配置 Citrix Secure Private Access
-
您必须拥有 Citrix Cloud 帐户。有关如何继续操作的详细说明,请参阅 注册 Citrix Cloud。
-
您必须拥有 Citrix Secure Private Access 服务授权。在 Citrix Cloud 屏幕上的可用服务部分,单击请求试用。
收到服务授权后,磁贴在“我的服务”中可用。单击“管理”访问服务 UI。
-
要使最终用户使用 Workspace 和访问应用程序,他们必须下载并使用 Citrix Workspace 应用程序或使用 Workspace URL。您必须将几个 SaaS 应用程序发布到您的工作区才能测试 Citrix Secure Private Access 解决方案。Workspace 应用程序可以从 https://www.citrix.com/downloads 下载。在“查找下载”列表中,选择 Citrix Workspace 应用程序。
-
如果您配置了出站防火墙,请确保允许访问以下域。
- *.cloud.com
- *.nssvc.net
- *.netscalergateway.net
有关更多详细信息,请参阅 Cloud Connector 代理和防火墙配置 以及 Internet 连接要求。
限制: 您只能添加一个 Workspace 帐户。
管理员设置
下图显示了开始使用 Citrix Secure Private Access 服务的高级步骤。
-
设置最终用户身份验证。您必须首先使用组织的首选身份提供程序配置用户的工作区,该身份提供程序可以是 Citrix 身份(Citrix Cloud 的唯一身份)、Active Directory、活动目录和令牌或 Azure Active Directory。有关不同身份验证方法以及如何选择它们的信息,请参阅 Workspace 配置和身份和访问管理。
-
配置最终用户对 SaaS 和虚拟应用程序的访问权限。有关配置和发布 SaaS 应用程序的详细步骤, 请参阅支持软件即服务应用程序。
-
为从 SaaS 应用程序访问 Internet 配置 Web 筛选。如果您已从 Citrix Gateway 服务添加了 SaaS 应用程序,要返回到 Citrix Secure Private Access 服务,请单击导航窗格左上角的汉堡包图标。在“我的服务”列表中,选择“访问控制”。单击“配置内容访问设置”。
为从 SaaS 应用程序访问互联网配置网页过滤
现在,您可以为访问 SaaS 应用程序的最终用户配置内容访问设置。例如,SaaS 应用程序中的链接可能指向恶意网站。通过内容访问设置,管理员可以获取特定网站 URL 或网站类别,并允许访问、阻止访问或将请求重定向到托管的安全浏览器实例,从而帮助防止基于浏览器的攻击。有关 Remote Browser Isolation 服务的更多信息,请参阅 Secure Browser Standard Service 上的 Secure Browser Standard Service 文档。
注意:
默认情况下,付费的 Secured Browser Standard Service 客户(组织)每年可使用 5000 小时。在更长的时间内,他们需要购买安全的浏览器附加包。您可以跟踪 Remote Browser Isolation 服务的使用情况。有关详细信息,请参阅 监视使用情况。
下图说明了最终用户流量。
当请求到达时,将执行以下检查并采取相应的操作:
-
请求是否与全局允许列表匹配?
-
如果匹配,则用户可以访问请求的网站。
-
如果不匹配,则检查网站列表。
-
-
请求是否与配置的网站列表匹配?
-
如果匹配,则以下顺序确定操作。
-
阻止
-
重定向
-
允许
-
-
如果不匹配,则选中网站类别。
-
-
请求是否与配置的网站类别匹配?
-
如果匹配,则以下顺序确定操作。
-
阻止
-
重定向
-
允许
-
-
如果不匹配,则应用默认操作 (ALLOW)。无法更改默认操作。
-
要配置增强的安全设置,请执行以下步骤。
-
单击“配置内容访问权限”。
-
配置网站类别过滤或网站列表或两者。
配置网站类别过滤
网站分类限制用户访问特定的网站类别。管理员可以从预设列表中进行选择,也可以根据部署自定义类别。预设列表使组织能够使用商业分类数据库过滤 Web 流量。自动更新数据库将数十亿个网站分为不同的类别,例如社交网络、赌博、成人内容、新媒体和购物。除了分类外,每个网站的声誉分数都根据网站的历史风险状况保持最新。预设分为严格、中等、宽松、无和自定义。管理员可以调整预设以添加或删除网站类别。
- 严格的预设将访问不安全或恶意网站的风险降至最低。最终用户仍然可以低风险访问网站。包括大多数商务旅行和社交媒体网站。
- 适度预设可最大限度地降低风险,同时允许更多类别以较低的概率从不安全或恶意站点暴露。包括大多数商务旅行、休闲和社交媒体网站。
- Lenient 预设最大限度地提高了访问权限,同时仍能控制来自非法和恶意 Web 站点的风险。
- 无预设允许所有类别。
- 自定义允许配置类别的自定义筛选。
执行以下步骤配置网站类别过滤。
-
启用 筛选器网站类别。
-
单击相应部分中的“添加”以阻止网站类别、允许网站类别或将用户重定向到安全浏览器。例如,若要阻止类别,请在“阻止类别”部分中单击“添加”。
-
从列表中选择要阻止的类别,然后单击 添加。
-
要允许类别,请在允许的类别部分单击 添加。从列表中选择要允许的类别,然后单击 添加。
-
若要将用户重定向到安全浏览器,请在“重定向到安全浏览器类别”部分单击“添加”。从列表中选择类别,然后单击 添加。
-
单击保存。
配置网站列表过滤
网站列表功能使您能够控制对特定网站的访问。您可以使用通配符(例如 *.example.com/*)来控制对该网站所有域名以及该域中所有页面的访问。 执行以下步骤配置网站列表过滤。
-
启用 筛选器网站列表。单击相应部分中的“添加”以阻止网站、允许网站或将用户重定向到安全浏览器。例如,要阻止网站,请在“阻止的类别”部分单击“添加”。
-
输入用户无法访问的网站,然后单击“添加”。
-
若要允许网站,请在允许的网站部分单击 添加。输入用户可以访问的网站,然后单击“添加”。
-
若要将用户重定向到安全浏览器,请在“重定向到安全浏览器网站”部分单击“添加”。输入最终用户只能通过 Citrix 托管浏览器访问的网站,然后单击 添加。
-
单击“保存”以使更改生效。
