流量策略
流量策略允许您为用户连接配置以下设置:
- 强制缩短从不受信任的网络访问的敏感应用程序的超时时间。
- 将网络流量切换为对某些应用程序使用 TCP。如果选择 TCP,则必须为某些应用程序启用或禁用单点登录。
- 确定要使用其他 HTTP 功能处理 Citrix Secure Access 客户端流量的情况。
- 定义与文件类型关联一起使用的文件扩展名。
创建流量策略
要配置流量策略,请创建配置文件并配置以下参数:
- 协议(HTTP 或 TCP)
- 应用程序超时
- 单点登录 Web 应用程序
- 形成单点登录
- 文件类型关联
- 中继器插件
- Kerberos 受限委派 (KCD) 帐户
创建流量策略后,您可以将策略绑定到虚拟服务器、用户、组或全局。
例如,您在内部网络的服务器上安装了 Web 应用程序 PeopleSoft 人力资源。您可以为此应用程序创建流量策略,以定义目标 IP 地址、目标端口,还可以设置用户可以保持登录应用程序的时间长度,例如 15 分钟。
如果要配置其他功能,例如对应用程序的 HTTP 压缩,则可以使用流量策略来配置设置。创建策略时,请使用 HTTP 参数执行操作。在表达式中,为运行应用程序的服务器创建目标地址。
流量策略表达式示例
以下是流量策略的表达式示例:
-
add vpn trafficPolicy trafPol1 "HTTP.REQ.URL.CONTAINS(\"/Citrix/\") || HTTP.REQ.URL.CONTAINS(\"10.102.\")")" trafAct1
-
add vpn trafficPolicy trafPol2 "HTTP.REQ.HOSTNAME.CONTAINS(\"portal-srv\") || HTTP.REQ.URL.CONTAINS(\"homePage\"))" trafAct2
-
add vpn trafficPolicy trafPol3 true trafAct3
使用 GUI 配置流量策略
-
展开 NetScaler Gateway > 策略 ,然后单击 流量。
-
在详细信息窗格的“策略”选项卡上,单击“添加”。
-
在 创建流量策略 对话框的 名称中,键入策略的名称。
-
在“请求配置文件”旁边,单击“新建”。
-
在名称中,键入配置文件的名称。
-
在 协议中,选择 HTTP 或 TCP。
注意: 如果选择 TCP 作为协议,则无法配置单点登录,并且在配置文件对话框中禁用该设置。
-
在 AppTimeout (分钟)中,键入分钟数。此设置限制用户可以保持登录 Web 应用程序的时间。
-
要启用 Web 应用程序的单点登录,请在 单点登录中选择 开。
注意:如果要使用基于表单的单点登录,可以在流量配置文件中配置设置。有关详细信息,请参阅 配置基于表单的单点登录。
-
要指定文件类型关联,请在“文件类型关联”中选择“开”。
-
要使用中继器插件优化网络流量,请在 Citrix SD-WAN 中选择开,单击创建,然后单击关闭。
-
如果在设备上配置 KCD,请在 KCD 帐户中选择该帐户。
有关在设备上配置 KCD 的详细信息,请参阅在 NetScaler 设备上配置 Kerberos 受限委派。
-
在“创建流量策略”对话框中,创建或添加表达式,单击“创建”,然后单击“关闭”。
配置基于表单的单点登录
基于表单的单点登录允许用户一次性登录到网络中的所有受保护应用程序。在 NetScaler Gateway 中配置基于表单的单点登录时,用户可以访问需要基于 HTML 表单的登录的 Web 应用程序,而无需再次键入密码。如果没有单点登录,用户需要单独登录才能访问每个应用程序。
创建表单单一登录配置文件后,您可以创建包含表单一登录配置文件的流量配置文件和策略。有关更多信息,请参阅 创建流量策略。
配置基于表单的单点登录
-
展开 NetScaler Gateway > 策略,然后单击“流量”。
-
在详细信息窗格中,单击“表单 SSO 配置文件”选项卡,然后单击“添加”。
-
在名称中,键入配置文件的名称。
-
在 操作 URL中,键入完成的表单要提交到的 URL。
注意: 该 URL 是根相对 URL。
-
在 用户名中,为用户名字段键入属性的名称。
-
在“密码”中,键入密码字段的属性名称。
-
在 SSO 成功规则中,创建一个表达式来描述此配置文件在被策略调用时所采取的操作。也可以使用此字段下的“前缀”、“添加”和“运算符”按钮来创建表达式。
该规则检查单点登录是否成功。
-
在 名称值对中,键入用户名字段值,然后键入 & 符号 (&),然后键入密码字段值。
值名称用 & 符号分隔,例如 name1=value1&name2=value2。
-
在 响应大小中,键入允许完整响应大小的字节数。键入响应中要解析以提取表单的字节数。
-
在 提取中,选择名称/值对是静态还是动态。默认设置为动态。
-
在 提交方法中,选择单点登录表单用于将登录凭据发送到登录服务器的 HTTP 方法。默认值为 Get。
-
单击“创建”,然后单击“关闭”。
配置 SAML 单点登录
您可以为单点登录 (SSO) 创建 SAML 1.1 或 SAML 2.0 配置文件。用户可以连接到支持 SAML 协议的 Web 应用程序以进行单点登录。NetScaler Gateway 支持 SAML Web 应用程序的身份提供商 (IdP) 单点登录。
配置 SAML 单点登录
- 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway\ > 策略 ,然后单击流量。
- 在详细信息窗格中,单击 SAML SSO 配置文件选项卡。
- 在详细信息窗格中,单击“Add”(添加)。
- 在“Name”(名称)中,键入配置文件的名称。
- 在签名证书名称中,输入 X.509 证书的名称。
- 在 ACS URL 中,输入身份提供商或服务提供商的声明使用者服务。断言消费者服务 URL (ACS URL) 为用户提供 SSO 功能。
- 在中继状态规则中,从保存的策略表达式和常用表达式为策略构建表达式。从“运算符”列表中选择以定义如何计算表达式。要测试表达式,请单击评估。
- 在发送密码中,选择开或关。
- 在颁发者名称中输入 SAML 应用程序的身份。
- 单击 Create(创建),然后单击 Close(关闭)。
绑定流量策略
您可以将流量策略绑定到虚拟服务器、组、用户以及 NetScaler Gateway Global。您可以使用配置实用程序绑定流量策略。
使用 GUI 全局绑定流量策略
- 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway > 策略 ,然后单击流量。
- 在详细信息窗格中,选择一个策略,然后在“操作”中,单击“全局绑定”。
- 在“绑定/取消绑定流量策略”对话框的“详细信息”下,单击“插入策略”。
- 在策略名称下,选择策略,然后单击确定。
删除流量策略
您可以使用配置实用程序从 NetScaler Gateway 中删除流量策略。如果使用配置实用程序删除流量策略,并且该策略绑定到用户、组或虚拟服务器级别,则必须首先取消绑定该策略。然后,您可以删除该策略。
使用 GUI 取消绑定流量策略
- 展开 NetScaler Gateway, 然后单击 虚拟服务器。
- 展开 NetScaler Gateway > 用户管理,然后单击 AAA 组。
- 展开 NetScaler Gateway > 用户管理 ,然后单击 AAA 用户。
- 在详细信息窗格中,选择虚拟服务器、组或用户,然后单击“打开”。
- 在 配置 NetScaler Gateway 虚拟服务器、配置 AAA 组或 配置 AAA 用户 对话框中,单击 策略 选项卡。
- 单击 流量,选择策略,然后单击 取消绑定策略。
- 单击“确定”,然后单击“关闭”。
解除流量策略绑定后,您可以删除该策略。
使用 GUI 删除流量策略
- 展开 NetScaler Gateway > 策略,然后单击“流量”。
- 在详细信息窗格的“策略”选项卡上,选择流量策略,然后单击“删除”。