Gateway

端点策略的工作原理

您可以将 Citrix Gateway 配置为在用户登录之前检查用户设备是否满足某些安全要求。这称为预身份验证策略。您可以将 Citrix Gateway 配置为检查用户设备中是否存在您在策略中指定的防病毒、防火墙、反垃圾邮件、进程、文件、注册表项、Internet 安全或操作系统。如果用户设备未能通过预身份验证扫描,则不允许用户登录。

如果您需要配置预身份验证策略中未使用的其他安全要求,则可以配置会话策略并将其绑定到用户或组。这种类型的策略称为身份验证后策略,它在用户会话期间运行,以确保所需的项目(例如防病毒软件或进程)仍然有效。

配置预身份验证或身份验证后策略时,Citrix Gateway 会下载端点分析插件,然后运行扫描。每次用户登录时,Endpoint Analysis 插件都会自动运行。

您可以使用以下三种类型的策略来配置终端节点策略:

  • 使用是或否参数的预身份验证策略。扫描将确定用户设备是否满足指定的要求。如果扫描失败,用户将无法在登录页面上输入凭据。
  • 会话策略是有条件的,可用于 SmartAccess。
  • 会话策略中的客户端安全表达式。如果用户设备不能满足客户端安全表达式的要求,则可以将用户配置为放入隔离组。如果用户设备通过扫描,则可以将用户置于不同的组,这可能需要额外的检查。

您可以将检测到的信息纳入策略,从而根据用户设备授予不同的访问级别。例如,您可以向从具有当前防病毒和防火墙软件要求的用户设备远程连接的用户提供具有下载权限的完全访问权限。对于从不受信任的计算机进行连接的用户,您可以提供更受限的访问级别,允许用户在远程服务器上编辑文档而无需下载它们。

端点分析执行以下基本步骤:

  • 检查有关用户设备的初始信息集,以确定要应用哪些扫描。
  • 运行所有适用的扫描。当用户尝试连接时,Endpoint Analysis 插件会检查用户设备是否符合预身份验证或会话策略中指定的要求。如果用户设备通过扫描,则允许用户登录。如果用户设备扫描失败,则不允许用户登录。 注意:端点分析扫描在用户会话使用许可证之前完成。
  • 将在用户设备上检测到的属性值与配置的扫描中列出的所需属性值进行比较。
  • 生成一个输出,验证是否找到了所需的属性值。

    注意: 创建端点分析策略的说明是一般准则。一个会话策略中可以有许多设置。配置会话策略的具体说明可能包含配置特定设置的说明;但是,该设置可以是会话配置文件和策略中包含的许多设置之一。

端点策略的工作原理