未经批准的 Web 站点
未在 Secure Private Access 中配置的应用程序(内联网或 Internet)被视为“未经批准的 Web 站点”。默认情况下,如果没有为所有内联网 Web 应用程序配置应用程序和访问策略,Secure Private Access 会拒绝访问这些应用程序。
对于所有其他未配置应用程序的 Internet URL 或 SaaS 应用程序,管理员可以使用管理控制台中的设置 > 未经批准的 Web 站点选项卡,允许或拒绝通过 Citrix Enterprise Browser 进行访问。管理员还可以将访问重定向到远程浏览器隔离 (RBI) 环境,以防止基于浏览器的攻击。如果管理员配置了将 URL 重定向到 RBI,则会发生以下操作。
- Secure Private Access 会转换域。
- 然后,Citrix Enterprise Browser 将这些 URL 发送回 Secure Private Access。
- Secure Private Access 将这些 URL 重定向到远程浏览器隔离服务。
您可以使用通配符(例如 *.example.com
)来控制对该网站中所有域名以及该网域内所有页面的访问权限。
注意:
默认情况下,设置配置为允许通过 Citrix Enterprise Browser 访问所有 Internet URL 或 SaaS 应用程序。
未经批准的 Web 站点是如何运作的
- 完成 URL 分析检查以确定该 URL 是否为 Citrix 服务 URL。
- 然后检查该 URL 以确定它是企业 Web 应用程序 URL 还是 SaaS 应用程序 URL。
- 然后检查该 URL,以确定它是否被识别为被屏蔽的 URL,或者是否必须将其重定向到 Secure Browser 会话,或者是否允许访问该 URL。
下图说明了最终用户流量。
当请求到达时,将执行以下检查并采取相应的操作:
-
请求是否与全局允许列表匹配?
-
如果匹配,则用户可以访问请求的网站。
-
如果不匹配,则检查网站列表。
-
-
请求是否与配置的网站列表匹配?
-
如果匹配,则以下顺序确定操作。
-
阻止
-
重定向
-
允许
-
-
如果不匹配,则应用默认操作 (ALLOW)。无法更改默认操作。
-
为未经批准的 Web 站点配置规则
-
在 Secure Private Access 控制台中,单击设置 > 未经批准的 Web 站点。
注意:
- 默认情况下,网络过滤功能处于启用状态,允许访问所有未经批准的 Internet URL。
- 您可以将设置更改为阻止所有用户访问未经批准的 Web 站点,以阻止所有用户通过 Citrix Enterprise Browser 访问任何 Internet URL。
您还可以通过将特定 URL 添加到被封锁的网站、允许的网站或重定向到远程浏览器隔离列表来更改特定 URL 的设置。
例如,如果您在默认情况下封锁了对所有未经批准的 URL 的访问权限,并且只想允许访问几个特定的 Internet URL,则可以通过执行以下步骤来实现:
- 单击“允许的网站”选项卡,然后单击“允许使用网站”。
- 添加必须允许访问的网站地址。您可以手动添加网站地址,也可以拖放包含该网站地址的 CSV 文件。
-
单击“添加 URL”,然后单击“保存”。
该 URL 将添加到允许的网站列表中。
注意:
默认情况下,付费的远程浏览器隔离标准服务客户(组织)每年可使用 5,000 小时。在更长的时间内,他们必须购买 Secure Browser 加载项包。您可以跟踪 Remote Browser Isolation 服务的使用情况。有关详细信息,请参阅以下主题: