Product Documentation

Citrix Secure Web

May 10, 2018

Citrix Secure Web 是一款移动 Web 浏览器,用于提供对内部和外部站点的安全访问。您可以将 Secure Web 配置为在 Citrix Secure Hub 中注册用户设备时自动推送到用户设备,或者用户可以从 XenMobile Store 添加该应用程序。

可以从 XenMobile 下载页面下载 Secure Web 以及其他 XenMobile 组件。

有关 Secure Web 以及其他 XenMobile Apps 的系统要求,请参阅 XenMobile Apps 的系统要求。 

集成和交付 Secure Web

Important

MDX Toolkit 10.7.10 是支持打包 XenMobile Apps 的最后一个版本。用户从公共应用商店访问 XenMobile Apps 10.7.5 及更高版本。 

要集成并交付 Secure Web,请按照以下常规步骤进行操作:

  1. 要对内部网络启用 SSO,请配置 NetScaler Gateway。
    对于 HTTP 流量,NetScaler 可以向 NetScaler 支持的所有代理身份验证类型提供 SSO。对于 HTTPS 流量,“Web 密码缓存”策略允许 Secure Web 进行身份验证并通过 MDX 提供对代理服务器的 SSO。MDX 仅支持基本身份验证、摘要式身份验证和 NTLM 代理身份验证。密码使用 MDX 缓存并存储在 XenMobile 共享保管库(用于存储敏感应用程序数据的安全存储区域)中。有关 NetScaler Gateway 配置的详细信息,请参阅 NetScaler Gateway
  2. 下载 Secure Web。
  3. 确定如何配置与内部网络之间的用户连接。有关详细信息,请参阅配置用户连接
  4. 将 Secure Web 添加到 XenMobile 中(操作步骤与其他 MDX 应用程序相同),然后配置 MDX 策略。有关 Secure Web 特定策略的详细信息,请参阅关于 Secure Web 策略

配置用户连接

Secure Web 支持以下用户连接配置:

  • 安全浏览。通过通道连接到内部网络的连接可以使用无客户端 VPN 的变体(称为“安全浏览”)。这是为首选 VPN 模式策略指定的默认配置。建议对需要单点登录 (SSO) 的连接使用安全浏览。
  • 完整 VPN 通道。通过通道连接到内部网络的连接可以使用首选 VPN 模式策略配置的完整 VPN 通道。建议对通过客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道。完整 VPN 通道通过 TCP 处理任何协议,并且可以在 Windows 和 Mac 计算机以及 iOS 和 Android 设备上使用。

允许 VPN 模式切换策略允许用户根据需要在完整 VPN 通道与安全浏览模式之间自动切换。默认情况下,此策略设置为“关”。如果此策略设置为“开”,则将在备选模式下尝试重新处理由于无法在首选 VPN 模式下处理身份验证请求而失败的网络请求。例如,服务器对客户端证书的质询可以被完整 VPN 通道模式接受,但不被安全浏览模式接受。同样,使用安全浏览模式时,通过 SSO 向 HTTP 身份验证质询提供服务的可能性更大。

  • 使用 PAC 的完整 VPN 通道。可以对 iOS 和 Android 设备的完整 VPN 通道部署使用代理自动配置 (PAC) 文件。PAC 文件中包含的规则用于定义 Web 浏览器如何选择代理以访问指定 URL。PAC 文件规则可以指定对外部和内部站点的处理方式。Secure Web 解析 PAC 文件规则并将代理服务器信息发送到 NetScaler Gateway。
  • 使用 PAC 文件时,完整 VPN 通道的性能可以与安全浏览模式相媲美。有关 PAC 配置的详细信息,请参阅使用 PAC 的完整 VPN 通道

下表概述了用户连接配置之间的差别。

SSO

安全浏览

完整 VPN 通道

使用 PAC 文件的完整 VPN 通道

NetScaler 提供 SSO。

 

NetScaler 为受支持的所有代理身份验证类型提供 SSO。对于 HTTPS 身份验证,“启用 Web 密码缓存”策略允许 Secure Web 进行身份验证并通过 MDX 提供对代理服务器的 SSO。此外,MDX 仅支持基本身份验证、摘要式身份验证和 NTLM 代理身份验证。密码使用 MDX 缓存并存储在 XenMobile 共享保管库(用于存储敏感应用程序数据的安全存储区域)中。

 

代理服务器

安全浏览

完整 VPN 通道

使用 PAC 文件的完整 VPN 通道

代理 HTTP 和 HTTPS 流量。

代理 HTTP 和 HTTPS 流量。

代理 HTTP 和 HTTPS 流量。通过通道发送 Secure Web for iOS 和 Secure Web for Android 发出的所有 TCP 和 DNS 流量。

TCP/IP

 

安全浏览

完整 VPN 通道

使用 PAC 文件的完整 VPN 通道

HTTP

NetScaler Gateway 答复针对 HTTP 流量的 401 响应。

NetScaler Gateway 答复针对 HTTP 流量的 401 响应。

NetScaler Gateway 答复针对 HTTP 流量的 401 响应。

HTTPS

NetScaler Gateway 答复针对 HTTPS 流量的 401 响应。

MDX 答复针对 HTTPS 流量的 401 响应。

MDX 答复针对 HTTPS 流量的 401 响应。

代理

 

配置了代理服务器时,NetScaler Gateway 答复 407 响应。

配置了代理服务器时,NetScaler Gateway 答复 407 响应。如果 NetScaler Gateway 无法答复,则会将请求传递到 MDX,MDX 负责缓存凭据。

VPN 模式的工作原理

安全浏览

完整 VPN 通道

使用 PAC 文件的完整 VPN 通道

重新写入 URL。

截获套接字。

 

安全认证

安全浏览

完整 VPN 通道

使用 PAC 文件的完整 VPN 通道

后端服务不支持客户端证书。

提供客户端证书验证。

iOS 和 Android 将验证客户端证书。

DNS 配置

安全浏览

完整 VPN 通道

使用 PAC 文件的完整 VPN 通道

NetScaler Gateway 执行名称解析,并且依赖于内部和外部站点的 DNS 后缀。

DNS 服务器执行名称解析。 

 

主机间配置

安全浏览

完整 VPN 通道

使用 PAC 文件的完整 VPN 通道

HTTPS 握手在 NetScaler Gateway 与后端服务器之间进行。

HTTPS 握手在 NetScaler Gateway 与后端服务器之间进行。

 

下表说明了 Secure Web 是否会根据配置和站点类型提示用户输入凭据:

Connection mode Site type Password Caching SSO configured for NetScaler Gateway Secure Web prompts for credentials on first access of a website Secure Web prompts for credentials on subsequent access of the website Secure Web prompts for credentials on after password change

安全浏览

http

安全浏览

https

完整 VPN

http

完整 VPN

https

是 (1)

是 (2)

1 - 如果 Secure Web MDX 策略启用 Web 密码缓存设置为

2 - 在 Secure Web 中缓存凭据时需要。

使用 PAC 的完整 VPN 通道

Important

如果为 Secure Web 配置了 PAC 文件,并且为代理操作配置了 NetScaler,Secure Web 将超时。使用“使用 PAC 的完整 VPN 通道”之前,必须删除为代理配置的 NetScaler Gateway 流量策略。

为 Secure Web 配置使用 PAC 文件或代理服务器的完整 VPN 通道时,Secure Web 通过 NetScaler Gateway 将所有流量发送到代理,代理随后根据代理配置规则路由流量。在此配置中,NetScaler Gateway 无法识别 PAC 文件或代理服务器。该通信流与不使用 PAC 文件的完整 VPN 通道的通信流相同。

下图显示了 Secure Web 用户导航到某个 Web 站点时的通信流:

localized image

在该示例中,流量规则指定以下内容:

  • NetScaler Gateway 直接连接到 Intranet 站点 example1.net。
  • 流向 Intranet 站点 example2.net 的流量通过内部代理服务器代理。
  • 外部流量通过内部代理服务器代理。代理规则阻止流向 Facebook.com 的外部流量。

配置使用 PAC 的完整 VPN 通道

1. 验证并测试 PAC 文件:

注意

有关创建和使用 PAC 文件的详细信息,请参阅 http://findproxyforurl.com/

使用 PAC 验证工具(如 Pacparser https://github.com/pacparser/pacparser)验证 PAC 文件。读取 PAC 文件时,请确保 Pacparser 结果与您的预期相同。如果 PAC 文件包含语法错误,移动设备会在无提示的情况下忽略 PAC 文件。(PAC 文件仅存储在移动设备的内存中。)

PAC 文件按照从上向下的顺序处理,遇到与当前查询匹配的规则时停止处理。

请在将 PAC 文件 URL 输入 XenMobile Server 的 PAC/代理字段之前,在 Web 浏览器中测试此 URL。确保计算机可以访问 PAC 文件所在的网络。

http://webserver.local/GenericPAC.pac
https://webserver.local/GenericPAC.pac

测试后的 PAC 文件扩展名为 .txt 或 .pac。

PAC 文件应该在 Web 浏览器中显示其内容。

Important

每次更新用于 Secure Web 的 PAC 文件时,都会通知用户必须关闭并重新打开 Secure Web。

2. 配置 NetScaler Gateway:

  • 禁用 NetScaler Gateway 拆分通道。如果启用了拆分通道并且配置了 PAC 文件,PAC 文件规则将覆盖 NetScaler 拆分通道规则。代理不会覆盖 NetScaler 拆分通道规则。
  • 删除为代理配置的 NetScaler Gateway 流量策略。这是 Secure Web 正常运行必需的。下图显示了要删除的策略规则示例。
localized image

3. 配置 Secure Web 策略:

  • 将“Preferred VPN mode”(首选 VPN 模式)策略设置为 Full VPN tunnel(完整 VPN 通道)。
  • 将“Permit VPN mode switching”(允许 VPN 模式切换)策略设置为
  • 配置 PAC 文件 URL 或代理服务器策略。Secure Web 支持 HTTP 和 HTTPS 以及默认端口和非默认端口。对于 HTTPS,如果证书为自签名证书或者不受信任,则必须在设备上安装根证书颁发机构。

    请务必在配置策略之前,先在 Web 浏览器中测试 URL 或代理服务器地址。


    PAC 文件 URL 示例:

    http[s]://example.com/proxy.pac
    http[s]://10.10.0.100/proxy.txt

    示例代理服务器(需要配置端口):

    myhost.example.com:port
    10.10.0.100:port

注意

如果配置了 PAC 文件或代理服务器,请不要在 WiFi 的系统代理设置中配置 PAC。

  • 将“启用 Web 密码缓存”策略设置为。Web 密码缓存处理 HTTPS 站点的 SSO。

    如果代理支持相同的身份验证基础结构,NetScaler 可以对内部代理执行 SSO。

PAC 文件支持的限制

Secure Web 不支持:

  • 从一台代理服务器故障转移到另一台代理服务器。PAC 文件评估可以返回某个主机名对应的多台代理服务器。Secure Web 仅使用返回的第一个代理服务器。
  • PAC 文件中的协议(例如 ftp 和 gopher)。
  • PAC 文件中的 SOCKS 代理服务器。
  • Web 代理自动发现协议 (Web Proxy Autodiscovery Protocol, WPAD)。

Secure Web 忽略 PAC 文件功能警报,以使 Secure Web 能够解析不包括这些调用的 PAC 文件。

Secure Web 策略

添加 Secure Web 时,请注意 Secure Web 特定的这些 MDX 策略。

对于所有受支持的移动设备:

允许或阻止的 Web 站点

Secure Web 通常不过滤 Web 链接。您可以使用此策略配置特定的允许或阻止站点的列表。可以对 URL 模式进行配置,以限制浏览器可以打开的 Web 站点,其格式为逗号分隔的列表。列表中的每种模式前面都带有一个加号 (+) 或减号 (-)。浏览器按列出顺序将 URL 与模式进行比较,直至找到一个匹配项。找到一个匹配项后,将执行前缀规定的操作,如下所示:

  • 减号 (-) 前缀指示浏览器阻止打开 URL。在这种情况下,该 URL 被视为无法解析的 Web 服务器地址。
  • 加号 (+) 前缀允许按常规处理 URL。
  • 如果随模式提供 + 或 -,则会假定提供 +(允许)。
  • 如果 URL 与列表中的任何模式都不匹配,则允许打开该 URL。

要阻止所有其他 URL,请在列表结尾添加减号后跟星号 (-*)。例如:

  • 策略值 +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* 允许在 mycorp.com 域中使用 HTTP URL,但在其他位置阻止这些 URL,同时在其他位置允许 HTTPS 和 FTP URL,但阻止所有其他 URL。
  • 策略值 +http://*.training.lab/*,+https://*.training.lab/*,-* 允许用户通过 HTTP 或 HTTPS 打开 Training.lab 域 (intranet) 中的任何站点,但不允许打开公用 URL,如 Facebook、Google、Hotmail 等,无论协议为何。

默认值为空(允许打开所有 URL)。

阻止弹出窗口

弹出窗口是在未经您允许的情况下 Web 站点打开的新选项卡。此策略确定 Secure Web 是否允许弹出窗口。如果设为“开”,Secure Web 将阻止 Web 站点打开弹出窗口。默认值为“关”。

预加载的书签

为 Secure Web 浏览器定义一组预加载的书签。此策略是一组用逗号分隔的元组列表,包括文件夹名称、友好名称和 Web 地址。每个元组的格式都应为 folder,name,url,其中 folder 和 name 可能会有选择地用双引号 (") 引住。

例如,策略值 ,"Mycorp, Inc. home page",http://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",http://www.mycorp.com/IR/Contactus.aspx 定义三个书签。第一个为主链接(无文件夹名称),标题为“Mycorp, Inc. home page”。第二个链接将置于标题为“MyCorp Links”、标签为“Account logon”的文件夹中。第三个链接将置于“MyCorp Links”文件夹的“Investor Relations”子文件夹中,显示为“Contact us”。

默认值为空。

主页 URL

定义 Secure Web 在启动时加载的 Web 站点。默认值为空(默认启动页面)。

仅限受支持的 Android 和 iOS 设备:

浏览器用户界面

规定 Secure Web 的浏览器用户界面控件的行为和可见性。通常情况下,所有浏览控件都可用。这些控件包括前进、后退、地址栏和刷新/停止控件。可以配置此策略以限制这些控件的使用和可见性。默认值为“所有控件都可见”。

选项:

  • 所有控件都可见。所有控件都可见,并且不限制用户使用。
  • 只读地址栏。所有控件都可见,但用户无法编辑浏览器地址字段。
  • 隐藏地址栏。隐藏地址栏,但不隐藏其他控件。
  • 隐藏所有控件。禁止显示整个工具栏以提供无框浏览体验。

启用 Web 密码缓存

当 Secure Web 用户为访问或请求 Web 资源输入凭据时,此策略确定 Secure Web 是否以无提示方式在设备上缓存密码。此策略适用于在身份验证对话框中输入的密码,不适用于在 Web 表单中输入的密码。

如果设置为开,Secure Web 将缓存用户在请求 Web 资源时输入的所有密码。如果设置为关,Secure Web 将不缓存密码并删除已缓存的现有密码。默认值为“关”。

仅当您同时将“首选 VPN”策略设置为此应用程序的完整 VPN 通道时才能启用此策略。

代理服务器

在安全浏览模式下使用时,还可以为 Secure Web 配置代理服务器。有关详细信息,请参阅此博客文章

DNS 后缀

在 Android 上,如果未配置 DNS 后缀,VPN 可能会失败。有关配置 DNS 后缀的详细信息,请参阅 Supporting DNS Queries by Using DNS Suffixes for Android Devices(支持使用面向 Android 设备的 DNS 后缀进行 DNS 查询)。

准备用于 Secure Web 的 Intranet 站点

此部分面向 Web 站点开发人员,他们需要准备用于 Secure Web for Android 和 Secure Web for iOS 的 Intranet 站点。旨在用于桌面浏览器的 Intranet 站点需要更改才能在 Android 和 iOS 设备上正常使用。

Secure Web 依靠 Android WebView 和 iOS UIWebView 来提供 Web 技术支持。Secure Web 支持的一些 Web 技术包括:

  • AngularJS
  • ASP.NET
  • JavaScript
  • JQuery
  • WebGL
  • WebSocket

Secure Web 不支持的一些 Web 技术包括:

  • Flash
  • Java

下表显示了 Secure Web 支持的 HTML 呈现功能和技术。X 表示相应功能适用于某个平台、浏览器和组件组合。

Technology iOS Secure Web Android 5.x/6.x/7.x Secure Web

JavaScript 引擎

JavaScriptCore

V8

本地存储

X

X

AppCache

X

X

IndexedDB

X

SPDY

X

WebP

X

srcet

X

X

WebGL

X

requestAnimationFrame API

X

导航计时 API

X

资源计时 API

X

技术在不同设备上作用方式相同;但 Secure Web 对不同的设备返回不同的用户代理字符串。要确定用于 Secure Web 的浏览器版本,可以查看其用户代理字符串。从 Secure Web 导航到 http://whatsmyuseragent.com/

Intranet 站点故障排除

要解决在 Secure Web 中查看 Intranet 站点时遇到的呈现问题,请将 Web 站点在 Secure Web 上的呈现情况与在兼容的第三方浏览器中的呈现情况进行比较。

对于 iOS,用于测试的兼容第三方浏览器为 Chrome 和 Dolphin。

对于 Android,用于测试的兼容第三方浏览器为 Dolphin。

注意

Chrome 是 Android 上的本机浏览器。请勿将其用于比较。

在 iOS 中,请确保浏览器支持设备级 VPN。可以在设备上的设置 > VPN > 添加 VPN 配置中配置此选项。

还可以使用 App Store 中提供的 VPN 客户端应用程序,例如 Citrix VPNCisco AnyConnectPulse Secure

  • 如果 Web 页面在两个浏览器上的呈现情况相同,则问题源于您的 Web 站点。请更新此站点,并确保它可以很好地适用于操作系统。
  • 如果 Web 页面上的问题仅出现在 Secure Web 中,请联系 Citrix 技术支持,以打开一个支持票证。请提供您的故障排除步骤,包括测试的浏览器和操作系统类型。如果 Secure Web for iOS 存在呈现问题,请按以下步骤所述将页面的 Web 存档包括在内。这样可帮助 Citrix 更加快速地解决该问题。

创建 Web 存档文件

在 macOS 10.9 或更高版本上使用 Safari 时,可以将 Web 页面另存为包括所有链接文件(包括图片、CSS 和 JavaScript)的 Web 存档文件(又称为“阅读列表”)。

  1. 在 Safari 中,清空“阅读列表”文件夹:在 Finder 中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名称 ~/Library/Safari/ReadingListArchives/,然后删除该位置下的所有文件夹。
  2. 菜单栏中,转到 Safari > 偏好设置 > 高级并启用在菜单栏中显示“开发”菜单
  3. 菜单栏中,转到开发 > 用户代理并输入 Secure Web 用户代理:(Mozilla/5.0 (iPad; CPU OS 8_3 like macOS) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25)
  4. 在 Safari 中,打开要另存为阅读列表(Web 存档文件)的 Web 站点。
  5. 菜单栏中,转到书签 > 添加到阅读列表。此操作可能需要几分钟时间。存档在后台进行。
  6. 找到存档的阅读列表:在菜单栏中,转到查看 > 显示阅读列表边栏
  7. 验证存档文件:
    1. 关闭与 Mac 之间的网络连接。
    2. 打开阅读列表中的 Web 站点。

    该 Web 站点应完整呈现。

  8. 压缩存档文件:在 Finder 中,单击菜单栏中的前往菜单,选择前往文件夹,键入路径名称 ~/Library/Safari/ReadingListArchives/,然后压缩使用随机十六进制字符串作为文件名的文件夹。打开支持票证时,可以将该文件发送给 Citrix 技术支持。

Secure Web 功能

Secure Web 利用移动数据交换技术创建专用 VPN 通道,以便用户在受贵公司的策略保护的环境中能够访问内部和外部 Web 站点以及所有其他 Web 站点(包含带有敏感信息的站点)。

Secure Web 与 Secure Mail 和 ShareFile 的集成在安全的 XenMobile 容器中提供完美的用户体验。下面是集成功能的几个示例:

  • 用户轻按 mailto 链接时,将在 Citrix Secure Mail 中打开一封新电子邮件,不需要进一步进行身份验证。
  • 在 iOS 中,用户可以在 Secure Web 中从本机邮件应用程序打开链接,方法是在 URL 前插入 ctxmobilebrowser://。例如,从本机邮件应用程序中打开 example.com,使用 URL ctxmobilebrowser://example.com。
  • 当用户单击电子邮件中的 Intranet 链接时,Secure Web 会转到该站点而无需进行额外的身份验证。
  • 用户可以将其在 Secure Web 中从 Web 下载的文件上载到 ShareFile。

Secure Web 用户还可以执行以下操作:

  • 阻止弹出窗口。
    注意Secure Web 的大多数内存用于呈现弹出窗口,因此,通常可通过在“设置”中阻止弹出窗口来提高性能。
  • 为收藏的站点添加书签。
  • 下载文件。
  • 脱机保存页面。
  • 自动保存密码。
  • 清除缓存/历史记录/cookie。
  • 禁用 Cookie 和 HTML5 本地存储。
  • 与其他用户安全地共享设备。
  • 在地址栏中搜索。
  • 允许他们在 Secure Web 中运行的 Web 应用程序访问其位置。
  • 导出和导入设置。
  • 直接在 ShareFile 中打开文件,而不必下载文件。要启用此功能,请在 XenMobile 中将 ctx-sf: 添加到允许的 URL 策略。
  • 在 iOS 中,请使用三维触控操作来打开新选项卡,并直接从主屏幕访问脱机页面、收藏的站点和下载内容。
  • 在 iOS 中,下载任意大小的文件并在 ShareFile 或其他应用程序中打开。
    注意将 Secure Web 置于后台将导致下载停止。
  • 使用在网页中查找在当前页面视图中搜索词语。
localized image

Secure Web 也支持动态文本,因此可显示用户在其设备上设置的字体。

支持的文件格式

注意

Secure Web 不支持任何平台的视频播放。

在 iOS 中支持以下文件格式:

Video Audio Image Document

.mov

.aac

.jpeg

.txt

.mp4 (1)

.mp3

.png

.pdf

.m4v

.wav

.gif

.ppt

动画 gif

.doc

.docx

.xls

.xlsx

(1) Secure Web 在完整 VPN 模式下运行时,MP4 不受支持。

在 Android 中支持以下文件格式:

Video Audio Image Document (1)

H.263(面向 mp4 的 AMR-NB 编解码器)

.flac

.jpeg

.txt

H.263(面向 3gp 的AMR-NB 编解码器)

.aac

.png

.pdf (2)

H.264(面向 3gp 的 AAC 编解码器)

.m4a

.gif

.ppt

H.264(面向 mp4 的AVC 编解码器)

.3gp (AMR-NB)

动画 .gif

.doc

.mov

.mp3

.docx

.mp4 (3)

.wav

.xls

.3gp

.wma

.xlsx

(1) 要在 Android 中预览文档,需要安装 Office 应用程序,例如 QuickEdit。(2) 仅限下载。在 QuickEdit 或其他应用程序中打开以进行预览。
(3) Secure Web 在完整 VPN 模式下运行时,不支持 .mp4。