚拟服务器流量策略绑定下,单击 添加绑定
  27. 策略绑定下的 “选择策略” 菜单旁边,单击 ** 以查看策略列表。
  28. 选择在步骤 12 中创建的策略,然后单击 确定
  29. 单击 Bind(绑定)。
  30. 单击关闭
  31. 单击完成

请务必在 XenMobile 控制台中配置 Secure Web 网络 (WorxWeb) 应用程序。转到 配置 > 应用程序,选择 Secure Web 应用程序,单击 编辑,然后进行以下更改:

  • 应用程序信息 页面上,将 初始 VPN 模式 更改为 Secure Browse
  • iOS 页面上,将 初始 VPN 模式 更改为 Secure Browse
  • Android 页面上,将 首选 VPN 模式 更改为 Secure Browse

配置应用程序和 MDX 令牌超时

当用户从 iOS 或 Android 设备登录时,将颁发应用程序令牌或 MDX 令牌。该令牌类似于 Secure Ticket Authority (STA)。

您可以设置令牌处于活动状态的秒数或分钟数。如果令牌过期,用户将无法访问请求的资源,例如应用程序或网页。

令牌超时是全局设置。配置该设置时,它适用于登录 Citrix Gateway 的所有用户。

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 全局设置
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 在 “ 全局 Citrix Gateway 设置 ” 对话框中的 “ 客户端体验 ” 选项卡上,单击 “ 高级设置”。
  4. 常规 选项卡上的 应用程序令牌超时 (秒) 中,输入令牌到期前的秒数。默认值为 100 秒。
  5. MDX 令牌超时 (分钟)中,输入令牌到期前的分钟数,然后单击 确定。默认值为 10 分钟。

为移动设备禁用端点分析

如果配置端点分析,则需要配置策略表达式,以便端点分析扫描不会在 Android 或 iOS 移动设备上运行。移动设备不支持端点分析扫描。

如果将端点分析策略绑定到虚拟服务器,则必须为移动设备创建辅助虚拟服务器。请勿将身份验证前或身份验证后策略绑定到移动设备虚拟服务器。

在预身份验证策略中配置策略表达式时,可以添加 User-Agent 字符串以排除 Android 或 iOS。当用户从这些设备之一登录并排除设备类型时,端点分析不会运行。

例如,您可以创建以下策略表达式来检查 User-Agent 是否包含 Android、应用程序 virus.exe 是否不存在,如果进程 keylogger.exe 正在运行,则使用预身份验证配置文件结束该进程。策略表达式可能如下所示:

REQ.HTTP.HEADER 用户代理不包含 Android 和客户端。应用程序。进程 (keylogger.exe) 包含   客户端。应用程序。进程 (virus.exe) 包含

创建预身份验证策略和配置文件后,将策略绑定到虚拟服务器。当用户从 Android 或 iOS 设备登录时,扫描不会运行。如果用户从基于 Windows 的设备登录,则扫描确实会运行。

有关配置预身份验证策略的更多信息,请参阅 配置端点策略。

通过使用适用于 Android 设备的 DNS 后缀来支持 DNS 查询

当用户从 Android 设备建立 Micro VPN 连接时,Citrix Gateway 会向用户设备发送拆分 DNS 设置。Citrix Gateway 支持基于您配置的拆分 DNS 设置拆分 DNS 查询。Citrix Gateway 还可以支持基于您在设备上配置的 DNS 后缀的拆分 DNS 查询。如果用户从 Android 设备进行连接,则必须在 Citrix Gateway 上配置 DNS 设置。

拆分 DNS 的工作方式如下:

  • 如果将拆分 DNS 设置为 “ 本地”,则 Android 设备会将所有 DNS 请求发送到本地 DNS 服务器。
  • 如果将拆分 DNS 设置为 远程,则所有 DNS 请求都将发送到 Citrix Gateway(远程 DNS 服务器)上配置的 DNS 服务器进行解析。
  • 如果您将拆分 DNS 设置为 “ 两者”,则 Android 设备会检查 DNS 请求类型。
    • 如果 DNS 请求类型不是 “A”,它会将 DNS 请求数据包发送到本地和远程 DNS 服务器。
    • 如果 DNS 请求类型为 “A”,Android 插件将提取查询 FQDN,并将该 FQDN 与 Citrix ADC 设备上配置的 DNS 后缀列表进行匹配。如果 DNS 请求的 FQDN 匹配,则 DNS 请求将发送到远程 DNS 服务器。如果 FQDN 不匹配,则 DNS 请求将发送到本地 DNS 服务器。

下表总结了基于 A 类记录和后缀列表的拆分 DNS 的工作原理。

拆分 DNS 设置 这是 A 型记录吗? 它在后缀列表中吗? DNS 请求的发送地点
本地 两者都是或否 两者都是或否 本地
远程 两者都是或否 两者都是或否 远程
两者都 不适用 两者都
两者都 远程
两者都 本地

要配置 DNS 后缀,请执行以下操作:

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway > 策略 ,然后单击 会话
  2. 在详细信息窗格的 “ 略” 选项卡上,选择一个会话策略,然后单击 “ 打开”。
  3. 在 “ 请求配置文件” 旁边,单击 “ 修改”。
  4. 网络配置 选项卡上,单击 高级
  5. 在 Intranet IP DNS 后缀旁边,单击 覆盖全局,键入 DNS 后缀,然后单击 确定 三次。

要在 Citrix Gateway 上全局配置拆分 DNS:

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 全局设置
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 在 “ 客户端体验 ” 选项卡上,单击 “ 高级设置”
  4. 常规 选项卡的 拆分 DNS中,选择 者、 远程本地 ,然后单击 确定

要在 Citrix Gateway 上的会话策略中配置拆分 DNS:

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway > 策略,然后单击 会话
  2. 在详细信息窗格的 策略 选项卡上,单击 添加
  3. 名称中,键入策略的名称。
  4. 请求配置文件旁边,单击 新建
  5. 名称中,键入配置文件的名称。
  6. 在 “ 客户端体验 ” 选项卡上,单击 “ 高级设置”
  7. 常规 选项卡上的 拆分 DNS旁边,单击 覆盖全局,选择 者、 远程本地 ,然后单击 确定
  8. 创建会话策略 对话框的 命名表达式旁边,选择 常规,选择 True,单击 添加表达式,单击 创建, 然后单击 关闭
允许使用 Citrix 移动生产力应用程序从移动设备访