入门

本文介绍如何首次开始使用 Citrix Secure Internet Access™ (CSIA)。

在开始初始设置之前，请查看许可和先决条件信息。

先决条件

请确保您具备以下各项：

• Citrix Cloud 帐户。要使用 Citrix Secure Internet Access，您必须拥有一个 Citrix Cloud 帐户。请访问 https://citrix.cloud.com 并验证您是否可以使用现有 Citrix Cloud 帐户登录。

  如果您没有 Citrix Cloud 帐户，请先创建一个。您也可以加入组织中其他人创建的现有帐户。有关详细流程和操作说明，请参阅注册 Citrix Cloud。

• 可通过 Citrix Workspace 访问的 Citrix Virtual Apps and Desktops™ 部署。

• 主机系统（例如笔记本电脑和移动设备）上的 Workspace app。

• SD-WAN 部署。如果您在分支机构工作，则必须具有以下部署：

  • Citrix SD-WAN 11.1 及更高版本
  • Citrix SD-WAN Orchestrator™ 服务的订阅。确保您已完成初始设置并在 SD-WAN Orchestrator 上配置了站点。

初始设置

本节将引导您完成 Citrix Secure Internet Access 初始设置所需的任务。

步骤 1：请求访问 Citrix Secure Internet Access

您可以通过请求 Citrix Secure Internet Access 试用版来获取访问权限。试用期最长为 60 天。有关服务试用的更多信息，请参阅 Citrix Cloud 服务试用版。

要请求试用版，

登录您的 Citrix Cloud™ 帐户。

在 Citrix Cloud 主页的“可用服务”中，在“Secure Internet Access”磁贴上，单击“请求演示”。

注意

此外，您还可以访问 https://www.citrix.com/products/citrix-secure-internet-access/form/inquiry/ 并联系 Citrix 专家以获取帮助。

输入所需详细信息并选择“提交”。

当您的试用版获得批准后，Citrix 将启动试用流程并根据所选的许可包创建您的客户授权包。您还将收到一封电子邮件确认。

步骤 2：查看帐户状态

试用版获得批准并启动后，您将收到一封电子邮件确认，并且还可以在 Citrix Cloud 上查看您的帐户状态。

为了设置您的帐户，Citrix 会隐式为您预置网关节点。这些节点是容器化节点，用于扫描云中的数据和流量。这些节点还执行安全功能，例如 Web 过滤、恶意软件防护和数据丢失防护。

节点设置完成后，您将收到一封电子邮件通知，告知您的帐户可用。节点的预置可能需要几天时间。

要查看您的帐户状态

1. 登录您的 Citrix Cloud 帐户。
2. 在 Citrix Cloud 主页的“我的服务”中，在“Secure Internet Access”磁贴上，单击“管理”。

如果您的帐户预置正在进行中，您将看到以下消息：

步骤 3：管理 Citrix Secure Internet Access

收到有关帐户设置的电子邮件确认后，登录 Citrix Cloud 并开始配置和管理您的部署。

在 Citrix Cloud 主页的“我的服务”中，在“Secure Internet Access”磁贴上，单击“管理”。

注意

如果您拥有 Citrix SD-WAN™ Orchestrator 订阅，您也可以单击“SD-WAN Orchestrator”磁贴上的“管理”以查看 Citrix Secure Internet Access 控制板。

在“控制板”菜单上，您可以查看节点的状态和图形表示。

初始设置现已完成。

入门

Citrix Secure Internet Access 入门允许您在帐户预置后配置用户帐户。您必须执行一些基本的入门设置才能访问其他 CSIA 配置。

“打开 Citrix SIA 配置”选项在“网络配置主页”页面中可用。您必须完成入门流程才能查看配置策略门户。

帐户预置后，您将默认进入 Citrix Secure Internet Access 入门页面。单击“开始”以继续入门流程，或单击“跳过入门”以跳过此步骤并稍后执行入门。当您单击“跳过入门”时，您将进入 Citrix Secure Internet Access 控制板页面。

1. 配置代理设置

   从下拉列表中选择用户身份验证方法。默认值设置为“本地用户凭据 + 云连接”。

   

   以下是四种身份验证方法：

   • 本地用户凭据 + 云连接：使用本地安全互联网访问帐户登录。此方法还支持代理模式，该模式通过将代理身份验证注入请求中，使安全互联网访问代理/端点能够自动向网关注册。

   • 本地用户凭据：使用本地安全互联网访问帐户登录。

   • 仅限云连接器：使用代理模式，该模式通过将代理身份验证注入请求中，使安全互联网访问代理/端点能够自动向网关注册。

   • 基于浏览器的 SMAL：在浏览器中进行身份验证，非常适合源自同一公共 IP 的分支机构用户。

   “启用代理设置”和“启用代理 SSL 解密”设置默认启用且为不可编辑的复选框。

   在代理自动配置设置中，在“PAC 设置：绕过域”部分下，根据需要选择以下复选框：

   • 绕过 WebSockets：绕过 WebSockets 流量以及通过安全套接字层 (SSL)/传输层安全 (TLS) 的 WebSockets 流量的域。“绕过 WebSockets”复选框默认启用。

   • 绕过 Citrix Cloud 基础架构域的云安全：绕过 Citrix 站点请求。默认启用。Citrix Cloud 域列表是一个不可编辑的 Citrix Cloud 基础架构域列表，必须绕过任何检查。

     

   • 绕过 Microsoft Office 365 使用的所有域的云安全（Microsoft 推荐）：绕过 Microsoft Office 365 使用的域。“绕过 Microsoft Office 365 使用的所有域的云安全（Microsoft 推荐）”复选框默认启用。

   • 绕过此域子集的云安全：绕过任何自定义域。您可以使用“自定义云域列表”选项创建自己的域。

     

   单击“下一步”。

   

2. 配置云连接器设置

   云连接器是可下载的代理，适用于各种操作系统，例如 Windows、Linux、macOS 等。这些设置将配置设备上已安装的云连接器的行为。

   

   “使用 HTTPS PAC”、“通过 SSL 注册”、“配置自动登录”、“重定向所有端口”和“绕过专用子网”设置默认启用且无法编辑。

   • 启用多用户模式：根据需要选中/取消选中“启用多用户模式”。您可以选择“启用多用户模式”以在运行虚拟桌面或终端服务器时支持多个用户会话。

   • 启用 Windows 桌面应用程序：根据需要选中/取消选中“启用 Windows 桌面应用程序”。“启用 Windows 桌面应用程序”会在 Windows 设备上安装交互式桌面应用程序。

   单击“下一步”。

3. 配置安全设置

   在“安全设置”页面中，配置“Web 安全”、“云访问安全代理”、“恶意软件防御和入侵防御设置”（在 Advanced 和 Premium SKU 中可用）以及“数据丢失防护”（在 Premium SKU 中可用）。

   • Web 安全

     • 显示组：查看前 20 个组列表。

     

     您可以编辑组的名称，例如部门/域/产品等。单击组名旁边的编辑选项 > 输入组名 > 单击“提交”。

     

     选择组后，预定义的组策略将应用于用户。“默认”组是不可编辑的组。

     

     所有这 20 个组默认选中。您可以根据需要选中/取消选中这些组。您对安全设置所做的更改将应用于所选组。

   • 阻止默认关键字：选择“成人”和“高风险”复选框以阻止定义的关键字。“编辑”选项可帮助您配置要阻止的关键字集。

     单击“编辑”> 选择“成人词汇/选择高风险词汇”> 选择可用关键字并将其移动到所选部分，然后单击“保存”。

     搜索栏可帮助您快速找到所需的关键字。

     

   • Web 过滤级别：将“Web 过滤级别”选择为“允许所有”、“宽松”、“中等”或“严格”配置文件。这些过滤级别是根据下表所述的一些预设类别定义的：

     类别	宽松	中等	严格
     成人	已阻止	已阻止	已阻止
     计算和互联网	部分阻止	部分阻止	已阻止
     赌博	已阻止	已阻止	已阻止
     非法和有害内容	已阻止	已阻止	已阻止
     恶意软件和垃圾邮件	已阻止	已阻止	已阻止
     商业和工业、金融	允许	已阻止	已阻止
     电子邮件、消息、聊天、电话	允许	已阻止	已阻止
     新闻、娱乐和社会	允许	部分阻止	已阻止
     社交网络	允许	已阻止	已阻止

     

     单击“更多信息”链接以查看 Web 过滤级别信息。

   • 云访问安全代理：提供阻止文件上传到各种服务、通过 Google/Yahoo/Bing 等各种搜索引擎强制执行安全搜索的功能。

     如果选中“Microsoft Azure 和 Office 365 租户限制”复选框，请指定允许的域名和多租户上下文以应用安全设置。

     从“阻止文件上传”下拉列表中选择位置（所有/Dropbox/Box/OneDrive/Google Drive/通用文件上传/无）以阻止文件上传。默认情况下选择“所有”。

     

   Citrix Secure Internet Access 提供三种不同的 SKU：Standard、Advanced 和 Premium。

   在 Citrix Secure Internet Access GUI 中：

   • “恶意软件防御和入侵防御设置”选项仅适用于拥有 Advanced 和 Premium SKU 的客户。

   • “数据丢失防护 (DLP)”选项仅适用于拥有 Premium SKU 的客户。

   对于 Standard 计划，“恶意软件防御和入侵防御设置”和“数据丢失防护 (DLP)”选项在 Citrix Secure Internet Access UI 中不可用。

   默认情况下，“恶意软件防御和入侵防御设置”和“数据丢失防护 (DLP)”的所有选项都已预先选中。您可以根据需要重置设置或选择选项。单击“下一步”。

   或者，如果您想跳过“安全设置”配置，可以禁用“推荐安全设置”按钮。您可以在 CSIA 控制台中稍后配置这些设置。

   

   在这种情况下，单击“下一步”并查看您所做的设置，然后单击“完成”以保存更改。

4. 您可以查看包含您为完成入门流程而设置的所有设置的摘要页面。

   

   单击“完成”，将显示一个弹出窗口，确认您已成功完成入门设置。单击“确定”。

   

   此外，一封电子邮件将发送给所有已在此客户帐户下添加的 Citrix Cloud 管理员，以获取 Citrix Internet Secure Access 服务。

入门完成后，导航到“配置 > 网络配置主页 > 打开 Citrix SIA 配置 >”选择“将设备连接到云”。在此页面中，您可以按照说明下载/安装与终端设备操作系统匹配的云连接器。

您可以从“配置 > 网络配置主页”页面重新运行入门流程。如果您错过了任何设置，您可以随时返回并重新运行入门流程以恢复默认/推荐设置。

后续步骤

• 查看网络中节点的状态。请参阅控制板。
• 查看有关已订阅许可权利的详细信息。请参阅查看许可详细信息。
• 在虚拟交付代理 (VDA) 和本地主机系统上配置 CSIA 云连接器代理。请参阅配置 Citrix Secure Internet Access 云连接器代理。
• 如果您还部署了 Citrix SD-WAN，请为分支机构配置隧道。请参阅为分支机构配置隧道。
• 使用 Citrix Secure Internet Access 配置策略门户配置云连接器和安全功能，并监控报告和日志。请参阅配置。