配置

使用 Citrix Secure Internet Access (CSIA) 配置策略门户配置云连接器和安全策略,以及监视报告和日志。

要访问配置策略门户,请执行以下操作:

  1. 登录 Citrix Cloud

  2. Secure Internet Access 磁贴上,选择管理

  3. 在导航窗格中,选择 配置

    “配置” 页面还列出了有关已为您配置的云节点的详细信息。您执行的所有配置都连接到这些节点。

  4. 选择 打开 Citrix SIA 配置 以查看配置策略门户并开始配置功能和安全策略

“配置” 页

如何获得有关配置的帮助

有关配置的说明或任何配置页面的帮助,您可以执行以下操作之一:

  • 访问帮助文档。在配置策略门户的右上角,单击菜单(显示您的姓名的位置),然后选择 HelpDocs。您可以查看完整的帮助文档。

    注意

    帮助文档包括对 iboss 术语的引用、iboss 用户界面元素、Citrix 不支持的 iboss 功能以及 iboss 支持信息。

    在使用帮助文档之前,请先阅读以下文章: Citrix Secure Internet Access 和 iboss 集成。只有在登录 Citrix Secure Internet Access 后才能访问本文。

  • 访问上下文帮助。在每个配置页面的右上角,选择 帮助图标 (?) 以查看与该页面相关的帮助文档。

  • 请联系 Citrix 支持部门。使用您的 Citrix 帐户登录并打开支持案例、开始实时聊天或探索其他可获得帮助的选项。

配置 Citrix Secure Internet Access Cloud Connector 代理

CSIA Cloud Connector 代理是通过 Citrix Secure Internet Access 重定向 Internet 流量的软件代理。

入门流程完成后,请执行以下操作:

  • 在虚拟交付代理 (VDA) 上安装 CSIA Cloud Connector 代理:要从 Citrix Workspace 上的虚拟桌面安全访问未经批准的 Web 和 SaaS 应用程序,请将 CSIA Cloud Connector 代理配置为通过 Citrix Secure Internet Access 重定向流量。

    有关详细的配置步骤,请参阅在 Citrix Virtual Apps and Desktops 中使用 Citrix Secure Internet Access

  • 在主机设备上安装 CSIA Cloud Connector 代理:要安全地访问来自主机系统(例如笔记本电脑和移动设备)的直接 Internet 流量,请在每台设备上安装 Cloud Connector 代理。

为分支机构配置通道

如果在分支机构中部署了 Citrix SD-WAN,则必须配置 IPSEC 或 GRE 通道。这会通过 Citrix Secure Internet Access 将分支机构流量重定向到未经批准的 Web 和 SaaS 应用程序。您可以使用 Citrix SD-WAN Orchestrator 来配置通道。

在 Citrix SD-WAN Orchestrator 上,Citrix Secure Internet Access 服务位于配置 > 交付服务 > 服务和带宽中。

注意

仅当您是 SD-WAN Orchestrator 客户并拥有 Citrix Secure Internet Access 时,服务链接才可见。

SD-WAN Orchestrator 中的 CSIA

配置包括以下高级步骤:

  1. 通过指定 Internet 链接的带宽百分比和预配百分比来创建 Citrix Secure Internet Access 服务。

  2. 将 SD-WAN 站点添加并映射到 Citrix Secure Internet Access 服务,然后选择相应的通道(IPSEC 或 GRE)。然后,激活配置以启用 Citrix SD-WAN 和 CitriCitrix Secure Internet Access PoP 之间的通道建立。

  3. 创建应用程序路径以引导流量通过通道。

有关详细说明,请参阅交付服务 - Citrix Secure Internet Access 服务

用户重新分配

您可以通过在地理区域内重新分配云节点来最大限度地减少特定位置用户的延迟。

您可以请求重新分配收集使用情况数据的报表节点和执行安全功能的网关节点。Citrix 旨在根据节点可用性提供离用户最近的节点。

重要

重新分配节点会导致服务短暂中断。该操作通常在帐户激活后立即执行,然后再配置和分发客户端连接器。Citrix 建议您在部署开始时请求重新分配节点,以重新对齐离用户最近的节点,并且不经常重新分配节点。

您还可以在节点之间移动用户,或者如果用户尚未分配给节点,则将其添加到节点中。

请求重新分配用户

要查看、重新分配和维护节点,请导航到左侧菜单中的 “ 配置 ” 选项卡,然后选择表格上方的 请求重新分配用户

注意

您只能在同一地理区域内重新分配节点。

云端设置

要配置网络时间协议 (NTP) 服务器、平台维护和更新版本的设置,请导航到 配置 选项卡,然后选择 云设置

帐户设置

帐户设置 功能有助于更改/覆盖在 Citrix Secure Internet Access 服务门户中为您的帐户显示的用户帐户名。

要覆盖帐户名,请导航到 配置 > 云设置 > 帐户设置

您可以查看 Citrix Secure Internet Access 帐户号码。

帐户设置

注意:

如果您尚未创建任何名称或禁用了 “ 替代帐户名称”,则最初配置的帐户名称 仍会显示在 CSIA 门户中。

  1. 启用 “覆盖帐户名 ” 并提供名称。默认情况下,“ 覆盖帐户名 ” 处于禁用状态。

    覆盖帐户名

    请稍等片刻,在门户上查看更新的帐户名称。帐户名称更改后,您可能需要重新登录。

  2. 单击保存

NTP 服务器

要同步日期和时间,请导航到 “ 云设置” 下的 “NTP 服务器。输入时区、日期格式、NTP 服务器的地址和夏令时信息。

时区 定义用于时间戳的区域标准时间。更改时区后,报表中事件的时间戳将移动,以与新时区保持一致并保持连续性。时间戳是相对于新时区的。

日期格式 以数字形式定义日期的结构。此参数可以设置为 mm/dd/yyyydd/mm/yyyy

NTP 服务器 定义 NTP 服务器的地址。

夏令 时定义时区是否遵守夏令时。此参数可以设置为 美国英国 ,具体取决于时区区域。

平台维护

此功能允许您安排维护的日期和时间,以帮助确保网络在高峰时段可用。

要安排代表您执行的自动维护,请导航到 “ 云设置” 下的 “平台维护,然后启用 “ 首选维护时段”。然后选择自动维护的首选日期和时间。

更新版本设置

要选择代表您安装的更新类型,请导航到云设置下的更新版本设置,然后选择以下版本级别之一:

  • 强制性,适用于关键平台更新和安全修复,包括新功能、功能更新、错误修复和性能增强。
  • 可选,适用于推荐但不包含关键修复的版本。
  • 抢先体验,抢先体验新功能、更新、错误修复和性能增强。

电子邮件设置

您可以配置电子邮件服务器设置,以中继包含警报、计划报告和其他通知的电子邮件。要允许 Web 网关和报告节点发送电子邮件通知,请在云设置下的电子邮件设置中填写表格。此过程包括配置 SMTP 服务器地址,以便您可以接收电子邮件通知。

您可以使用测试电子邮件设置选项验证电子邮件设置。您还可以使用 “设置默认设置” 按钮填充 默认电子邮件设置

配置电子邮件地址以接收用户警报和 URL 异常请求。

  • 警报电子邮件:由高风险关键字触发的警报的目标地址。
  • URL 异常电子邮件:从阻止页面发送的 URL 异常请求的目标地址。

注意

其他电子邮件警报可从 “ 实时警报 ” 页面获得。

SIA 电子邮件设置

注意:

通常,SMTP 服务器配置了基于 IP 的允许列表,以防止垃圾邮件。因此,必须将所有节点的 IP 地址添加到 SMTP 服务器的允许列表中。

另外,为了减少垃圾邮件,SMTP 服务器有时会使用其他机制,例如 DKIM。可能有必要在 SMTP 服务器上免除 Web 网关和报告节点的这些限制。

如果您没有自己的内部 SMTP 服务器,则可以使用谷歌的 SMTP 服务之一。为此,您必须拥有有效的Gmail帐户。

谷歌 SMTP 服务器使用端口 25、465、587 或这些端口的组合。最受欢迎的是 smtp.gmail.com,它使用端口 465(使用 SSL)或 587(使用 TLS)。

注意:

SMTP 服务器通常在 TCP 端口 25、465 或 587 上进行侦听,但可以侦听配置为在其上运行的任何端口。SSL 上的 SMTP 使用端口 465,而基于 TLS 的 SMTP 使用端口 587。端口 465 和 587 都需要身份验证服务。端口 25 未加密,不需要身份验证。

使用本地 Web 网关或报告节点时,请确保所需的端口不受限制。

三台 Google SMTP 服务器中每台服务器的配置如下:

完全限定的域名 配置要求 身份验证要求
smtp-relay.gmail.com 端口 25、465 或 587,具有安全套接字层 (SSL) 或传输层安全 (TLS) 协议,以及一个或多个静态 IP 地址。 IP 地址。
smtp.gmail.com 使用 SSL 的端口 465 或带有 TLS 的端口 587。允许使用动态 IP。 您的完整 Gmail 或 G Suite 电子邮件地址。
aspmx.l.google.com 邮件只能发送给 Gmail 或 G Suite 用户。允许使用动态 IP。 无。

smtp-relay.gmail.com 用于通过使用关联的 IP 地址进行身份验证来发送来自贵组织的邮件。您可以使用端口 25、465 或 587 向域内外的任何人发送消息。

smtp.gmail.com 用于向您域内外的任何人发送邮件。它要求你使用自己的 Gmail 或 G Suite 帐号和密码进行身份验证。您可以使用 SSL 上的 SMTP(端口 465)或 TLS(端口 587)。

aspmx.l.google.com 仅用于向 Gmail 或 G Suite 用户发送消息。此选项不需要身份验证。您无法在此 SMTP 服务器上使用 SSL 或 TLS,因此流量采用纯文本格式,不建议这样做。

匿名日志记录

出于合规性和保密性的考虑, Cloud Setting s 下的 匿名日志记录 会对委派管理员用来监控网络使用情况的个人用户信息进行加密。

在启用 匿名日志记录 开关下选择 添加密钥按钮之前,您必须创建加密密钥 ,然后才能 启用匿名日志记录 。在加密密钥字段中输入 64 个字符的 加密密钥 值。您可以输入自己的加密密钥或使用 “ 自动生成密钥 ” 选项。

重要

Citrix 强烈建议您在继续操作之前将加密密钥记录在单独的位置。只要加密密钥在平台上处于活动状态,您就需要加密密钥来解密与其关联的数据。

您可以通过启用加密类别下的以下切换选项来配置密钥以 加密特定类别的可识别数据:

  • 个人信息。启用和禁用对所有个人身份信息的加密,包括报告的用户活动的用户名、全名和计算机名称。
  • 数据源。启用和禁用与报告用户活动的数据源相关的所有信息的加密。
  • 组名。启用和禁用与报告的用户活动关联的组名的加密。

您还可以在 “组关 联” 选项卡中将加密密钥配置为仅应用于一组 特定的组。启用 “全选” 开关后,当前配置的加密密钥将应用于所有安全组。禁用 全选 开关后,您可以选择使用加密密钥加密哪些安全组。

配置加密密钥后,启用 Anonymized Logg ing 可根据用户在线活动的匿名日志监控网络使用情况。

要删除之前定义的加密密钥,请选择表中相应加密密钥旁边的省略号,然后选择 删除

云备份

脱机云备份设置允许您根据所选区域位置时间存储/保存报告节点中的备份设置和日志。使用脱机云备份选项,您可以通过 CSIA 界面保存云备份。

要启用云备份设置,请导航到 配置 展开 云设置 选择 云备份

  1. 启用 启用云备份 切换按钮,然后从下拉列表中选择 区域位置

    启用云备份

  2. 您还可以启用 “ 自动执行云备份 ” 切换按钮,并设置运行和创建每日备份的时间间隔。单击保存

    自动执行云备份

远程浏览器隔离

远程浏览器隔离是一项高级Web防护功能,可提供抵御任何恶意软件/恶意威胁的安全性。通过远程浏览器隔离,Citrix Secure Internet Access Web 筛选功能可以与 Secure Browser Service (SBS) 一起使用,以保护企业网络免受基于浏览器的攻击。有关详细信息,请参阅 安全浏览器服务

借助远程浏览器隔离功能,您可以为某些不受信任的目标网站设置规则,使其只能通过基于云的远程安全浏览器服务进行隔离和启动。您可以创建规则并将其应用于要隔离的用户组和流量类型的组合。

您可以查看为调用远程浏览器隔离而创建的规则列表。

远程浏览器隔离

要为需要调用的流量设置重定向规则,请导航到 配置 > 远程浏览器隔离 单击 将重定向规则添加到 SBS

添加 RBI 规则

  • 规则名称:提供规则名称。
  • 规则描述:提供规则描述。
  • 匹配类型:从下拉列表中选择匹配类型,例如 “域正则表达式”、“域列表”、“IP 地址”、“URL” 或 “类别”。
  • :输入匹配值类型。
  • 选择组:从下拉列表中选择一个组。

使用 将重定向规则添加到 SBS 选项,您可以在安全的 Internet 访问门户上创建 Web 过滤规则,以将流量重定向到浏览器服务。对于每个远程浏览器隔离规则,都有一个关联的安全浏览器 URL。这意味着,当通过安全 Internet 访问服务启动的 URL 时,如果该 URL 与定义的远程浏览器隔离匹配规则之一匹配,则请求将被重定向到关联的安全浏览器服务。

配置