NetScaler Gateway 上的策略和配置文件
NetScaler Gateway 上的策略和配置文件允许您在指定的方案或条件下管理和实施配置设置。单个策略说明或定义了在满足一组指定条件时生效的配置设置。每个策略都有一个唯一的名称,并且可以将配置文件绑定到该策略。
策略如何运作
策略由布尔条件和称为配置文件的设置集合组成。在运行时评估条件以确定是否必须应用策略。
配置文件是使用特定参数的设置集合。配置文件可以有任何名称,您可以在多个策略中重复使用它。您可以在配置文件中配置多个设置,但每个策略只能包含一个配置文件。
您可以使用配置的条件和配置文件将策略绑定到虚拟服务器、组、用户或全局。策略由它们控制的配置设置类型来引用。例如,在会话策略中,您可以控制用户的登录方式以及用户可以保持登录状态的时间。
如果您将 NetScaler Gateway 与 Citrix Virtual Apps 结合使用,NetScaler Gateway 策略名称将作为筛选器发送到 Citrix Virtual Apps。将 NetScaler Gateway 配置为与 Citrix Virtual Apps 和 SmartAccess 兼容时,您可以在 Citrix Virtual Apps 中配置以下设置:
- 在设备上配置的虚拟服务器的名称。该名称将作为 NetScaler Gateway 场名称发送到 Citrix Virtual Apps。
- 预身份验证或会话策略的名称将作为过滤器名称发送。
有关将 NetScaler Gateway 配置为与 Citrix Endpoint Management 兼容的更多信息,请参阅为 Citrix Endpoint Management 环境配置设置。
有关将 NetScaler Gateway 配置为与 Citrix Virtual Apps and Desktops 兼容的更多信息,请参阅使用Web Interface 访问 Citrix Virtual Apps 和 Citrix Virtual Desktops 资源和与 Citrix Endpoint Management 或 StoreFront 集成。
有关预身份验证策略的更多信息,请参阅 配置端点策略。
条件策略
配置策略时,可以使用任何布尔表达式来表示应用策略的条件。配置条件策略时,可以使用任何可用的系统表达式,例如:
- 客户端安全字串
- 网络信息
- HTTP 标头和cookie
- 一天中的时间
- 客户端证书值
您还可以创建仅在用户设备满足特定条件时应用的策略,例如 SmartAccess 的会话策略。
配置条件策略的另一个示例是更改用户的身份验证策略。例如,您可以要求从内部网络外部(例如从家用计算机或使用移动设备上的 Micro VPN)连接到 Citrix Secure Access 客户端的用户使用 LDAP 进行身份验证,并要求通过 WAN 连接的用户使用 RADIUS 进行身份验证。
注意:如果策略规则配置为会话配置文件中的安全设置的一部分,则不能使用基于端点分析结果的策略条件。
策略的优先事项
按照策略绑定的顺序对策略进行优先级排序和评估。
以下两种方法确定策略优先级:
- 策略绑定到的级别:全局、虚拟服务器、组或用户。策略级别按从最高到最低的顺序排列如下:
- 用户(最高优先级)
- 组
- 虚拟服务器
- 全局(最低优先级)
- 无论策略绑定到哪个级别,数字优先级都优先。如果全局绑定的策略的优先级号为 1,而绑定到用户的另一个策略的优先级号为 2,则全局策略优先级。较低优先级的数字会使策略具有更高的优先级。
在 NetScaler Gateway 上创建策略
您可以使用配置实用程序创建策略。创建策略后,将策略绑定到适当的级别:用户、组、虚拟服务器或全局。将策略绑定到这些级别之一时,如果满足策略条件,用户将收到配置文件中的设置。每个策略和配置文件都有唯一的名称。
如果将 Citrix Endpoint Management 或 StoreFront 作为部署的一部分,则可以使用快速配置向导配置此部署的设置。 有关向导的详细信息,请参阅使用快速配置向导配置设置。