预身份验证策略和配置文件
重要:
端点分析旨在根据预先确定的合规性标准分析用户设备,并不强制或验证最终用户设备的安全性。建议使用端点安全系统来保护设备免受本地管理员攻击。
您可以将 NetScaler Gateway 配置为在用户通过 NetScaler Gateway 身份验证之前检查用户的设备。如果用户的设备不符合贵组织的要求,这可以用来限制访问权限。设备检查可以使用特定于虚拟服务器的单个策略或全局策略来实现,如以下两个过程所述。
预身份验证策略由配置文件和表达式组成。您可以将配置文件配置为使用表达式来允许或拒绝某个进程在用户设备上运行。例如,文本文件 clienttext.txt 正在用户的设备上运行。当用户登录 NetScaler Gateway 时,您可以根据文本文件是否正在运行来允许或拒绝访问。如果您不想允许用户在进程运行时登录,则可以配置预身份验证配置文件,以便在用户登录之前停止该进程。
您可以为预身份验证策略配置以下设置:
- 表达式。包括以下设置以帮助您创建表达式:
- 表达式。显示所有表达式。
- 匹配任何表达式。配置策略以匹配所选表达式列表中存在的任何表达式。
- 匹配所有表达式。配置策略以匹配所选表达式列表中存在的所有表达式。
- 表格表达式。使用
OR (||) or AND (&&)
运算符创建包含现有表达式的复合表达式。 - 高级自由格式。使用表达式名称和
OR (||) and AND (&&)
运算符创建自定义复合表达式。只选择所需的那些表达式,然后从所选表达式列表中省略其他表达式。 - 添加。创建表达式。
- 修改。修改现有表达式。
- 删除。从复合表达式列表中删除选定的表达式。
- 命名表达式。选择已配置的命名表达式。您可以从 NetScaler Gateway 上已存在的表达式菜单中选择命名表达式。
- 添加表达式。将选定的命名表达式添加到策略中。
- 替换表达式。将选定的命名表达式替换为策略。
- 预览表达式。显示选择命名表达式时在 NetScaler Gateway 上配置的详细字符串。
配置预验证配置文件
使用 GUI 全局配置预身份验证配置文件
- 在“配置”选项卡上,单击 NetScaler Gateway,然后单击“全局设置”。
- 在详细信息窗格的“设置”下,单击“更改预身份验证设置”。
- 在“全局预身份验证设置”对话框中,配置以下设置:
-
在“操作”中,选择“允许”或“拒绝”。
端点分析发生后拒绝或允许用户登录。
-
在要取消的流程中,输入流程。
这指定了端点分析插件必须停止的进程。
-
在要删除的文件中,输入文件名。
这指定了端点分析插件必须删除的文件。删除或取消流程时,会向最终用户显示通知。
-
- 在“表达式”中,您可以保留表达式 ns_true 或为特定应用程序(例如防病毒软件或安全软件)构建表达式,然后单击“确定”。
使用 GUI 配置预身份验证配置文件
- 导航到 NetScaler Gateway > 策略 > 身份验证/授权,然后单击“预身份验证 EPA”。
- 在详细信息窗格的“配置文件”选项卡上,单击“添加”。
- 在 名称中,键入要检查的应用程序的名称。
- 在 操作中,选择 允许 或 拒绝。
- 在要取消的进程中,键入要停止的进程的名称。
-
在“要删除的文件”中,键入要删除的文件的名称,例如 c:\clientext.txt,单击“创建”, 然后单击“关闭”。
这指定了端点分析插件必须删除的文件。删除或取消流程时,会向最终用户显示通知。
如果您使用 GUI 配置预身份验证配置文件,则可以通过单击“策略”选项卡上的“添加”来创建预身份验证 策略 。在 创建预身份验证策略 对话框中,从 请求配置文件菜单中选择配置文件 。
将预配置的表达式添加到预身份验证策略
NetScaler Gateway 附带预配置的表达式,称为命名表达式。配置策略时,可以为策略使用命名表达式。例如,您希望预身份验证策略检查具有更新病毒定义的赛门铁克防病毒 10。创建预身份验证策略并按照以下过程中所述添加表达式。
创建预身份验证或会话策略时,可以在创建策略时创建表达式。然后,您可以使用表达式将策略应用于虚拟服务器或全局应用。
以下过程介绍如何使用配置实用程序将预配置的防病毒表达式添加到策略中。
将命名表达式添加到预身份验证策略
- 导航到 NetScaler Gateway > 策略 > 身份验证/授权,然后单击“预身份验证 EPA”。
- 在详细信息窗格中,选择一个策略,然后单击“打开”。
- 在 命名表达式旁边,选择 反病毒,然后从列表中选择防病毒产品。
- 单击 添加表达式,单击 创建, 然后单击 关闭。
配置自定义表达式
自定义表达式是您在策略中创建的表达式。创建表达式时,需要配置表达式的参数。
您也可以创建自定义表达式来引用常用字符串。这简化了配置预身份验证策略以及维护已配置表达式的过程。
例如,您要为 Symantec antivirus 10 创建自定义表达式,并确保病毒定义的有效期不超过三天。创建策略,然后配置表达式以指定病毒定义。
以下过程显示如何在预身份验证策略中创建表达式。您可以在会话策略中使用相同的步骤。
创建预身份验证策略和自定义表达式
- 导航到 NetScaler Gateway > 策略 > 身份验证/授权,然后单击“预身份验证 EPA”。
- 在详细信息窗格中,单击“添加”。
- 在名称中,键入策略的名称。
- 在“请求配置文件”旁边,单击“新建”。
- 在创建身份验证配置文件对话框的 名称中,键入配置文件的名称,然后在 操作中选择 允许,然后单击 创建。
- 在“创建预身份验证策略”对话框中,在“匹配任意表达式”旁边,单击“添加”。
- 在 表达式类型中,选择 客户端安全。
- 配置以下设置:
- 在 组件中,选择 反病毒。
- 在 名称中,键入应用程序的名称。
- 在限定符中,选择版本。
- 在 运算符中,选择 ==。
- 在值中,键入值。
- 在“新鲜度”中,键入 3,然后单击“确定”。
- 在“创建预身份验证策略”对话框中,单击“创建”,然后单击“关闭”。
配置自定义表达式时,它会被添加到策略对话框的表达式框中。
配置复合表达式
预身份验证策略可以有一个配置文件和多个表达式。如果配置复合表达式,则可以使用运算符来指定表达式的条件。例如,您可以将复合表达式配置为要求用户设备运行以下防病毒应用程序之一:
- 赛门铁克防病毒软件 10
- McAfee Antivirus 11
- Sophos 杀毒软件 4
您可以使用 OR 运算符配置表达式以检查上述三个应用程序。如果 NetScaler Gateway 在用户设备上检测到任何应用程序的正确版本,则允许用户登录。策略对话框中的表达式如下所示:
av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4
有关复合表达式的详细信息,请参阅 配置复合表达式。
绑定预身份验证策略
创建预身份验证策略后,将该策略绑定到其适用的级别。您可以将预身份验证策略绑定到虚拟服务器或全局绑定。
全局创建和绑定预身份验证策略
- 在“配置”选项卡上,单击 NetScaler Gateway,然后单击“全局设置”。
- 在详细信息窗格中,单击 更改预身份验证设置。
- 在“全局预身份验证设置”对话框的“操作”中,选择 允许 或 拒绝。
- 在名称中,键入策略的名称。
- 在“全局预身份验证设置”对话框中,选择 命名表达式旁边的“常规”,选择“True”值,单击“添加表达式”,单击“创建”,然后单击关闭。
将预身份验证策略绑定到虚拟服务器
- 在“配置”选项卡上,单击 NetScaler Gateway,然后单击“虚拟服务器”。
- 在详细信息窗格中,选择虚拟服务器,然后单击 Open(打开)。
- 在配置 NetScaler Gateway 虚拟服务器对话框中,单击 策略 选项卡,然后单击 预身份验证。
- 在详细信息下,单击 插入策略,然后在策略名称下,选择预身份验证策略。
- 单击确定。
取消绑定和删除预身份验证策略
如有必要,您可以从 NetScaler Gateway 中删除预身份验证策略。在删除预身份验证策略之前,请将其从虚拟服务器或全局解除绑定。
取消绑定全局预身份验证策略
- 导航到 NetScaler Gateway > 策略 > 身份验证/授权,然后单击“预身份验证 EPA”。
- 在详细信息窗格中,选择一个策略,然后在“操作”中,单击“全局绑定”。
- 在“将 身份验证预策略绑定/取消绑定到全局”对话框中,选择一个策略,单击“取消绑定策略”,然后单击“确定”。
从虚拟服务器取消绑定预身份验证策略
- 在“配置”选项卡上,单击 NetScaler Gateway,然后单击“虚拟服务器”。
- 在 配置 NetScaler Gateway 虚拟服务器 对话框中,单击 策略 选项卡,然后单击 预身份验证。
- 选择策略,然后单击“取消绑定策略”。
取消绑定预身份验证策略时,您可以从 NetScaler Gateway 中删除该策略。
删除预身份验证策略
- 导航到 NetScaler Gateway > 策略 > 身份验证/授权,然后单击“预身份验证 EPA”。
- 在详细信息窗格中,选择一个策略,然后单击“删除”。
设置预身份验证策略的优先级
您可以有多个绑定到不同级别的预身份验证策略。例如,您有一个检查全局绑定的特定防病毒应用程序的策略和绑定到虚拟服务器的防火墙策略。用户登录时,首先应用绑定到虚拟服务器的策略。然后应用全局绑定的策略。
您可以更改预身份验证扫描的发生顺序。要使 NetScaler Gateway 首先应用全局策略,请更改绑定到虚拟服务器的策略的优先级编号,使其具有比全局绑定的策略更高的优先级编号。例如,将全局策略的优先级编号设置为 1,将虚拟服务器策略设置为 2。用户登录时,NetScaler Gateway 首先运行全局策略扫描,然后运行虚拟服务器策略扫描。
更改预身份验证策略的优先级
- 在“配置”选项卡上,单击 NetScaler Gateway,然后单击“虚拟服务器”。
- 在详细信息窗格中,选择虚拟服务器,然后单击 Open(打开)。
- 在“策略”选项卡上,单击“预身份验证”。
- 在“优先级”下,键入策略的优先级编号,然后单击“确定”。