Citrix Secure Web

Citrix Secure Web 是一款移动 Web 浏览器,用于提供对内部和外部站点的安全访问。您可以将 Secure Web 配置为在 Citrix Secure Hub 中注册用户设备时自动推送到用户设备,或者用户可以从 Endpoint Management 应用商店添加该应用程序。

有关 Secure Web 以及其他移动生产力应用程序的系统要求,请参阅系统要求

集成并交付 Secure Web

重要:

MDX Toolkit 10.7.10 是支持打包移动生产力应用程序的最后一个版本。用户从公共应用商店访问移动生产力应用程序 10.7.5 及更高版本。

要集成并交付 Secure Web,请按照以下常规步骤进行操作:

  1. 要对内部网络启用 SSO,请配置 Citrix Gateway。

    对于 HTTP 流量,Citrix ADC 可以向 Citrix ADC 支持的所有代理身份验证类型提供 SSO。对于 HTTPS 流量,“Web 密码缓存”策略允许 Secure Web 进行身份验证并通过 MDX 提供对代理服务器的 SSO。MDX 仅支持基本身份验证、摘要式身份验证和 NTLM 代理身份验证。密码使用 MDX 缓存并存储在 Endpoint Management 共享保管库(用于存储敏感应用程序数据的安全存储区域)中。有关 Citrix Gateway 配置的详细信息,请参阅 Citrix Gateway

  2. 下载 Secure Web。
  3. 确定如何配置与内部网络之间的用户连接。
  4. 将 Secure Web 添加到 Endpoint Management 中(操作步骤与其他 MDX 应用程序相同),然后配置 MDX 策略。有关 Secure Web 特定策略的详细信息,请参阅本文后面的“关于 Secure Web 策略”。

配置用户连接

Secure Web 支持以下用户连接配置:

  • 安全浏览: 通过通道连接到内部网络的连接可以使用无客户端 VPN 的变体(称为“安全浏览”)。这是为首选 VPN 模式策略指定的默认配置。建议对需要单点登录 (SSO) 的连接使用安全浏览。
  • 完整 VPN 通道: 通过通道连接到内部网络的连接可以使用首选 VPN 模式策略配置的完整 VPN 通道。建议对通过客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道。完整 VPN 通道通过 TCP 处理任何协议,并且可以在 Windows 和 Mac 计算机以及 iOS 和 Android 设备上使用。
  • 允许 VPN 模式切换策略允许用户根据需要在完整 VPN 通道模式与安全浏览模式之间自动切换。默认情况下,此策略设置为“关”。如果此策略设置为“开”,则将在备选模式下尝试重新处理由于无法在首选 VPN 模式下处理身份验证请求而失败的网络请求。例如,服务器对客户端证书的质询可以被完整 VPN 通道模式接受,但不被安全浏览模式接受。同样,使用安全浏览模式时,通过 SSO 向 HTTP 身份验证质询提供服务的可能性更大。
  • 使用 PAC 的完整 VPN 通道: 可以对 iOS 和 Android 设备的完整 VPN 通道部署使用代理自动配置 (PAC) 文件。PAC 文件中包含的规则用于定义 Web 浏览器如何选择代理以访问指定 URL。PAC 文件规则可以指定对外部和内部站点的处理方式。Secure Web 解析 PAC 文件规则并将代理服务器信息发送到 Citrix Gateway。
  • 使用 PAC 文件时,完整 VPN 通道的性能可以与安全浏览模式相媲美。有关 PAC 配置的详细信息,请参阅使用 PAC 的完整 VPN 通道

下表说明了 Secure Web 是否会根据配置和站点类型提示用户输入凭据:

连接模式 站点类型 密码缓存 为 Citrix Gateway 配置的 SSO 在首次访问 Web 站点时,Secure Web 提示输入凭据 在之后访问 Web 站点时,Secure Web 提示输入凭据 在更改密码后,Secure Web 提示输入凭据
安全浏览 http
安全浏览 https
完整 VPN http
完整 VPN https 是;如果 Secure Web MDX 策略“启用 Web 密码缓存”设置为“开”。 是;在 Secure Web 中缓存凭据时需要。

使用 PAC 的完整 VPN 通道

重要:

如果为 Secure Web 配置了 PAC 文件,并且为代理操作配置了 Citrix ADC,Secure Web 将超时。使用“使用 PAC 的完整 VPN 通道”之前,必须删除为代理配置的 Citrix Gateway 流量策略。

为 Secure Web 配置使用 PAC 文件或代理服务器的完整 VPN 通道时,Secure Web 通过 Citrix Gateway 将所有流量发送到代理,代理随后根据代理配置规则路由流量。在此配置中,Citrix Gateway 无法识别 PAC 文件或代理服务器。该通信流与不使用 PAC 文件的完整 VPN 通道的通信流相同。

下图显示了 Secure Web 用户导航到某个 Web 站点时的通信流:

从 Secure Web 到 Web 站点的通信示意图

在该示例中,流量规则指定以下内容:

  • Citrix Gateway 直接连接到 Intranet 站点 example1.net
  • 流向 Intranet 站点 example2.net 的流量通过内部代理服务器代理。
  • 外部流量通过内部代理服务器代理。代理规则阻止流向以下站点的外部流量 Facebook.com.

配置使用 PAC 的完整 VPN 通道

  1. 验证并测试 PAC 文件。

    注意:

    有关创建和使用 PAC 文件的详细信息,请参阅 https://findproxyforurl.com/

    使用 PAC 验证工具(如 Pacparser)验证 PAC 文件。读取 PAC 文件时,请确保 Pacparser 结果与您的预期相同。如果 PAC 文件包含语法错误,移动设备会在无提示的情况下忽略 PAC 文件。(PAC 文件仅存储在移动设备上的内存中。)

    PAC 文件按照从上到下的顺序处理,有规则与当前查询匹配时停止处理。

    请在将 PAC 文件 URL 输入 Endpoint Management 的 PAC/代理字段之前,在 Web 浏览器中测试此 URL。确保计算机可以访问 PAC 文件所在的网络。

    https://webserver.local/GenericPAC.pac https://webserver.local/GenericPAC.pac

    测试后的 PAC 文件扩展名为 .txt 或 .pac。

    PAC 文件应该在 Web 浏览器中显示其内容。

    重要:

    每次更新用于 Secure Web 的 PAC 文件时,都会通知用户必须关闭并重新打开 Secure Web。

  2. 配置 Citrix Gateway

    • 禁用 Citrix Gateway 拆分通道。如果启用了拆分通道并且配置了 PAC 文件,PAC 文件规则将覆盖 Citrix ADC 拆分通道规则。代理不会覆盖 Citrix ADC 拆分通道规则。
    • 删除为代理配置的 Citrix Gateway 流量策略。这是 Secure Web 正常运行必需的。下图显示了要删除的策略规则示例。

    Citrix Gateway 流量策略配置屏幕示意图

  3. 配置 Secure Web 策略:

    • 将“首选 VPN 模式”策略设置为完整 VPN 通道
    • 将“允许 VPN 模式切换”策略设置为
    • 配置 PAC 文件 URL 或代理服务器策略。Secure Web 支持 HTTP 和 HTTPS 以及默认端口和非默认端口。对于 HTTPS,如果证书为自签名证书或者不受信任,则必须在设备上安装根证书颁发机构。

      请务必在配置策略之前,先在 Web 浏览器中测试 URL 或代理服务器地址。

      PAC 文件 URL 示例:

      http[s]://example.com/proxy.pac http[s]://10.10.0.100/proxy.txt

      示例代理服务器(需要配置端口):

      myhost.example.com:port

      10.10.0.100:port

      注意:

      如果配置了 PAC 文件或代理服务器,请不要在 WiFi 的系统代理设置中配置 PAC。

    • 将“启用 Web 密码缓存”策略设置为。Web 密码缓存处理 HTTPS 站点的 SSO。

      如果代理支持相同的身份验证基础结构,Citrix ADC 可以对内部代理执行 SSO。

PAC 文件支持的限制

Secure Web 不支持:

  • 从一台代理服务器故障转移到另一台代理服务器。PAC 文件评估可以返回某个主机名对应的多台代理服务器。Secure Web 仅使用返回的第一个代理服务器。
  • PAC 文件中的协议(例如 ftp 和 gopher)。
  • PAC 文件中的 SOCKS 代理服务器。
  • Web 代理自动发现协议 (Web Proxy Autodiscovery Protocol, WPAD)。

Secure Web 忽略 PAC 文件功能警报,以使 Secure Web 能够解析不包括这些调用的 PAC 文件。

Secure Web 策略

添加 Secure Web 时,请注意 Secure Web 特定的这些 MDX 策略。对于所有受支持的移动设备:

允许或阻止的 Web 站点

Secure Web 通常不过滤 Web 链接。您可以使用此策略配置特定的允许或阻止站点的列表。可以对 URL 模式进行配置,以限制浏览器可以打开的 Web 站点,其格式为逗号分隔的列表。列表中的每种模式前面都带有一个加号 (+) 或减号 (-)。浏览器按列出顺序将 URL 与模式进行比较,直至找到一个匹配项。找到一个匹配项后,将执行前缀规定的操作,如下所示:

  • 减号 (-) 前缀指示浏览器阻止打开 URL。在这种情况下,该 URL 被视为无法解析的 Web 服务器地址。
  • 加号 (+) 前缀允许按常规处理 URL。
  • 如果随模式提供 + 或 -,则会假定提供 +(允许)。
  • 如果 URL 与列表中的任何模式都不匹配,则允许打开该 URL。

要阻止所有其他 URL,请在列表结尾添加减号后跟星号 (-*)。例如:

  • 策略值 +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* 允许在 mycorp.com 域中使用 HTTP URL,但在其他位置阻止这些 URL,允许在任何位置使用 HTTPS 和 FTP URL,但阻止所有其他 URL。
  • 策略值 +http://*.training.lab/*,+https://*.training.lab/*,-* 允许用户通过 HTTP 或 HTTPS 打开 Training.lab 域 (intranet) 中的任何站点,但不允许打开公用 URL,如 Facebook、Google、Hotmail 等,无论协议为何。

默认值为空(允许打开所有 URL)。

阻止弹出窗口

弹出窗口是在未经您允许的情况下 Web 站点打开的新选项卡。此策略确定 Secure Web 是否允许弹出窗口。如果设为“开”,Secure Web 将阻止 Web 站点打开弹出窗口。默认值为“关”。

预加载的书签

为 Secure Web 浏览器定义一组预加载的书签。此策略是一组用逗号分隔的元组列表,包括文件夹名称、友好名称和 Web 地址。每个元组都应使用格式 folder,name,url,其中 folder 和 name 可能会有选择地用双引号 (“) 引起。

例如,策略值 ,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx 定义了三个书签。第一个为主链接(无文件夹名称),标题为“Mycorp, Inc. home page”。第二个链接将置于标题为“MyCorp Links”、标签为“Account logon”的文件夹中。第三个链接将置于“MyCorp Links”文件夹的“Investor Relations”子文件夹中,显示为“Contact us”。

默认值为空。

主页 URL

定义 Secure Web 在启动时加载的 Web 站点。默认值为空(默认启动页面)。

仅限受支持的 Android 和 iOS 设备:

浏览器用户界面

规定 Secure Web 的浏览器用户界面控件的行为和可见性。通常情况下,所有浏览控件都可用。这些控件包括前进、后退、地址栏和刷新/停止控件。可以配置此策略以限制这些控件的使用和可见性。默认值为所有控件都可见。

选项:

  • 所有控件都可见。所有控件都可见,并且不限制用户使用。
  • 只读地址栏。所有控件都可见,但用户无法编辑浏览器地址字段。
  • 隐藏地址栏。隐藏地址栏,但不隐藏其他控件。
  • 隐藏所有控件。禁止显示整个工具栏以提供无框浏览体验。

启用 Web 密码缓存

当 Secure Web 用户为访问或请求 Web 资源输入凭据时,此策略确定 Secure Web 是否以无提示方式在设备上缓存密码。此策略适用于在身份验证对话框中输入的密码,不适用于在 Web 表单中输入的密码。

如果设置为,Secure Web 将缓存用户在请求 Web 资源时输入的所有密码。如果设置为,Secure Web 将不缓存密码并删除已缓存的现有密码。默认值为

仅当您同时将“首选 VPN”策略设置为此应用程序的完整 VPN 通道时才能启用此策略。

代理服务器

在安全浏览模式下使用时,还可以为 Secure Web 配置代理服务器。有关详细信息,请参阅此博客文章

DNS 后缀

在 Android 上,如果未配置 DNS 后缀,VPN 可能会失败。有关配置 DNS 后缀的详细信息,请参阅 Supporting DNS Queries by Using DNS Suffixes for Android Devices(支持使用面向 Android 设备的 DNS 后缀进行 DNS 查询)。

准备用于 Secure Web 的 Intranet 站点

此部分面向 Web 站点开发人员,他们需要准备用于 Secure Web for Android 和 Secure Web for iOS 的 Intranet 站点。旨在用于桌面浏览器的 Intranet 站点需要更改才能在 Android 和 iOS 设备上正常使用。

Secure Web 依靠 Android WebView 和 iOS UIWebView 来提供 Web 技术支持。Secure Web 支持的一些 Web 技术包括:

  • AngularJS
  • ASP .NET
  • JavaScript
  • JQuery
  • WebGL
  • WebSocket

Secure Web 不支持的一些 Web 技术包括:

  • Flash
  • Java

下表显示了 Secure Web 支持的 HTML 呈现功能和技术。X 表示相应功能适用于某个平台、浏览器和组件组合。

技术 iOS Secure Web Android 5.x/6.x/7.x Secure Web
JavaScript 引擎 JavaScriptCore V8
本地存储 X X
AppCache X X
IndexedDB   X
SPDY X  
WebP   X
srcet X X
WebGL   X
requestAnimationFrame API   X
导航计时 API   X
资源计时 API   X

技术在不同设备上作用方式相同;但 Secure Web 对不同的设备返回不同的用户代理字符串。要确定用于 Secure Web 的浏览器版本,可以查看其用户代理字符串。从 Secure Web 导航到 https://whatsmyuseragent.com/

Intranet 站点故障排除

要解决在 Secure Web 中查看 Intranet 站点时遇到的呈现问题,请将 Web 站点在 Secure Web 上的呈现情况与在兼容的第三方浏览器中的呈现情况进行比较。

对于 iOS,用于测试的兼容第三方浏览器为 Chrome 和 Dolphin。

对于 Android,用于测试的兼容第三方浏览器为 Dolphin。

注意:

Chrome 是 Android 上的本机浏览器。请勿将其用于比较。

在 iOS 中,请确保浏览器支持设备级 VPN。可以在设备上的设置 > VPN > 添加 VPN 配置中配置此选项。

还可以使用应用商店中提供的 VPN 客户端应用程序,例如 Citrix VPNCisco AnyConnectPulse Secure

  • 如果 Web 页面在两个浏览器上的呈现情况相同,则问题源于您的 Web 站点。请更新此站点,并确保它可以很好地适用于操作系统。
  • 如果 Web 页面上的问题仅出现在 Secure Web 中,请联系 Citrix 技术支持,以打开一个支持票证。请提供您的故障排除步骤,包括测试的浏览器和操作系统类型。如果 Secure Web for iOS 存在呈现问题,请按以下步骤所述将页面的 Web 存档包括在内。这样可帮助 Citrix 更加快速地解决该问题。

创建 Web 存档文件

在 macOS 10.9 或更高版本上使用 Safari 时,可以将 Web 页面另存为包括所有链接文件(包括图片、CSS 和 JavaScript)的 Web 存档文件(又称为“阅读列表”)。

  1. 在 Safari 中,清空“阅读列表”文件夹:在 Finder 中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名称 ~/Library/Safari/ReadingListArchives/,然后删除该位置下的所有文件夹。

  2. 菜单栏中,转到 Safari > 偏好设置 > 高级并启用“在菜单栏中显示“开发”菜单”。

  3. 菜单栏中,转到开发 > 用户代理并输入 Secure Web 用户代理:(Mozilla/5.0(iPad,CPU OS 8_3,例如 macOS)AppleWebKit/600.1.4(KHTML,例如 Gecko)Mobile/12F69 Secure Web/10.1.0 (内部版本 1.4.0)Safari/8536.25)。

  4. 在 Safari 中,打开要另存为阅读列表(Web 存档文件)的 Web 站点。

  5. 菜单栏中,转到书签 > 添加到阅读列表。此操作可能需要几分钟时间。存档在后台进行。

  6. 找到存档的阅读列表:在菜单栏中,转到查看 > 显示阅读列表边栏

  7. 验证存档文件:

    • 关闭与 Mac 之间的网络连接。
    • 打开阅读列表中的 Web 站点。

      该 Web 站点应完整呈现。

  8. 压缩存档文件:在 Finder 中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名称 ~/Library/Safari/ReadingListArchives/,然后压缩使用随机十六进制字符串作为文件名的文件夹。打开支持票证时,可以将该文件发送给 Citrix 技术支持。

Secure Web 功能

Secure Web 利用移动数据交换技术创建专用 VPN 通道,以便用户在受贵公司的策略保护的环境中能够访问内部和外部 Web 站点以及所有其他 Web 站点(包含带有敏感信息的站点)。

Secure Web 与 Secure Mail 和 Citrix Files 的集成在安全的 Endpoint Management 容器中提供无缝的用户体验。下面是集成功能的几个示例:

  • 用户轻按 mailto 链接时,将在 Citrix Secure Mail 中打开一封新电子邮件,不需要进一步进行身份验证。
  • 在 iOS 中,用户可以在 Secure Web 中从本机邮件应用程序打开链接,方法是在 URL 前插入 ctxmobilebrowser://。例如,从本机邮件应用程序中打开 example.com,使用 URL ctxmobilebrowser://example.com。
  • 当用户单击电子邮件中的 Intranet 链接时,Secure Web 会转到该站点而无需进行额外的身份验证。
  • 用户可以将其在 Secure Web 中从 Web 下载的文件上载到 Citrix Files。

Secure Web 用户还可以执行以下操作:

  • 阻止弹出窗口。

    注意:

    Secure Web 的大多数内存用于呈现弹出窗口,因此,通常可通过在“设置”中阻止弹出窗口来提高性能。

  • 为收藏的站点添加书签。
  • 下载文件。
  • 脱机保存页面。
  • 自动保存密码。
  • 清除缓存/历史记录/cookie。
  • 禁用 Cookie 和 HTML5 本地存储。
  • 与其他用户安全地共享设备。
  • 在地址栏中搜索。
  • 允许他们在 Secure Web 中运行的 Web 应用程序访问其位置。
  • 导出和导入设置。
  • 直接在 Citrix Files 中打开文件,而不必下载文件。要启用此功能,请在 Endpoint Management 中将 ctx-sf: 添加到“允许的 URL ”策略。
  • 在 iOS 中,请使用三维触控操作来打开新选项卡,并直接从主屏幕访问脱机页面、收藏的站点和下载内容。
  • 在 iOS 中,下载任意大小的文件并在 Citrix Files 或其他应用程序中打开。

    注意:

    将 Secure Web 置于后台将导致下载停止。

  • 使用在网页中查找在当前页面视图中搜索词语。

    “在网页中查找”选项示意图

Secure Web 也支持动态文本,因此可显示用户在其设备上设置的字体。

支持的文件格式

注意:

Secure Web 不支持任何平台的视频播放。

在 iOS 中支持以下文件格式:

视频 音频 图片 文档
.mov .aac .jpeg .txt
.mp4;Secure Web 在完整 VPN 模式下运行时,不支持 .mp4。 .mp3 .png .pdf
.m4v .wav .gif .ppt
    动画 gif .doc
      .docx
      .xls
      .xlsx

在 Android 中支持以下文件格式:

视频 音频 图片 文档;要在 Android 中预览文档,需要安装 Office 应用程序,例如 QuickEdit
H.263(面向 mp4 的 AMR-NB 编解码器) .flac .jpeg .txt
H.263(面向 3gp 的 AMR-NB 编解码器) .aac .png .pdf;仅限下载。在 QuickEdit 或其他应用程序中打开以进行预览。
H.264(面向 3gp 的 AAC 编解码器) .m4a .gif .ppt
H.264(面向 mp4 的 AVC 编解码器) .3gp (AMR-NB) 动画 .gif .doc
.mov .mp3   .docx
.mp4;Secure Web 在完整 VPN 模式下运行时,不支持 .mp4 .wav   .xls
.3gp .wma   .xlsx