集成和部署 Secure Web

要集成和交付 Secure Web，请遵循以下常规步骤：

1. 要启用对内部网络的单点登录 (SSO)，请配置 Citrix Gateway。

   对于 HTTP 流量，Citrix ADC 可以为 Citrix ADC 支持的所有代理身份验证类型提供 SSO。对于 HTTPS 流量，Web 密码缓存策略使 Secure Web 能够通过 MAM SDK 进行身份验证并向代理服务器提供 SSO。MSM SDK 仅支持基本、摘要和 NTLM 代理身份验证。密码使用 MAM SDK 缓存并存储在 Endpoint Management 共享保管库中，这是一个用于敏感应用程序数据的安全存储区域。有关 Citrix Gateway 配置的详细信息，请参阅 Citrix Gateway。

2. 下载 Secure Web。
3. 确定您希望如何配置用户与内部网络的连接。

• 1. 通过使用与其他 MDX 应用程序相同的步骤，将 Secure Web 添加到 Endpoint Management，然后配置 MAM SDK 策略。有关 Secure Web 特定策略的详细信息，请参阅关于 Secure Web 策略。

配置用户连接

Secure Web 支持以下用户连接配置：

• 隧道式 – Web SSO： 隧道连接到内部网络的连接可以使用客户端无 VPN 的变体，称为“隧道式 – Web SSO”。

• 反向拆分隧道： 在 REVERSE 模式下，内部网应用程序的流量绕过 VPN 隧道，而其他流量则通过 VPN 隧道。此策略可用于记录所有非本地 LAN 流量。

拆分隧道

在拆分隧道模式下，内部网应用程序的流量通过 VPN 路由，而其他流量则绕过 VPN。此功能可提高不需要 VPN 保护的应用程序的性能，并确保在连接到 Internet 时访问内部资源时的安全性。

对于 Android 和 iOS，当拆分隧道开启时，您有两个选项：

• 定义内部网 IP 地址范围： 它允许您通过打开 Secure Web（使用 mVPN）并使用您定义的 IP 地址（例如，https://10.8.0.8）来访问内部网站点。

• 定义支持通配符的内部网应用程序： 它允许您通过打开 Secure Web（使用 mVPN）并使用您定义的域地址（例如，https://abc.example.com）来访问内部网站点。

反向拆分隧道的配置步骤

要在 Citrix Gateway 上配置拆分隧道反向模式，请执行以下步骤：

• 1. 导航到策略 > 会话策略。
• 1. 选择 Secure Hub 策略，然后导航到客户端体验 > 拆分隧道。
• 1. 选择 REVERSE。

• 反向拆分隧道模式排除列表 MDX 策略

您可以在 Citrix Endpoint Management 中配置反向拆分隧道模式策略，并设置排除范围。该范围基于逗号分隔的 DNS 后缀和 FQDN 列表。此列表定义了流量应通过设备 LAN 路由而非发送到 Citrix ADC 的 URL。

下表根据配置和站点类型，说明了 Secure Web 是否提示用户输入凭据：

Secure Web 策略

添加 Secure Web 时，请注意这些特定于 Secure Web 的 MAM SDK 策略。对于所有受支持的移动设备：

• 允许或阻止的网站

• Secure Web 通常不筛选网页链接。您可以使用此策略配置允许或阻止站点的特定列表。您配置 URL 模式以限制浏览器可以打开的网站，格式为逗号分隔列表。列表中的每个模式前面都有一个加号 (+) 或减号 (-)。浏览器将 URL 与列表中列出的模式进行比较，直到找到匹配项。找到匹配项后，前缀决定采取的操作，如下所示：

• 减号 (-) 前缀指示浏览器阻止 URL。在这种情况下，URL 被视为 Web 服务器地址无法解析。
• 加号 (+) 前缀允许正常处理 URL。
• 如果模式未提供 + 或 -，则假定为 +（允许）。
• 如果 URL 与列表中的任何模式都不匹配，则允许该 URL

要阻止所有其他 URL，请以减号后跟星号 (-*) 结束列表。例如：

• 策略值 +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* 允许 mycorp.com 域内的 HTTP URL，但在其他地方阻止它们，允许任何地方的 HTTPS 和 FTP URL，并阻止所有其他 URL。

• 策略值 +http://*.training.lab/*,+https://*.training.lab/*,-* 允许用户通过 HTTP 或 HTTPS 打开 Training.lab 域（内部网）中的任何站点。此策略值不允许用户打开公共 URL，例如 Facebook、Google、Hotmail，无论协议如何。

• 默认值为空（允许所有 URL）。

• 阻止弹出窗口

• 弹出窗口是网站未经您许可打开的新选项卡。此策略确定 Secure Web 是否允许弹出窗口。如果为“开”，Secure Web 会阻止网站打开弹出窗口。默认值为“关”。

预加载书签

• 定义 Secure Web 浏览器的预加载书签集。该策略是一个逗号分隔的元组列表，其中包括文件夹名称、友好名称和网址。每个三元组必须采用 folder, name, url 的形式，其中 folder 和 name 可以选择用双引号 (“”) 括起来。

例如，策略值,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",帐户登录,https://www.mycorp.com/Accounts "MyCorp Links/投资者关系","联系我们",https://www.mycorp.com/IR/Contactus.aspx 定义了三个书签。第一个是名为“Mycorp, Inc. home page”的主链接（无文件夹名称）。第二个链接放置在名为“MyCorp Links”的文件夹中，并标记为“帐户登录”。第三个链接放置在“MyCorp Links”文件夹的“投资者关系”子文件夹中，并显示为“联系我们”。

默认值为空。

主页 URL

定义 Secure Web 启动时加载的网站。默认值为空（默认起始页）。

仅适用于受支持的 Android 和 iOS 设备：

浏览器用户界面

规定 Secure Web 的浏览器用户界面控件的行为和可见性。通常，所有浏览控件都可用。其中包括前进、后退、地址栏以及刷新/停止控件。您可以配置此策略以限制其中某些控件的使用和可见性。默认值为“所有控件可见”。

选项：

• 所有控件可见。 所有控件均可见，用户不受限制地使用它们。
• 只读地址栏。 所有控件均可见，但用户无法编辑浏览器地址字段。
• 隐藏地址栏。 隐藏地址栏，但不隐藏其他控件。
  • 隐藏所有控件。 隐藏整个工具栏以提供无框浏览体验。

启用 Web 密码缓存

-  当 Secure Web 用户在访问或请求 Web 资源时输入凭据时，此策略确定 Secure Web 是否在设备上静默缓存密码。此策略适用于在身份验证对话框中输入的密码，而不适用于在 Web 表单中输入的密码。

如果为开，Secure Web 会缓存用户在请求 Web 资源时输入的所有密码。如果为关，Secure Web 不会缓存密码并删除现有缓存密码。默认值为关。

代理服务器

您还可以为在隧道式 – Web SSO 模式下使用的 Secure Web 配置代理服务器。有关详细信息，请参阅此博客文章。

DNS 后缀

在 Android 上，如果未配置 DNS 后缀，VPN 可能会失败。有关配置 DNS 后缀的详细信息，请参阅通过使用 Android 设备的 DNS 后缀支持 DNS 查询。

为 Secure Web 准备 Intranet 站点

-  本部分适用于需要为 Secure Web for Android 和 iOS 准备 Intranet 站点的网站开发人员。为桌面浏览器设计的 Intranet 站点需要进行更改才能在 Android 和 iOS 设备上正常运行。

Secure Web 依靠 Android WebView 和 iOS WkWebView 提供 Web 技术支持。Secure Web 支持的一些 Web 技术包括：

• AngularJS
• ASP .NET
• JavaScript
• jQuery
• WebGL

• WebSockets

• Secure Web 不支持的一些 Web 技术包括：

• Flash
• Java

下表显示了 Secure Web 支持的 HTML 呈现功能和技术。“X”表示该功能可用于平台、浏览器和组件组合。

• 技术

  Secure Web for iOS

  Secure Web for Android

• | – | – | – |

• JavaScript engine

  JavaScriptCore

  V8

• Local Storage

  X

  X

• AppCache

  X

  X

• IndexedDB

  X

• SPDY

  X

• WebP

  X

• srcet

  X

  X

• WebGL

  X

• requestAnimationFrame API

  X

• Navigation Timing API		X
  Resource Timing API		X

技术在不同设备上的工作方式相同；但是，Secure Web 会为不同的设备返回不同的用户代理字符串。要确定 Secure Web 使用的浏览器版本，您可以查看其用户代理字符串。您可以从 Secure Web 日志中检查用户代理。要收集 Secure Web 日志，请导航到 Secure Hub > 帮助 > 报告问题。从应用程序列表中选择 Secure Web。您会收到一封电子邮件，其中附有压缩的日志文件。

Intranet 站点故障排除

要解决在 Secure Web 中查看 Intranet 站点时出现的呈现问题，请比较网站在 Secure Web 和兼容的第三方浏览器上的呈现方式。

对于 iOS，兼容的第三方测试浏览器是 Chrome 和 Dolphin。

对于 Android，兼容的第三方测试浏览器是 Dolphin。

注意：

Chrome 是 Android 上的原生浏览器。请勿将其用于比较。

在 iOS 中，请确保浏览器具有设备级 VPN 支持。您可以在设备上通过 设置 > VPN > 添加 VPN 配置 来配置此支持。

您还可以使用 App Store 上提供的 VPN 客户端应用程序，例如 Citrix Secure Access、Cisco AnyConnect 或 Pulse Secure。

• 如果网页在两个浏览器中的呈现效果相同，则问题出在您的网站上。请更新您的站点，并确保其适用于操作系统。
• 如果网页问题仅在 Secure Web 中出现，请联系 Citrix 支持部门以提交支持票证。请提供您的故障排除步骤，包括经过测试的浏览器和操作系统类型。如果适用于 iOS 的 Secure Web 存在呈现问题，您可以按照以下步骤所述附上页面的 Web 存档。这样做有助于 Citrix 更快地解决问题。

验证 SSL 连接

请确保 SSL 证书链已正确配置。您可以使用 SSL 证书检查器检查移动设备上未链接或安装的缺失根 CA 或中间 CA。

许多服务器证书由多个分层证书颁发机构 (CA) 签署，这意味着这些证书形成一个链。您必须链接这些证书。有关安装或链接您的证书的信息，请参阅安装、链接和更新证书。

创建 Web 存档文件

通过在 macOS 10.9 或更高版本上使用 Safari，您可以将网页保存为 Web 存档文件（称为阅读列表）。Web 存档文件包含所有链接的文件，例如图像、CSS 和 JavaScript。

1. 在 Safari 中，清空“阅读列表”文件夹：在“访达”中，单击“菜单”栏中的“前往”菜单，选择“前往文件夹”，键入路径名 ~/Library/Safari/ReadingListArchives/。现在删除该位置中的所有文件夹。

2. 在“菜单”栏中，转至“Safari > 偏好设置 > 高级”，并在菜单栏中启用“显示开发菜单”。

3. 在“菜单”栏中，转至“开发 > 用户代理”，然后输入 Secure Web 用户代理：(Mozilla/5.0 (iPad; CPU OS 8_3 like macOS) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25)。

4. 在 Safari 中，打开要保存为阅读列表（Web 存档文件）的网站。

5. 在“菜单”栏中，转至“书签 > 添加到阅读列表”。此步骤可能需要几分钟。存档在后台进行。

6. 找到存档的阅读列表：在“访达”中，单击“菜单”栏中的“前往”菜单，选择“前往文件夹”，然后键入路径名 ~/Library/Safari/ReadingListArchives/。

7. 验证存档文件：

   • 关闭 Mac 的网络连接。

   • 从阅读列表中打开网站。

     网站将完全呈现。

8. 压缩存档文件：在“访达”中，单击“菜单”栏中的“前往”菜单，选择“前往文件夹”，然后键入路径名 ~/Library/Safari/ReadingListArchives/。然后，压缩文件名为随机十六进制字符串的文件夹。此文件是您在提交支持票证时可以发送给 Citrix 支持部门的文件。

Secure Web 功能

Secure Web 使用移动数据交换技术为用户创建专用 VPN 隧道，以访问内部和外部网站以及所有其他网站。这些站点包括在由您的组织策略保护的环境中包含敏感信息的站点。

Secure Web 与 Secure Mail 和 Citrix Files 的集成在安全的 Endpoint Management 容器中提供了无缝的用户体验。以下是一些集成功能的示例：

• 当用户点击 Mailto 链接时，Secure Mail 中会打开一封新电子邮件，无需额外身份验证。

• 允许链接在 Secure Web 中打开以确保数据安全： 在适用于 Android 的 Secure Web 中，专用 VPN 隧道允许用户安全地访问包含敏感信息的站点。他们可以从 Secure Mail、Secure Web 内部或第三方应用程序中点击链接。链接在 Secure Web 中打开，数据安全地包含在其中。用户可以在 Secure Web 中打开具有 ctxmobilebrowser 方案的内部链接。Secure Web 会将 ctxmobilebrowser:// 前缀转换为 http://。要打开 HTTPS 链接，Secure Web 会将 ctxmobilebrowsers:// 转换为 https://。

  在适用于 iOS 的 Secure Web 中，此功能取决于名为“入站文档交换”的应用程序交互 MDX 策略。默认情况下，此策略设置为“无限制”。此设置允许 URL 在 Secure Web 中打开。您可以更改策略设置，以便只有您包含在允许列表中的应用程序才能与 Secure Web 通信。

• 当用户点击电子邮件中的内部网链接时，Secure Web 会转到该站点，无需额外身份验证。

• 用户可以将通过 Secure Web 从 Web 下载的文件上传到 Citrix Files。

Secure Web 用户还可以执行以下操作：

• 阻止弹出窗口。

  注意：

  Secure Web 的大部分内存都用于呈现弹出窗口，因此通过在“设置”中阻止弹出窗口，通常可以提高性能。

• 为其收藏的站点添加书签。
• 下载文件。
• 离线保存页面。
• 自动保存密码。
• 清除缓存/历史记录/Cookie。
• 禁用 Cookie 和 HTML5 本地存储。
• 与其他用户安全地共享设备。
• 在地址栏中搜索。
• 允许通过 Secure Web 运行的 Web 应用程序访问其位置。
• 导出和导入设置。
• 直接在 Citrix Files 中打开文件，而无需下载文件。要启用此功能，请将 ctx-sf: 添加到 Endpoint Management 中的“允许的 URL”策略。
• 在 iOS 中，使用 3D Touch 操作直接从主屏幕打开新选项卡并访问离线页面、收藏站点和下载。

• 在 iOS 中，下载任意大小的文件并在 Citrix Files 或其他应用程序中打开它们。

  注意：

  将 Secure Web 置于后台会导致下载停止。

• 使用“在页面中查找”在当前页面视图中搜索术语。

  

Secure Web 还具有动态文本支持，因此它会显示用户在其设备上设置的字体。

注意：

• Citrix Files for XenMobile 已于 2023 年 7 月 1 日终止生命周期 (EOL)。有关详细信息，请参阅 EOL 和已弃用的应用程序。