Citrix Gateway

端点策略

Endpoint Analysis 是一个扫描用户设备并检测信息的过程,例如操作系统、防病毒软件、防火墙或 Web 浏览器软件的存在和版本级别。在允许用户设备连接到您的网络或在用户登录后保持连接状态之前,您可以使用 Endpoint Analysis 验证用户设备是否满足您的要求。您可以在用户会话期间监视用户设备上的文件、进程和注册表项,以确保设备继续满足要求。

端点策略的工作方式

您可以将 Citrix Gateway 配置为在用户登录之前检查用户设备是否满足某些安全要求。这称为预身份验证策略。您可以将 Citrix Gateway 配置为检查用户设备中是否存在您在策略中指定的防病毒、防火墙、反垃圾邮件、进程、文件、注册表项、Internet 安全或操作系统。如果用户设备未能通过预身份验证扫描,则不允许用户登录。

如果需要配置预身份验证策略中未使用的其他安全要求,则可以配置会话策略并将其绑定到用户或组。这种类型的策略称为身份验证后策略,它在用户会话期间运行,以确保所需的项目(例如防病毒软件或进程)仍然有效。

配置预身份验证或身份验证后策略时,Citrix Gateway 会下载端点分析插件,然后运行扫描。每次用户登录时,Endpoint Analysis 插件都会自动运行。

您可以使用以下三种类型的策略来配置终端节点策略:

  • 使用是或否参数的预身份验证策略。扫描将确定用户设备是否满足指定的要求。如果扫描失败,用户将无法在登录页面上输入凭据。
  • 会话策略是有条件的,可用于 SmartAccess。
  • 会话策略中的客户端安全表达式。如果用户设备不能满足客户端安全表达式的要求,则可以将用户配置为放入隔离组。如果用户设备通过扫描,则可以将用户置于可能需要其他检查的其他组中。

您可以将检测到的信息合并到策略中,从而使您能够根据用户设备授予不同级别的访问权限。例如,您可以向从具有当前防病毒和防火墙软件要求的用户设备远程连接的用户提供具有下载权限的完全访问权限。对于从不受信任的计算机进行连接的用户,您可以提供更受限的访问级别,允许用户在远程服务器上编辑文档而无需下载它们。

端点分析执行以下基本步骤:

  • 检查有关用户设备的初始信息集,以确定要应用哪些扫描。
  • 运行所有适用的扫描。当用户尝试连接时,Endpoint Analysis 插件会检查用户设备是否符合预身份验证或会话策略中指定的要求。如果用户设备通过扫描,则允许用户登录。如果用户设备扫描失败,则不允许用户登录。 注意:端点分析扫描在用户会话使用许可证之前完成。
  • 将在用户设备上检测到的属性值与配置的扫描中列出的所需属性值进行比较。
  • 生成一个输出,验证是否找到了所需的属性值。

    注意:

    创建端点分析策略的说明只是一般准则。一个会话策略中可以有许多设置。配置会话策略的具体说明可能包含配置特定设置的说明。但是,该设置可以是会话配置文件和策略中包含的许多设置之一。

评估用户登录选项

用户登录时,他们可以选择跳过端点分析扫描。如果用户跳过扫描,Citrix Gateway 将此操作作为失败的端点分析处理。当用户扫描失败时,他们只能访问 Web Interface 或通过无客户端访问。

例如,您希望使用 Citrix Secure Access 代理为用户提供访问权限。要使用插件登录 Citrix Gateway,用户必须运行防病毒应用程序,例如诺顿防病毒软件。如果用户设备未运行应用程序,则用户只能使用 Receiver 登录并使用已发布的应用程序。您还可以配置无客户端访问,这将限制对指定应用程序(如 Outlook Web Access)的访问。

要配置 Citrix Gateway 以实现此登录方案,请将限制性会话策略分配为默认策略。然后,您可以配置设置,以便在用户设备通过 Endpoint Analysis 扫描时将用户升级到特权会话策略。此时,用户可以访问网络层,并可以使用 Citrix Secure Access 代理登录。

要将 Citrix Gateway 配置为首先强制执行限制性会话策略,请执行以下步骤:

  • 如果指定的应用程序未在用户设备上运行,请在启用 ICA 代理的情况下配置全局设置和所有其他必要设置。

  • 创建启用 Citrix Secure Access 代理的会话策略和配置文件。

  • 在会话策略的规则部分中创建表达式以指定应用程序,例如:

    (存在客户端。应用程序。进程 (symantec.exe))

用户登录时,首先应用会话策略。如果端点分析失败或用户跳过扫描,Citrix Gateway 将忽略会话策略中的设置(会话策略中的表达式被视为 false)。因此,用户可以使用 Web Interface 或无客户端访问限制访问。如果端点分析通过,Citrix Gateway 将应用会话策略,并且用户对 Citrix Secure Access 代理具有完全访问权限。

跳过 EPA 扫描

您只能跳过身份验证后和高级身份验证的 EPA 扫描。所有支持的操作系统的浏览器都可以使用 Skip EPA。 用户必须单击访问网关时出现的 “ 跳过 EPA ” 按钮。如果用户跳过扫描,Citrix Gateway 将此操作作为失败的端点分析处理。当用户扫描失败时,他们只能访问 Web Interface 或通过无客户端访问。

另请参阅https://support.citrix.com/article/CTX200748

Ubuntu 支持端点分析扫描

为 Ubuntu 操作系统安装的 EPA 插件支持以下端点分析 (EPA) 扫描。配置每个扫描的示例表达式与 EPA 扫描一起列出。您可以在身份验证策略中配置这些表达式。

  • 文件
    • 存在 - CLIENT.FILE(/home/user/test.txt) EXISTS
    • MD5 校验和 - CLIENT.FILE(/home/user/test.txt).MD5 == ce780e271debcc29f551546e8db3368f
    • 文件中的文本(支持正则表达式) - CLIENT.FILE(/home/user/test.txt).SEARCH == citrix
  • 进程
    • 在- 客户端。应用程序。进程 (perl) 存在
    • MD5 校验 和- 客户端。应用程序。进程 (perl) .MD5 == c060d3a5f97e27066cef8c116785567a
    • 路径 - 客户端。应用程序。进程 (perl) .PATH == /usr/bin/perl
  • 文件系统设备或挂载点名称 -CLIENT.MOUNTPOINT (/sys) 存在

如果您使用的是高级策略,则可以从 GUI 生成每次扫描的表达式(安全 > AAA > 策略 > 身份验证 > 高级策略 > EPA)。

注意: 在 “表达式编辑器” 页中,对于 Linux 客户端,可以选择 “公 用”, 然后选择 “ 进程”、“文件 ” 或 “ 挂载点”。

EPA 扫描策略

端点策略