配置
使用 Citrix Secure Internet Access™ (CSIA) 配置策略门户配置云连接器和安全策略,并监控报告和日志。
要访问配置策略门户:
-
登录 Citrix Cloud™
-
在“Secure Internet Access”磁贴上,选择“管理”。
-
在导航窗格中,选择“配置”。
“配置”页面还列出了已为您配置的云节点的详细信息。您执行的所有配置都连接到这些节点。
-
选择“打开 Citrix® SIA 配置”以查看配置策略门户并开始配置功能和安全策略。
如何获取配置帮助
有关配置说明或任何配置页面的帮助,您可以执行以下操作之一:
-
访问帮助文档。在配置策略门户的右上角,单击菜单(显示您姓名的地方),然后选择“HelpDocs”。您可以查看完整的帮助文档。
注意
帮助文档包含对 iboss 术语、iboss 用户界面元素、Citrix 不支持的 iboss 功能以及 iboss 支持信息的引用。
在使用帮助文档之前,请查看以下文章:Citrix Secure Internet Access 和 iboss 集成。您只有在登录 Citrix Secure Internet Access 后才能访问此文章。
-
访问上下文帮助。在每个配置页面的右上角,选择“帮助图标 (?)”以查看与该页面相关的帮助文档。
-
联系 Citrix 支持。使用您的 Citrix 帐户登录并打开支持案例、开始实时聊天或探索其他可用的帮助选项。
配置 Citrix Secure Internet Access 云连接器代理
CSIA 云连接器代理是软件代理,可将 Internet 流量通过 Citrix Secure Internet Access 重定向。
完成入职流程后,请执行以下操作:
-
在 Virtual Delivery Agent (VDA) 上安装 CSIA 云连接器代理:要从 Citrix Workspace™ 上的虚拟桌面安全地访问未经批准的 Web 和 SaaS 应用程序,请配置 CSIA 云连接器代理以通过 Citrix Secure Internet Access 重定向流量。
有关详细配置步骤,请参阅通过 Citrix Virtual Apps and Desktops 使用 Citrix Secure Internet Access。
-
在您的主机设备上安装 CSIA 云连接器代理:要从您的主机系统(例如笔记本电脑和移动设备)安全地访问直接 Internet 流量,请在每台设备上安装云连接器代理。
为分支机构配置隧道
如果您的分支机构部署了 Citrix SD-WAN,则必须配置 IPSEC 或 GRE 隧道。这会将分支机构流量通过 Citrix Secure Internet Access 重定向到未经批准的 Web 和 SaaS 应用程序。您可以使用 Citrix SD-WAN Orchestrator™ 配置隧道。
在 Citrix SD-WAN™ Orchestrator 中,Citrix Secure Internet Access 服务位于“配置”>“交付服务”>“服务和带宽”中。
注意
仅当您是 SD-WAN Orchestrator 客户并拥有 Citrix Secure Internet Access 授权时,服务链接才可见。
配置包括以下高级步骤:
-
通过指定 Internet 链接的带宽百分比和预配百分比来创建 Citrix Secure Internet Access 服务。
-
将 SD-WAN 站点添加到 Citrix Secure Internet Access 服务并进行映射,然后选择相应的隧道(IPSEC 或 GRE)。然后,激活配置以在 Citrix SD-WAN 和 Citrix Secure Internet Access PoP 之间建立隧道。
-
创建应用程序路由以通过隧道引导流量。
有关详细说明,请参阅交付服务 - Citrix Secure Internet Access 服务。
用户重新分配
通过在地理区域内重新分配云节点,可以最大程度地减少特定位置用户的延迟。
您可以请求重新分配收集使用情况数据的报告节点和执行安全功能的网关节点。Citrix 旨在根据节点可用性将节点交付给离用户最近的位置。
重要
节点的重新分配会导致服务短暂中断。此操作通常在帐户激活后立即执行,在配置和分发客户端连接器之前。Citrix 建议您在部署开始时请求重新分配节点,以将节点重新对齐到离用户最近的位置,并且不频繁地重新分配节点。
您还可以在节点之间移动用户,或者在用户尚未分配到节点时将其添加到节点。
要查看、重新分配和维护节点,请导航到左侧菜单中的“配置”选项卡,然后选择表格上方的“请求重新分配用户”。
注意
您只能在同一地理区域内重新分配节点。
云设置
要配置网络时间协议 (NTP) 服务器、平台维护和更新版本的设置,请导航到“配置”选项卡并选择“云设置”。
帐户设置
“帐户设置”功能有助于更改/覆盖 Citrix Secure Internet Access 服务门户中为您的帐户显示的用户名。
要覆盖帐户名称,请导航到“配置”>“云设置”>“帐户设置”。
您可以查看 Citrix Secure Internet Access 帐户编号。
注意
如果您尚未创建任何名称或“覆盖帐户名称”已禁用,则 CSIA 门户中仍会显示最初配置的帐户名称。
-
启用“覆盖帐户名称”并提供一个名称。默认情况下,“覆盖帐户名称”处于禁用状态。
请稍候片刻以在门户上查看更新的帐户名称。帐户名称更改后,您可能需要重新登录。
-
单击“保存”。
NTP 服务器
要同步日期和时间,请导航到“云设置”下的“NTP 服务器”。输入时区、日期格式、NTP 服务器地址和夏令时信息。
时区定义用于时间戳的区域标准时间。更改时区后,报告中事件的时间戳将随新时区而调整并保持连续性。时间戳是相对于新时区的。
日期格式定义日期的数字形式结构。此参数可以设置为 mm/dd/yyyy 或 dd/mm/yyyy。
NTP 服务器定义 NTP 服务器的地址。
夏令时定义时区是否遵循夏令时。此参数可以根据时区区域设置为“美国”或“英国”。
平台维护
此功能允许您安排维护发生的日期和时间,以帮助确保您的网络在高峰时段可用。
要安排代表您执行的自动维护,请导航到“云设置”下的“平台维护”,然后启用“首选维护时段”。然后选择您首选的自动维护日期和时间。
更新发布设置
要选择代表您安装的更新类型,请导航到“云设置”下的“更新发布设置”,然后选择以下发布级别之一:
- 强制,用于关键平台更新和安全修复,包括新功能、功能更新、错误修复和性能增强。
- 可选,用于推荐但不包含关键修复的发布。
- 抢先体验,用于抢先体验新功能、更新、错误修复和性能增强。
电子邮件设置
您可以配置电子邮件服务器设置以中继包含警报、计划报告和其他通知的电子邮件。要允许 Web 网关和报告节点发送电子邮件通知,请填写“云设置”下的“电子邮件设置”中的表单。此过程涉及配置 SMTP 服务器地址,以便您可以接收电子邮件通知。
您可以使用“测试电子邮件设置”选项验证电子邮件设置。您还可以使用“设置默认设置”按钮填充默认电子邮件设置。
配置电子邮件地址以接收用户警报和 URL 异常请求。
- 警报电子邮件:由高风险关键字触发的警报的目标地址。
- URL 异常电子邮件:从阻止页面发送的 URL 异常请求的目标地址。
注意
可以在“实时警报”页面中获取其他电子邮件警报。
注意:
通常,SMTP 服务器配置有基于 IP 的允许列表以防止垃圾邮件。因此,您必须将所有节点的 IP 地址添加到 SMTP 服务器的允许列表中。
此外,为了减少垃圾邮件,SMTP 服务器有时会使用其他机制,例如 DKIM。可能需要将 Web 网关和报告节点从 SMTP 服务器上的这些限制中豁免。
如果您没有自己的内部 SMTP 服务器,可以使用 Google 的 SMTP 服务之一。为此,您必须拥有一个有效的 Gmail 帐户。
Google SMTP 服务器使用端口 25、465、587 或这些端口的组合。最常用的是 smtp.gmail.com,它使用端口 465(带 SSL)或 587(带 TLS)。
注意:
SMTP 服务器通常侦听 TCP 端口 25、465 或 587,但可以侦听配置为在其上运行的任何端口。SMTP over SSL 使用端口 465,SMTP over TLS 使用端口 587。端口 465 和 587 都需要身份验证服务。端口 25 未加密,不需要身份验证。
使用本地 Web 网关或报告节点时,请确保所需的端口未受限制。
三个 Google SMTP 服务器的配置如下:
| 完全限定域名 | 配置要求 | 身份验证要求 |
|---|---|---|
| smtp-relay.gmail.com | 端口 25、465 或 587,使用安全套接字层 (SSL) 或传输层安全 (TLS) 协议,以及一个或多个静态 IP 地址。 | IP 地址。 |
| smtp.gmail.com | 端口 465(带 SSL)或端口 587(带 TLS)。允许动态 IP。 | 您的完整 Gmail 或 G Suite 电子邮件地址。 |
| aspmx.l.google.com | 邮件只能发送给 Gmail 或 G Suite 用户。允许动态 IP。 | 无。 |
smtp-relay.gmail.com 用于通过关联的 IP 地址进行身份验证,从您的组织发送邮件。您可以使用端口 25、465 或 587 向域内或域外的任何人发送消息。
smtp.gmail.com 用于向域内或域外的任何人发送邮件。它要求您使用 Gmail 或 G Suite 帐户和密码进行身份验证。您可以使用 SMTP over SSL(端口 465)或 TLS(端口 587)。
aspmx.l.google.com 仅用于向 Gmail 或 G Suite 用户发送消息。此选项不需要身份验证。您不能将 SSL 或 TLS 与此 SMTP 服务器一起使用,因此流量是纯文本的,不建议这样做。
匿名日志记录
为了符合法规和保密性,云设置下的“匿名日志记录”会加密委托管理员用于监控网络使用的个人用户信息。
在启用“匿名日志记录”之前,您必须通过选择“启用匿名日志记录”切换开关下的“添加密钥”按钮来创建加密密钥。在“加密密钥”字段中输入一个 64 个字符的加密密钥值。您可以输入自己的加密密钥,也可以使用“自动生成密钥”选项。
重要提示:
Citrix 强烈建议您在继续操作之前将加密密钥记录在单独的位置。您需要加密密钥才能解密与其关联的数据,只要它在平台上处于活动状态。
您可以通过启用“加密类别”下的以下切换开关来配置密钥以加密特定类别的可识别数据:
- 个人信息。启用和禁用所有个人身份信息(包括报告的用户活动的用户名称、全名和计算机名称)的加密。
- 数据源。启用和禁用与报告的用户活动的数据源相关的所有信息的加密。
- 组名称。启用和禁用与报告的用户活动关联的组名称的加密。
您还可以配置加密密钥,使其仅应用于“组关联”选项卡中的特定组集。当“全选”切换开关启用时,当前配置的加密密钥将应用于所有安全组。当“全选”切换开关禁用时,您可以选择要使用加密密钥加密的安全组。
配置加密密钥后,启用“匿名日志记录”以根据用户在线活动的匿名日志监控网络使用情况。
要删除以前定义的加密密钥,请选择表中相应加密密钥旁边的省略号,然后选择“删除”。
云备份
“离线云备份”设置提供了根据您选择的“区域”、“位置”和“时间”存储/保存报告节点中的备份设置和日志的功能。通过“离线云备份”选项,您可以通过 CSIA 界面保存云备份。
要启用云备份设置,请导航到“配置”> 展开“云设置”> 选择“云备份”。
-
启用“启用云备份”切换按钮,然后从下拉列表中选择“区域”和“位置”。
-
您还可以启用“自动执行云备份”切换按钮,并设置运行和创建每日备份的时间间隔。单击“保存”。
远程浏览器隔离
远程浏览器隔离是一项高级 Web 保护功能,可提供针对任何恶意软件/恶意威胁的安全性。通过远程浏览器隔离,Citrix Secure Internet Access Web 过滤功能可以与安全浏览器服务 (SBS) 一起使用,以保护企业网络免受基于浏览器的攻击。有关详细信息,请参阅安全浏览器服务。
借助远程浏览器隔离功能,您可以为某些不信任的、仅通过远程云安全浏览器服务隔离和启动的目标网站设置规则。您可以创建规则并将其应用于用户组和要隔离的流量类型的组合。
您可以查看为调用远程浏览器隔离而创建的规则列表。
要设置需要调用的流量的重定向规则,请导航到“配置”>“远程浏览器隔离”> 单击“添加重定向规则到 SBS”。
- 规则名称:提供一个规则名称。
- 规则描述:提供一个规则描述。
- 匹配类型:从下拉列表中选择匹配类型,例如“域正则表达式”、“域列表”、“IP 地址”、“URL”或“类别”。
- 值:输入匹配值类型。
- 选择组:从下拉列表中选择一个组。
通过“添加重定向规则到 SBS”选项,您可以在安全 Internet 访问门户上创建 Web 过滤规则,以将流量重定向到浏览器服务。对于每个远程浏览器隔离规则,都有一个关联的安全浏览器 URL。这意味着,当通过安全 Internet 访问服务启动 URL 时,如果 URL 与定义的远程浏览器隔离匹配规则之一匹配,则请求将重定向到关联的安全浏览器服务。