Citrix Gateway

预验证策略和配置文件

警告:

从 NetScaler 12.0 版本 56.20 起已弃用身份验证、授权和审核预身份验证策略,作为替代方案,Citrix 建议您使用 nFactor 身份验证。有关更多信息,请参阅 nFactor 身份验证 主题。

可以将 Citrix Gateway 配置为在对用户进行身份验证之前检查客户端安全性。此方法可确保与 Citrix Gateway 建立会话的用户设备符合您的安全要求。您可以使用特定于虚拟服务器或全局的预身份验证策略配置客户端安全检查,如以下两个过程中所述。

预身份验证策略由配置文件和表达式组成。您可以将配置文件配置为使用操作来允许或拒绝在用户设备上运行进程。例如,文本文件 clienttext.txt 正在用户设备上运行。用户登录 Citrix Gateway 时,如果文本文件正在运行,则可以允许或拒绝访问。如果您不希望在进程正在运行时允许用户登录,请配置配置文件,以便在用户登录之前停止该进程。

您可以为预身份验证策略配置以下设置:

  • 表达式。包括以下设置以帮助您创建表达式:
    • 表达式。显示所有表达式。
    • 匹配任何表达式。配置策略以匹配所选表达式列表中存在的任何表达式。
    • 匹配所有表达式。配置策略以匹配所选表达式列表中存在的所有表达式。
    • 表格表达式。使用运算符创建包含现有表达式的复合表达 OR (||) or AND (&&) 式。
    • 高级自由格式。使用表达式名称和 OR (||) and AND (&&) 运算符创建自定义复合表达式。只选择所需的那些表达式,然后从所选表达式列表中省略其他表达式。
    • 添加。创建表达式。
    • 修改。修改现有表达式。
    • 删除。从复合表达式列表中删除选定的表达式。
    • 命名表达式。选择已配置的命名表达式。您可以从 Citrix Gateway 上已存在的表达式菜单中选择命名表达式。
    • 添加表达式。将选定的命名表达式添加到策略中。
    • 替换表达式。将选定的命名表达式替换为策略。
    • 预览表达式。显示选择命名表达式时在 Citrix Gateway 上配置的详细客户端安全字符串。

配置预验证配置文件

使用 GUI 全局配置预身份验证配置文件

  1. 在配置实用程序中的 配置 选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 全局设置
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改预身份验证设置”。
  3. 在 “ 全局预身份验证设置 ” 对话框中,配置以下设置:
    1. 操作中,选择 允许或拒绝

      端点分析发生后拒绝或允许用户登录。

    2. 要取消的进程中,输入流程。

      这指定了端点分析插件必须停止的进程。

    3. 要删除的文件中,输入文件名。

      这指定了端点分析插件必须删除的文件。

  4. 在 Expression 中,您可以保留表达式 ns_true 或为特定应用程序(例如防病毒软件或安全软件)构建表达式,然后单击 “确定”。

使用 GUI 配置预身份验证配置文件

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 > 身份验证/授权,然后单击预身份验证 EPA。
  2. 在详细信息窗格的 配置文件 选项卡上,单击 添加
  3. 名称中,键入要检查的应用程序的名称。
  4. 操作中,选择 允许拒绝
  5. 要取消的进程中,键入要停止的进程的名称。
  6. 在 “ 要删除的文件” 中,键入要删除的文件的名称,例如 c:\clientext.txt,单击 “ 创建”, 然后单击 “ 关闭”。

注意:如果要删除文件或进程停止,用户会收到一条要求确认的消息。步骤 5 和 6 是可选参数。

如果使用配置实用程序配置预身份验证配置文件,则可以通过单击 Polic ies 选项卡上的 添加 来创建预身份验证策略。在 创建预身份验证策略 对话框中,从 请求配置文件菜单中选择配置文件

配置端点分析表达式

预身份验证和客户端安全会话策略包括配置文件和表达式。该策略可以有一个配置文件和多个表达式。要在用户设备上扫描应用程序、文件、进程或注册表项,请在策略中创建表达式或复合表达式。

表达式的类型

表达式由表达式类型和表达式的参数组成。表达式类型包括:

  • 常规
  • 客户端安全
  • 基于网络

将预配置的表达式添加到预身份验证策略

Citrix Gateway 附带预配置的表达式,称为命名表达式。配置策略时,可以为策略使用命名表达式。例如,您希望预身份验证策略检查具有更新病毒定义的赛门铁克防病毒 10。创建预身份验证策略并按照以下过程中所述添加表达式。

创建预身份验证或会话策略时,可以在创建策略时创建表达式。然后,您可以使用表达式将策略应用于虚拟服务器或全局应用。

以下过程介绍如何使用配置实用程序将预配置的防病毒表达式添加到策略中。

将命名表达式添加到预身份验证策略

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 > 身份验证/授权,然后单击预身份验证 EPA。
  2. 在详细信息窗格中,选择一个策略,然后单击打开。
  3. 命名表达式旁边,选择 反病毒,然后从列表中选择防病毒产品。
  4. 单击 添加表达式,单击 创建, 然后单击 关闭

配置定制表达式

自定义表达式是您在策略中创建的表达式。创建表达式时,需要配置表达式的参数。

您还可以创建自定义客户端安全表达式来引用常用的客户端安全字符串。这简化了配置预身份验证策略以及维护已配置表达式的过程。

例如,您想为赛门铁克防病毒 10 创建自定义客户端安全表达式,并确保病毒定义不超过三天。创建策略,然后配置表达式以指定病毒定义。

以下过程说明如何在预身份验证策略中创建客户端安全策略。您可以在会话策略中使用相同的步骤。

创建预验证策略和自定义客户端安全表达式

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 > 身份验证/授权,然后单击 预身份验证 EPA
  2. 在详细信息窗格中,单击 Add(添加)。将打开创建身份验证前策略对话框。
  3. 名称中,键入策略的名称。
  4. 在请求配置文件旁边,单击 新建
  5. 在创建身份验证配置文件对话框的 名称中,键入配置文件的名称,然后在 操作中选择 允许,然后单击 创建
  6. 在 “创建预身份验证策略” 对话框中,单击 “我匹配任何表达式” 旁边的 “ 添加”。
  7. 表达式类型中,选择 客户端安全
  8. 配置以下设置:
    1. 组件中,选择 反病毒
    2. 名称中,键入应用程序的名称。
    3. 限定符中,选择 版本
    4. 运算符中,选择 ==
    5. 中,键入值。
    6. 在 “ 新鲜度” 中,键入 3,然后单击 “ 确定”
  9. 在 “创建预身份验证策略” 对话框中,单击 “ 创建”,然后单击 “ 关闭”。

配置自定义表达式时,它会添加到策略对话框中的 “ 表达式 ” 框中。

配置复合表达式

预身份验证策略可以有一个配置文件和多个表达式。如果配置复合表达式,则可以使用运算符来指定表达式的条件。例如,您可以将复合表达式配置为要求用户设备运行以下防病毒应用程序之一:

  • 赛门铁克防病毒软件 10
  • 迈克菲防病毒软件 11
  • Sophos 杀毒软件 4

您可以使用 OR 运算符配置表达式以检查上述三个应用程序。如果 Citrix Gateway 在用户设备上检测到任何应用程序的正确版本,则允许用户登录。策略对话框中的表达式如下所示:

av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4

有关复合表达式的详细信息,请参阅 配置复合表达式

绑定预身份验证策略

创建预身份验证或客户端安全会话策略后,将策略绑定到其应用的级别。您可以将预身份验证策略绑定到虚拟服务器或全局绑定。

全局创建和绑定预身份验证策略

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 全局设置
  2. 在详细信息窗格中,单击 更改预身份验证设置
  3. 在 “全局预身份验证设置” 对话框的 “ 操作” 中,选择 允许拒绝
  4. 名称中,键入策略的名称。
  5. 在 “ 全局预身份验证设置 ” 对话框中,选择 命名表达式旁边的 “ 常规”,选择 “ True ”,单击 “ 添加表达式”,单击 “ 创建”,然后单击 “ 关闭

将预身份验证策略绑定到虚拟服务器

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 虚拟服务器
  2. 在详细信息窗格中,选择虚拟服务器,然后单击 Open(打开)。
  3. 在配置 Citrix Gateway 虚拟服务器对话框中,单击 策略 选项卡,然后单击 预身份验证
  4. 在详细信息下,单击 插入策略,然后在策略名称下,选择预身份验证策略。
  5. 单击确定

取消绑定和删除预身份验证策略

如有必要,您可以从 Citrix Gateway 中删除预身份验证策略。在删除预身份验证策略之前,请将其从虚拟服务器或全局解除绑定。

取消绑定全局预身份验证策略

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 > 身份验证/授权,然后单击预身份验证 EPA。
  2. 在详细信息窗格中,选择一个策略,然后在 操作中单击 全局绑定
  3. 在 “将 身份验证预策略绑定/取消绑定到全局 ” 对话框中,选择一个策略,单击 “ 取消绑定策略”,然后单击 “ 定”。

从虚拟服务器取消绑定预身份验证策略

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway, 然后单击 虚拟服务器
  2. 配置 Citrix Gateway 虚拟服务器 对话框中,单击 策略 选项卡,然后单击 预身份验证
  3. 选择策略,然后单击 取消绑定策略

取消绑定预身份验证策略时,您可以从 Citrix Gateway 中删除该策略。

删除预身份验证策略

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 > 身份验证/授权,然后单击 预身份验证 EPA
  2. 在详细信息窗格中,选择一个策略,然后单击 删除

设置预身份验证策略的优先级

您可以有多个绑定到不同级别的预身份验证策略。例如,您有一个用于检查绑定到 Citrix ADC AAA Global 的特定防病毒应用程序的策略以及绑定到虚拟服务器的防火墙策略。用户登录时,首先应用绑定到虚拟服务器的策略。第二次应用在 Citrix ADC AAA Global 上绑定的策略。

您可以更改预身份验证扫描的发生顺序。要使 Citrix Gateway 首先应用全局策略,请更改绑定到虚拟服务器的策略的优先级编号,使其具有比全局绑定的策略更高的优先级编号。例如,将全局策略的优先级编号设置为 1,将虚拟服务器策略设置为 2。用户登录时,Citrix Gateway 首先运行全局策略扫描,然后运行虚拟服务器策略扫描。

更改预身份验证策略的优先级

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 虚拟服务器
  2. 在详细信息窗格中,选择虚拟服务器,然后单击 Open(打开)。
  3. 在策略选项卡上,单击 预身份验证
  4. 在 “优先级” 下,键入策略的优先级编号,然后单击 “ 确定”