支持客户端-服务器应用程序

借助 Citrix Secure Private Access,您现在可以使用本机浏览器或通过计算机上运行的 Citrix Secure Access 代理访问本机客户端应用程序来访问所有专用应用程序,包括 TCP/HTTPS 应用程序。

借助 Citrix Secure Private Access 中对客户端-服务器应用程序的额外支持,您现在可以消除对传统 VPN 解决方案的依赖,从而为远程用户提供对所有私有应用程序的访问权限。

工作原理

最终用户只需在客户端设备上安装 Citrix Secure Access 代理,即可轻松访问所有受批准的私有应用程序。

此版本中未包含

  • 不支持访问 UDP 应用程序。

管理员配置 — ZTNA 基于代理的对 TCP 应用程序的访问

必备条件

  • 在 Citrix Cloud 中访问 Citrix Secure Private Access。
  • Citrix Cloud Connector - 安装适用于 Active Directory 域配置的 Citrix Cloud Connector,如 Cloud Connector 安装中所述。
  • 身份和访问管理-完成配置。有关详细信息,请参阅 身份和访问管理
  • 连接器设备 — Citrix 建议在资源位置的高可用性设置中安装两个 Connector 设备。连接器可以安装在本地、数据中心虚拟机管理程序或公共云中。有关连接器设备及其安装的更多信息,请参阅 适用于云服务的连接器设备

    注意:必须为

    TCP 应用程序使用连接器设备。

配置 TCP 应用程序的步骤:

重要信息:

有关应用程序的完整端到端配置,请参阅 管理员指导的工作流程,以轻松上手和设置

  1. 在 Citrix Secure Private Access 磁贴上,单击“管理”。
  2. 单击继续,然后单击添加应用程序

    注意:

    继续按钮仅在您首次使用向导时出现。在后续用法中,您可以直接导航到应用程序页面,然后单击添加应用程序

    应用程序是目标的逻辑分组。我们可以为多个目标创建一个应用程序-每个目标意味着后端有不同的服务器。例如,一个应用程序可以有一个 SSH、一个 RDP、一个数据库服务器和一个 Web 服务器。您不必为每个目标创建一个应用程序,但一个应用程序可以有多个目的地。

  3. 选择模板 部分中,单击 跳过 以手动配置 TCP 应用程序。
  4. 在“应用程序详细信息”部分中,选择“在我的企业网络中”,输入以下详细信息,然后单击“下一步”。

    TCP 应用程序详情

    • 应用程序类型 — 选择 TCP/UDP。
    • 应用程序名称 -应用程序的名称。
    • 应用程序图标— 将显示应用程序图标。此字段为可选字段。
    • 应用程序描述 — 您要添加的应用程序的描述。此字段为可选字段。
    • 目标 — 驻留在资源位置的后端计算机的 IP 地址或 FQDN。可以按如下方式指定一个或多个目的地。
      • IP 地址 v4
      • IP 地址范围 — 示例:10.68.90.10-10.68.90.99
      • CIDR — 示例:10.106.90.0/24
      • 计算机的 FQDN 或域名 — 单一域或通配符域。例如:ex.destination.domain.com、*.domain.com

        重要信息:

        如果管理员配置了基于 IP 的目标,则最终用户应仅使用 IP 地址访问应用程序。同样,如果应用程序配置了 FQDN,则用户只能通过 FQDN 访问应用程序。如果应用程序是基于 IP 地址配置的,则无法通过 FQDN 访问该应用程序。

        下表提供了各种目标的示例,以及如何访问具有这些目标的应用程序。

        目的地输入 如何访问应用程序
        10.10.10.1-10.10.10.100 最终用户只能通过此范围内的 IP 地址访问应用程序。
        10.10.10.0/24 最终用户只能通过 IP CIDR 中配置的 IP 地址访问应用程序。
        10.10.10.101 最终用户只能通过 10.10.10.101 访问应用程序
        *.info.citrix.com 最终用户应该访问 info.citrix.cominfo.citrix.com (父域)的子域。例如, info.citrix.com, sub1.info.citrix.com, level1.sub1.info.citrix.com 注意: 通配符必须始终是域的起始字符,并且只允许使用一个 *.。
        info.citrix.com 最终用户 info.citrix.com 只能访问子域,而不能访问子域。例如, sub1.info.citrix.com 不可访问。
    • 端口 — 运行应用程序的端口。管理员可以为每个目标配置多个端口或端口范围。

      下表提供了可以为目标配置的端口示例。

      端口输入 说明
      * 默认情况下,port 字段设置为 “*” (任何端口)。目标支持从 1 到 65535 的端口号。
      1300–2400 目标支持从 1300 到 2400 的端口号。
      38389 目标仅支持端口号 38389。
      22,345,5678 目标支持端口 22、345、5678。
      1300–2400, 42000-43000,22,443 端口号范围为 1300 到 2400、42000—43000, 目标支持端口 22 和 443。

      注意:

      通配符端口 (*) 不能与端口号或端口范围共存。

    • 协议 — TCP
  5. 在“应用程序连接”部分中,可以使用应用程序域表的迷你版本来做出路由决策。对于每个目标,您可以选择不同的资源位置或相同的资源位置。在上一步中配置的目标将填充在“目标”列下。此处添加的目标也会添加到主“应用程序域”表中。A pplication Dom ains 表是做出路由决策以将连接建立和流量定向到正确的资源位置的真实来源。有关“应用程序域”表和可能的 IP 冲突情形的详细信息,请参阅 应用程序域-IP 地址冲突解决方案 部分。
  6. 对于以下字段,从下拉菜单中选择输入,然后单击 下一步

    注意:

    仅支持内部路由类型。

    • 资源位置 — 从下拉菜单中,必须连接到至少安装了一个 Connector 设备的资源位置。

      注意:

      应用程序连接部分支持连接器设备安装。您也可以在 Citrix Cloud 门户的“资源位置”部分下进行安装。有关创建资源位置的详细信息,请参阅 设置资源位置

    应用程序连接

  7. 单击完成。该应用程序将添加到“应用程序”页面。配置应用程序后,可以从“应用程序”页面编辑或删除应用程序。为此,请单击应用程序上的省略号按钮,然后相应地选择操作。

    • 编辑应用程序
    • 删除

注意:

  • 要向用户授予对应用程序的访问权限,管理员需要创建访问策略。在访问策略中,管理员添加应用程序订阅者并配置安全控制。有关详细信息,请参阅创建访问策略
  • 要配置用户所需的身份验证方法,请参阅设置身份和身份验证

  • 要获取要与用户共享的 Workspace URL,请在 Citrix Cloud 菜单中单击 Workspace 配置,然后选择访问选项卡。

身份访问管理

管理员配置 — ZTNA 基于代理的对 HTTP (S) 应用程序的访问

注意:

要使用 Citrix Secure Access 代理访问现有的或新的 HTTP/HTTPS 应用程序,除网关连接器外,还必须在资源位置安装至少一个(建议两个,以实现高可用性)连接器设备。连接器可以安装在本地、数据中心虚拟机管理程序或公有云中。有关 Connector 设备及其安装的详细信息,请参阅 适用于云服务的连接器设备

必备条件

  • 在 Citrix Cloud 中访问 Citrix Secure Private Access。

注意事项

  • 无法通过 Citrix Secure Access 代理访问通过增强安全控制实施的内部 Web 应用程序。
  • 如果您尝试访问已启用增强安全控制的 HTTP(S) 应用程序,则会显示以下弹出消息。为 <”app name”(FQDN) > 应用程序启用了其他安全控制。请从 Citrix Workspace 访问。

    错误消息

  • 如果要启用 SSO 体验,请使用 Citrix Workspace 应用程序或门户网站访问 Web 应用程序。

配置 HTTP (S) 应用程序的步骤与 支持企业 Web 应用程序中介绍的现有功能相同。

自适应访问 TCP 和 HTTP (S) 应用程序

自适应访问使管理员能够根据多种情境因素(例如设备状态检查、用户地理位置、用户角色以及 Citrix Analytics 服务提供的风险评分)来管理对业务关键型应用程序的访问。

注意:

  • 您可以拒绝访问 TCP 应用程序,管理员可以根据用户、用户组、用户访问应用程序的设备以及访问应用程序的位置(国家/地区)来创建策略。默认情况下允许访问应用程序。

  • 为应用程序进行的用户订阅适用于为 ZTNA 应用程序配置的所有 TCP 应用程序目标。

创建自适应访问策略

管理员可以使用管理员指导的工作流向导在 Secure Private Access 服务中配置对 SaaS 应用程序、内部 Web 应用程序和 TCP 应用程序的零信任网络访问。

注意:

注意事项

  • 通过安全访问代理拒绝访问启用了增强安全性的现有 Web 应用程序。将显示一条错误消息,建议您使用 Citrix Workspace 应用程序登录。
  • 通过 Citrix Workspace 应用程序基于用户风险评分、设备状态检查等的 Web 应用程序的策略配置在通过 Secure Access 代理访问应用程序时有效。
  • 绑定到应用程序的策略适用于应用程序中的所有目标。

DNS 解析

连接器设备必须具有 DNS 解析的 DNS 服务器配置。

在 Windows 计算机上安装 Citrix 安全访问代理的步骤

支持的操作系统版本:

Windows – Windows 11、Windows 10、Windows Server 2016 和 Windows Server 2019。

以下是在 Windows 计算机上安装 Citrix Secure Access 代理的步骤。

  1. https://www.citrix.com/downloads/citrix-gateway/plug-ins/citrix-secure-access-client-for-windows.html 下载 Citrix Secure Access 代理。
  2. 单击“安装”在 Windows 计算机上安装代理。如果您有现有 Citrix Gateway 代理,则会升级该代理。 安装代理
  3. 单击完成以完成安装。 安装代理2

注意:

不支持 Windows 中的多用户会话。

Microsoft Edge 运行时安装步骤

现在,安全访问代理上的身份验证 UI 需要 Microsoft Edge 运行时。 默认情况下,它安装在最新的 Windows 10 和 Windows 11 计算机中。对于早期版本的计算机,请执行以下步骤。

  1. 转到以下链接:https://go.microsoft.com/fwlink/p/?LinkId=2124703
  2. 下载并安装 Microsoft Edge。如果用户系统未安装 Microsoft Edge 运行时,当您尝试连接到 Workspace URL 时,Citrix Secure Access 代理客户端会提示您进行安装。

注意:

您可以使用 SCCM 软件或组策略等自动化解决方案将 Citrix 安全访问代理或 Microsoft Edge Runtime 推送到客户端计算机。

在 macOS 计算机上安装 Citrix Secure Access 代理的步骤

必备条件:

  • 从 App Store 下载适用于 macOS 的 Citrix Secure Access 应用程序。此应用程序可从 macOS 10.15(Catalina)及更高版本中获得。
  • 预览版本仅适用于 macOS Monterey (12.x) 的 TestFlight 应用程序。
  • 如果要在 App Store 应用程序和 TestFlight 预览应用程序之间切换,则必须重新创建要用于 Citrix Secure Access 应用程序的配置文件。例如,如果您一直将连接配置文件与一起使用 blr.abc.company.com,请删除 VPN 配置文件,然后再次创建相同的配置文件。

支持的操作系统版本:

支持 macOS – 12.x (Monterey)、11.x (Big Sur) 和 10.15 (Catalina)。

注意:

不支持移动设备-iOS 和Android 系统。

启动已配置的应用程序-最终用户流程

  1. 在客户端设备上启动 Citrix Secure Access 代理。
  2. 在 Citrix Secure Access 代理的 URL 字段中输入客户管理员提供的 Workspace URL,然后单击 连接。这是一次性活动,URL已保存以供后续使用。 启动应用
  3. 系统会根据在 Citrix Cloud 中配置的身份验证方法提示用户进行身份验证。 成功进行身份验证后,用户可以访问配置的私有应用程序。

用户通知消息

在以下情况下会出现弹出式通知消息:

  • 该应用程序未获得管理员对用户的授权。

    原因: 为访问的目标 IP 地址或 FQDN 配置的应用程序未为登录用户订阅。

    弹出消息 1

  • 访问策略评估会导致拒绝访问。

    原因: 对目标 IP 地址或 FQDN 的访问被拒绝,因为绑定到应用程序的策略被评估为“拒绝对登录用户的访问”。

    弹出消息 2

  • 已为应用程序启用增强的安全控制。

    原因: 已对访问目标的应用程序启用了增强的安全控制。该应用程序可以使用 Citrix Workspace 应用程序启动。

    弹出消息 3

其他信息

应用程序域-IP 地址冲突解决方案

创建应用程序时添加的目的地将添加到主路由表中。 路由表是做出路由决策以将连接建立和流量引导到正确的资源位置的真实来源。

  • 目标 IP 地址在资源位置之间必须是唯一的。
  • Citrix 建议您避免路由表中的 IP 地址或域重叠。如果您遇到重叠,您必须解决它。

以下是冲突情景的类型。完全重叠 是唯一一种在冲突解决之前限制管理员配置的错误场景。

冲突场景 现有应用程序域条目 来自应用添加的新条目 行为
子集重叠 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL1 允许;警告信息 - IP 域与现有条目的子集重叠
子集重叠 10.10.10.0-10.10.10.255 RL1 10.10.10.50-10.10.10.60 RL2 允许;警告信息 - IP 域与现有条目的子集重叠
部分重叠 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL1 允许;警告信息-IP 域与现有条目部分重叠
部分重叠 10.10.10.0-10.10.10.100 RL1 10.10.10.50-10.10.10.200 RL2 允许;警告信息-IP 域与现有条目部分重叠
完全重叠 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL1 错误; <Completely overlapping IP domain's value> IP 域与现有条目完全重叠。请更改现有路由 IP 条目或配置其他目的地
完全重叠 10.10.10.0/24 RL1 10.10.10.0-10.10.10.255 RL2 错误; <Completely overlapping IP domain's value> IP 域与现有条目完全重叠。请更改现有路由 IP 条目或配置其他目的地
精确匹配 20.20.20.0/29 RL1 20.20.20.0/29 允许;域路由表中已存在域。所做的更改将更新域路由表

注意:

  • 如果添加的目标导致完全重叠,则在应用程序 详细信息 部分配置应用程序时会显示错误。管理员必须通过修改 应用程序连接 部分中的目标来解决此错误。

    如果“应用程序详细信息”部分没有错误,管理员可以继续保存应用程序详细信息。但是,在 App Con nectivity 部分中,如果目标之间存在子集和部分重叠,或者主路由表中的现有条目重叠,则会显示一条警告消息。在这种情况下,管理员可以选择解决错误或继续配置。

  • Citrix 建议保留一个干净的 应用程序域 表。如果 IP 地址域被划分为适当的块而没有重叠,则配置新的路由条目会更容易。

登录和注销脚本配置注册表

当 Citrix Secure Access 客户端连接到 Citrix Secure Access 云服务时,Citrix Secure Private Access 客户端将从以下注册表访问登录和注销脚本配置。

注册表:HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

  • 登录脚本路径:SecureAccessLogInScript 类型 REG_SZ
  • 注销脚本路径:SecureAccessLogOutScript 类型 REG_SZ

发行说明参考