Gateway

通过 Citrix 移动生产力应用,允许从移动设备访问

适用于 XenMobile 的 Citrix ADC 向导配置了允许用户通过 Citrix Gateway 从受支持的设备连接到内部网络中的移动应用程序和资源所需的设置。用户通过使用 Secure Hub(以前称为 Worx Home)进行连接,该中心建立了一个 Micro VPN 通道。用户连接后,VPN 隧道将打开至 Citrix Gateway,然后将传递给内部网络中的 XenMobile。然后,用户可以从 XenMobile 访问其 Web、移动应用和 SaaS 应用程序。

要确保用户在使用多个设备同时连接到 Citrix Gateway 时使用单个通用许可证,可以在虚拟服务器上启用会话传输。有关详细信息,请参阅 在虚拟服务器上配置连接类型

如果在使用适用于 XenMobile 的 Citrix ADC 向导后需要更改配置,请使用本文中的部分获取指导。在更改设置之前,请确保您了解更改的含义。有关更多信息,请参阅文XenMobile 部署章。

在 Citrix Gateway 中配置安全浏览

您可以更改安全浏览作为全局设置的一部分或作为会话配置文件的一部分。您可以将会话策略绑定到用户、组或虚拟服务器。配置安全浏览时,还必须启用无客户端访问。但是,无客户端访问不需要启用安全浏览。配置无客户端访问时,请将 无客户端访问 URL 编码 设置为“清除”。

要在全局配置安全浏览,请执行以下操作:

  1. 在配置实用程序中的“配置”选项卡的导航窗格中,展开 Citrix Gateway ,然后单击“全局设置”。
  2. 在详细信息窗格的“设置”下,单击“更改全局设置”。
  3. 在“全局 Citrix Gateway 设置”对话框的“安全”选项卡上,单击“浏览”,然后单 “确定”。

要在会话策略和配置文件中配置安全浏览,请执行以下操作:

  1. 在配置实用程序中的“配置”选项卡的导航窗格中,展开 Citrix Gateway > 策 略,然后单击“会话”。
  2. 在详细信息窗格中,执行以下操作之一:
    • 如果要创建新的会话策略,请单击“添加”。
    • 如果要更改现有策略,请选择一个策略,然后单击“打开”。
  3. 在策略中,创建新配置文件或修改现有配置文件。为此,请执行以下操作之一:
    • 请求配置文件旁边,单击新建
    • 请求配置文件旁边,单击修改
  4. 在“ 全”选项卡上的“安全浏览”旁边,单击“覆盖全局”,然后选择“安全浏览”。
  5. 执行以下操作之一:
    • 如果要创建新配置文件,请单击“创建”,在策略对话框中设置表达式,单击“创建”,然后单击“关闭”。
    • 如果您正在修改现有配置文件,请在进行选择后单击“确定”两次。

要在安全浏览模式下为 Secure Web 配置流量策略,请执行以下操作:

使用以下步骤配置流量策略,以便在安全浏览模式下通过代理服务器路由 Secure Web 流量。

  1. 在配置实用程序中的配置选项卡上,展开 Citrix Gateway > 策略,然后单击流量
  2. 在右窗格中,单击“流量配置文件”选项卡,然后单击“添加”。
  3. 在“名称”中,输入配置文件的名称,选择 TCP 作为协,并保持其余设置原样。
  4. 单击创建
  5. 单击 流量配置文件 选项卡,然后单击 添加
  6. 在“名称”中,输入配置文件的名称,然后选择 HTTP作为 协议。 此流量配置文件适用于 HTTP 和 SSL。根据设计,CVPN 流量是 HTTP 流量,无论目标端口或服务类型如何。因此,您可以在流量配置文件中将 SSL 和 HTTP 流量指定为 HTTP。
  7. 代理中,输入代理服务器的 IP 地址。在 端口中,输入代理服务器的端口号。
  8. 单击创建
  9. 单击 流量配置文件 选项卡,然后单击 添加
  10. 输入流量策略的名称,对于请求配置文件,选择您在步骤 3 中创建的流量配置文件。输入以下 表达式 ,然后单击 创建

    REQ.HTTP.HEADER HOST 包含 ActiveSyncServer REQ.HTTP.HEADER User-Agent CONTAINS WorxMail REQ.HTTP.HEADER User-Agent CONTAINS com.zenprise REQ.HTTP.HEADER User-Agent CONTAINS WorxHome REQ.HTTP.URL CONTAINS AGServices

    该规则根据主机标头执行检查。要绕过来自代理的 Activesync 流量,请将 ActiveSyncServer 替换为适当的 ActiveSync 服务器名称。

  11. 单击 流量配置文件 选项卡,然后单击 添加 。输入流量策略的名称,对于请求配置文件,选择在步骤 6 中创建的流量配置文件。输入以下 表达式 ,然后单击 创建

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  12. 单击 流量配置文件 选项卡,然后单击 添加 。输入流量策略的名称,对于请求配置文件,选择在步骤 6 中创建的流量配置文件。输入以下 表达式 ,然后单击 创建

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  13. 导航到 Citrix Gateway > 虚拟服务器,在右窗格中选择虚拟服务器,然后单击编辑
  14. 策略 行上,单击 +
  15. 从“选择策略”菜单中,选择“流量”。
  16. 单击继续
  17. 策略绑定下,从 选择策略对面单击 >
  18. 选择您在步骤 10 中创建的策略,然后单 击确定
  19. 单击 Bind(绑定)。
  20. 略下,单击 流量策略
  21. VPN 虚拟服务器流量策略绑定下,单击 添加绑定
  22. 策略绑定下,在“选择策略”菜单旁边,单击 >以查看策略列表。
  23. 选择您在步骤 17 中创建的策略,然后单 击确定
  24. 单击 Bind(绑定)。
  25. 策略下,单击 流量策略
  26. VPN 虚拟服务器流量策略绑定下,单击 添加绑定
  27. 策略绑定下,在“选择策略”菜单旁边,单击 >以查看策略列表。
  28. 选择您在步骤 18 中创建的策略,然后单 击确定
  29. 单击 Bind(绑定)。
  30. 单击关闭
  31. 单击完成

请务必在 XenMobile 控制台中配置 Secure Web (WorxWeb) 应用程序。转到配置 > 应用程序,选择 Secure Web 应用程序,单击编辑,然后进行以下更改:

  • 在“应用程序信息”页面上,将“初始 VPN 模式”更改为“安全浏览”。
  • iOS 页面上,将 初始 VPN 模式 更改为 安全浏览
  • Android 页面上,将 首选 VPN 模式 更改为 安全浏览

配置应用程序和 MDX 令牌超时

当用户从 iOS 或 Android 设备登录时,会发出应用程序令牌或 MDX 令牌。令牌类似于安全票证机构 (STA)。

您可以设置令牌处于活动状态的秒数或分钟数。如果令牌过期,用户将无法访问请求的资源,例如应用程序或网页。

令牌超时是全局设置。配置设置时,该设置将应用于登录到 Citrix Gateway 的所有用户。

  1. 在配置实用程序中的“配置”选项卡的导航窗格中,展开 Citrix Gateway ,然后单击“全局设置”。
  2. 在详细信息窗格的“设置”下,单击“更改全局设置”。
  3. 在“全局 Citrix Gateway 设置”对话框的“客户端体验”选项卡上,单击“高级设置”。
  4. 在“常 ”选项卡上的“应用程序令牌超时 (秒)”中,输入令牌到期前的秒数。默认值为 100 秒。
  5. MDX 令牌超时(分钟)中,输入令牌到期前的分钟数,然后单 击确定。默认值为 10 分钟。

禁用移动设备的端点分析

如果配置终端分析,则需要配置策略表达式,以便终端分析扫描不会在 Android 或 iOS 移动设备上运行。移动设备不支持端点分析扫描。

如果将终端分析策略绑定到虚拟服务器,则必须为移动设备创建辅助虚拟服务器。请勿将身份验证前或身份验证后策略绑定到移动设备虚拟服务器。

在预身份验证策略中配置策略表达式时,您可以添加用户代理字符串以排除 Android 或 iOS。当用户从其中一个设备登录并排除设备类型时,端点分析不会运行。

例如,您创建以下策略表达式来检查用户代理是否包含 Android,如果应用程序病毒 .exe 不存在,并结束进程 keylogger.exe(如果它正在使用预身份验证配置文件运行)。策略表达式可能如下所示:

REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe) contains

创建预身份验证策略和配置文件后,将策略绑定到虚拟服务器。当用户从 Android 或 iOS 设备登录时,扫描不会运行。如果用户从基于 Windows 的设备登录,则扫描将运行。

有关配置预身份验证策略的更多信息,请参阅配置终端策略

通过对 Android 设备使用 DNS 后缀支持 DNS 查询

当用户从 Android 设备建立微型 VPN 连接时,Citrix Gateway 会向用户设备发送拆分 DNS 设置。Citrix Gateway 支持基于您配置的拆分 DNS 设置的拆分 DNS 查询。Citrix Gateway 还可以支持基于您在设备上配置的 DNS 后缀的拆分 DNS 查询。如果用户从 Android 设备连接,则必须在 Citrix Gateway 上配置 DNS 设置。

拆分 DNS 的工作方式如下:

  • 如果将拆分 DNS 设置为本地,Android 设备将所有 DNS 请求发送到本地 DNS 服务器。
  • 如果将拆分 DNS 设置为远程,则所有 DNS 请求都会发送到 Citrix Gateway (远程 DNS 服务器)上配置的 DNS 服务器以进行解析。
  • 如果将拆分 DNS 设置为两者,Android 设备将检查 DNS 请求类型。
    • 如果 DNS 请求类型不是“A”,它将 DNS 请求数据包发送到本地和远程 DNS 服务器。
    • 如果 DNS 请求类型为“A”,则 Android 插件将提取查询 FQDN 并将该 FQDN 与 Citrix ADC 上配置的 DNS 后缀列表匹配。如果 DNS 请求的 FQDN 匹配,则 DNS 请求将发送到远程 DNS 服务器。如果 FQDN 不匹配,则 DNS 请求将发送到本地 DNS 服务器。

下表总结了基于类型 A 记录和后缀列表的拆分 DNS 工作。

拆分 DNS 设置 这是 A 型记录吗? 它是否在后缀列表上? DNS 请求的发送位置
本地 “是”或“否” “是”或“否” 本地
远程 “是”或“否” “是”或“否” 远程
不适用
远程
本地

要配置 DNS 后缀,请执行以下操作:

  1. 在配置实用程序中的“配置”选项卡的导航窗格中,展开 Citrix Gateway > 策 略,然后单击“会话”。
  2. 在详细信息窗格的“ 略”选项卡上,选择会话策略,然后单击“打开”。
  3. 请求配置文件旁边,单击修改
  4. 在“网络配置”选项卡上,单击“高级”。
  5. Intranet IP DNS 后缀旁边,单击 覆盖全局,键入 DNS 后缀,然后单 击确定三次。

要在 Citrix Gateway 上全局配置拆分 DNS:

  1. 在配置实用程序中的“配置”选项卡的导航窗格中,展开 Citrix Gateway ,然后单击“全局设置”。
  2. 在详细信息窗格的“设置”下,单击“更改全局设置”。
  3. 客户端体验 选项卡上,单击 高级设置
  4. 在“常规”选 卡上的“拆分 DNS”中,选择“ 时”、“远程”或“本地”,然后单 “确定”。

要在 Citrix Gateway 上的会话策略中配置拆分 DNS,请执行以下操作:

  1. 在配置实用程序中的“配置”选项卡的导航窗格中,展开 Citrix Gateway > 策 略,然后单击“会话”。
  2. 在详细信息窗格的“策略”选项卡上,单击“添加”。
  3. 在“名称”中,键入策略的名称。
  4. 请求配置文件旁边,单击新建
  5. 在“名称”中,键入配置文件的名称。
  6. 客户端体验 选项卡上,单击 高级设置
  7. 在“常规”选 卡上,在“拆分 DNS”旁边,单击“覆盖全 局”,选择“ 时”、“远程”或“本地”,然后单 “确定”。
  8. 在“创建会话策略”对话框的 命名表达式 旁边,选择“常 ”,选择“True”,单击“添加表达 式”,单击“创建”,然后单击“关闭”。
通过 Citrix 移动生产力应用,允许从移动设备访问