Citrix Gateway

高级端点分析扫描

高级端点分析 (EPA) 用于扫描用户设备以查找 Citrix Gateway 设备上配置的端点安全要求。如果用户设备尝试访问 Citrix Gateway 设备,则在管理员可以授予对 Citrix Gateway 设备的访问权限之前,会扫描该设备以获取安全信息,例如操作系统、防病毒软件、Web 浏览器版本等。

高级 EPA 扫描是基于策略的扫描,您可以在 Citrix Gateway 设备上为预身份验证和身份验证后会话配置该扫描。该策略在用户设备上执行注册表检查,根据评估,该策略允许或拒绝访问 Citrix ADC 网络。

您可以执行两种类型的 EPA 扫描,OPSWAT 扫描和系统扫描。以下部分介绍了扫描类型及其详细信息。

OPSWAT 扫描。扫描机制在不同级别提供安全性,例如:

  • 商品特定扫描
  • 供应商特定扫描
  • 通用扫描

产品特定扫描:您可以为特定产品配置扫描条件(例如 Avast! 由特定供应商(例如AVAST Software a.s.)针对某个类别(例如防病毒软件)提供的免费 防病毒软件)。仅向满足指定条件的计算机授予访问权限。**

供应商特定扫描:您可以为某个类别的特定供应商(例如 AVAST Software a.s.)配置扫描条件(例如 防病毒软件)。配置的扫描会在供应商提供的所有产品中检查指定的标准。仅向满足指定条件的计算机授予访问权限。

通用扫描:您可以为特定类别(例如 防病毒软件)配置扫描条件。配置的扫描会在所有供应商和供应商提供的产品中检查指定的标准。仅向满足指定条件的计算机授予访问权限。

系统扫描。系统扫描为系统级属性(如 MAC 地址)提供安全保护。您可以为系统属性(例如 MAC 地址)配置扫描条件。仅向满足指定条件的计算机授予访问权限。

配置高级端点分析扫描

您可以配置两种类型的 EPA 扫描,OPSWAT 扫描和系统扫描。

OPSWAT 扫描

在 Citrix Gateway 设备上配置了以下 OPSWAT 扫描。

  • 商品特定扫描
  • 供应商特定扫描
  • 通用扫描

注意:

扫描 GUI 中是否显示特定产品支持。此外,以下 OPSWAT 扫描配置以预身份验证 EPA 为例。OPSWAT 扫描也可以为身份验证后的 EPA 配置。

配置特定于产品的 OPSWAT 扫描

要使用 Citrix ADC GUI 配置特定于产品的 OPSWAT 扫描,请执行以下操作:

  1. 导航到 配置 > Citrix Gateway > 全局设置

  2. 全局设置页面上,单击更改预身份验证设置 链接。

  3. 配置 AAA 预身份验证参数 页面上,单击 OPSWAT EPA 编辑器 链接。

  4. 在 “表 达式编辑器 ” 区域下,选择操作系统。

    表情编辑器

  5. 选择类别,例如 防病毒软件

    选择防病毒

  6. 选择供应商,例如 AVAST 软件 a.s.

    选择供应商

  7. 选择产品,例如 Avast!免费杀毒软件

    选择产品

  8. 单击产品下拉菜单旁边的 + 以配置产品扫描。

    配置扫描

  9. 如果要进行定期扫描,可以选择为扫描频率输入一个值。

    配置频率

配置供应商特定的 OPSWAT 扫描

要使用 Citrix ADC GUI 配置供应商特定的 OPSWAT 扫描,请执行以下操作:

  1. 导航到 配置 > Citrix Gateway > 全局设置

  2. 全局设置页面上,单击更改预身份验证设置 链接。

  3. 配置 AAA 预身份验证参数 页面上,单击 OPSWAT EPA 编辑器 链接。

  4. 在 “表 达式编辑器 ” 区域下,选择操作系统。

    表情编辑器

  5. 选择类别,例如 防病毒软件

    选择类别

  6. 选择供应商,例如 AVAST 软件 a.s.

    选择供应商

  7. 选择 通用 “AVAST Software a.s” 扫描 供应商特定扫描。

    选择供应商特定扫描

  8. 单击产品下拉菜单旁边的 + 以配置扫描。

    配置扫描

  9. 如果要进行定期扫描,可以选择为扫描频率输入一个值。

    配置频率

配置通用 OPSWAT 扫描

要使用 Citrix ADC GUI 配置通用 OPSWAT 扫描,请执行以下操作:

  1. 导航到 配置 > Citrix Gateway > 全局设置

  2. 在全局设置页面上,单击更改预身份验证设置 链接。

  3. 在配置 AAA 预身份验证参数 页面上,单击 OPSWAT EPA 编辑器 链接。

  4. 在 “表 达式编辑器 ” 区域下,选择操作系统。

    表情编辑器

  5. 选择类别,例如 防病毒软件

    选择类别

  6. 选择 “通用” 类别特定扫描,例如 通用防病毒产品扫描

    选择通用产品

  7. 单击产品下拉菜单旁边的 + 以配置扫描。

    配置扫描

  8. 如果要进行定期扫描,可以选择为扫描频率输入一个值。

    配置频率

系统扫描

在 Citrix Gateway 设备上配置了以下系统扫描。

  • MAC 地址
  • 域名检查
  • 数字注册表
  • 非数字注册表
  • Windows Update

要使用 Citrix ADC GUI 配置 OPSWAT 系统扫描,请执行以下操作:

  1. 导航到 配置 > Citrix Gateway > 全局设置

  2. 全局设置页面上,单击更改预身份验证设置 链接。

  3. 配置 AAA 预身份验证参数 页面上,单击 OPSWAT EPA 编辑器 链接。

  4. 在 “表 达式编辑器 ” 区域下,选择操作系统。

    表情编辑器

  5. 从下拉菜单中选择所需的系统扫描。例如, MAC 地址

    选择扫描类型

  6. 单击产品下拉菜单旁边的 + 以配置扫描。

    配置扫描

  7. 如果要进行定期扫描,可以选择为扫描频率输入一个值。

    配置频率

使用高级端点分析表达式配置预身份验证配置文件

  1. 导航到 Citrix Gateway > 策略
  2. 选择 预身份验证
  3. 在详细信息窗格的策略选项卡上,单击 添加
  4. 输入配置文件的名称。
  5. 选择一个操作。
  6. 或者,输入客户端端点系统上要停止的任何进程或要删除的文件的名称。
  7. 单击创建

您的配置文件现在可作为请求操作在预身份验证策略中使用。

使用高级端点分析表达式配置预身份验证策略

  1. 导航到 Citrix Gateway > 策略
  2. 选择 预身份验证
  3. 在详细信息窗格的策略选项卡上,单击 添加
  4. 输入策略的名称。
  5. 从 “ 请求操作 ” 菜单中,选择所需的配置文件。
  6. 在 “表达式” 窗格中,选择 OPSWAT EPA 编辑器
  7. 在第一个菜单中,选择客户端操作系统。
  8. 在第二个菜单中,选择扫描类型。
  9. 构建完策略后,单击 创建

绑定您的高级端点分析预身份验证策略以启用它。

绑定预身份验证策略

  1. 导航到 Citrix Gateway > 策略
  2. 选择 预身份验证
  3. 在详细信息窗格的策略选项卡上,单击 添加
  4. 从 “ 作” 菜单中,选择 “ 全局绑定”。
  5. 单击 Bind(绑定)。
  6. 在显示的策略详细信息窗格中,选中所需策略旁边的复选框。
  7. 单击 “ 插入”。
  8. 系统会自动为该策略分配优先级(权重)。根据需要单击 “优先级” 条目进行编辑。
  9. 单击 定绑定策略。

为特定会话配置高级端点分析策略

  1. 导航到 Citrix Gateway > 策略
  2. 选择 会话
  3. 在详细信息窗格的策略选项卡上,单击 添加
  4. 输入策略的名称。
  5. 在 “ 作” 菜单中,执行以下操作之一:
    • a. 选择现有操作。
    • b. 单击加号图标以显示可由会话策略设置的配置参数。单击配置选项右侧的 覆盖全局 复选框以将其激活。选择 Create(创建)。
  6. 在 “表达式” 窗格中,选择 OPSWAT EPA 编辑器
  7. 在菜单中,选择客户端操作系统。
  8. 在第二个下拉菜单中,选择一种扫描类型。
  9. 构建完策略后,单击 创建

绑定高级端点分析会话策略以启用它。

绑定会话策略

  1. 导航到 Citrix Gateway > 策略
  2. 选择 会话
  3. 在详细信息窗格的策略选项卡上,单击 添加
  4. 从 “ 作” 菜单中,选择 “ 全局绑定”。
  5. 单击 Bind(绑定)。
  6. 在显示的策略详细信息窗格中,选中所需策略旁边的复选框。
  7. 单击 “ 插入”。
  8. 系统会自动为该策略分配优先级(权重)。根据需要单击 “优先级” 条目进行编辑。
  9. 单击 定绑定策略。

升级 EPA 库

要使用 Citrix ADC GUI 升级 EPA 库,请执行以下操作:

  1. 导航到配置 > Citrix Gateway > 更新客户端组件

  2. 更新客户端组件下, 单击升级 EPA 库 链接。

  3. 选择所需的文件,然后单击 升级

重要:

  • 在 Citrix Gateway 高可用性中,必须同时在主节点和辅助节点上升级 EPA 库。

  • 在 Citrix Gateway 群集设置中,必须在所有群集节点上升级 EPA 库。

有关 OPSWAT 为 Citrix ADC 扫描提供的 Windows 和 MAC 支持的应用程序的列表,请参阅 https://support.citrix.com/article/CTX234466

排查高级端点分析扫描的

为了帮助排除高级端点分析扫描的故障,客户端插件会将日志记录信息写入客户端端点系统上的文件中。这些日志文件可以在以下目录中找到,具体取决于用户的操作系统。

Windows Vista、Windows 7、Windows 8、Windows 8.1 和 Windows 10:

C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt

Windows XP:

C:\Documents 和设置\ 所有用户\ 应用程序数据\ Citrix\ AGEE\ nsepa.txt

Mac OS X 系统:

~/ 库/应用程序 Support/Citrix/EPAPlugin/epaplugin.log

(其中 ~ 符号表示相关 macOS 用户的主目录路径。)

高级端点分析扫描