高级端点分析扫描
dvanced Endpoint Analysis (EPA) 用于扫描用户设备以满足在 NetScaler Gateway 上配置的端点安全要求。如果用户设备尝试访问 NetScaler Gateway,则在管理员授予对 NetScaler Gateway 的访问权限之前,将对该设备进行扫描以获取安全信息,例如操作系统、防病毒、网络浏览器版本等。
高级 EPA 扫描是一种基于策略的扫描,您可以在 NetScaler Gateway 上对其进行配置以进行身份验证会话。该策略在用户设备上执行注册表检查,根据评估,该策略允许或拒绝访问 NetScaler 网络。有关 Citrix EPA 客户端系统要求的更多信息,请参阅 Endpoint Analysis 要求。
您可以使用 GUI 或 CLI 配置高级 EPA 扫描。
在 GUI 上
-
创建 EPA 操作。
导航到安全 > AAA - 应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > EPA,然后单击添加。在“创建身份验证 EPA 操作”页面上,更新以下信息,然后单击“创建”。
- 名称:EPA 操作的名称。
- 默认组:EPA 检查成功时选择的默认组。
- 隔离组:EPA 检查失败时选择的隔离组。
- 终止进程:指定要由 EPA 插件终止的进程名称的字符串。多个进程必须用逗号分隔。
- 删除文件:指定要由 EPA 插件删除的文件的路径和名称的字符串。多个文件必须用逗号分隔。
- 表达式:有关 EPA 表达式格式,请参阅高级端点分析策略表达式参考。
- EPA 编辑器:选择产品版本扫描的操作员。
注意:
适用于 macOS 的 Citrix EPA 客户端 24.2.1.5/适用于 macOS 的 Citrix Secure Access 客户端 24.02.1 及更高版本支持 EPA 运算符
>
、<
、>=
、<=
、==
和!=
。此外,Mac OS 选项现在可作为单独的选项在 EPA 编辑器(Mac > Mac OS)上使用。以前,只能使用==
和!=
运算符在通用 > 操作系统 > macOS 上执行 macOS 产品版本扫描。确保使用 NetScaler Gateway 14.1-12.x 或更高版本来利用此功能。您可以使用这些运算符在 Mac > Mac OS 上对您的 macOS 设备执行产品版本扫描。例如,要允许从 12.4 到 13.0 的操作系统版本(12.8 除外),请在 EPA 编辑器上配置表达式
sys.client_expr("sys_0_MAC-OS_version_>=_12.4")&&sys.client_expr("sys_0_MAC-OS_version_<=_13.0")&&sys.client_expr("sys_0_MAC-OS_version_!=_12.8")
。 -
创建相应的 EPA 策略。
导航到“安全”>“AAA - 应用程序流量”>“策略”>“身份验证”>“高级策略”>“策略”,然后单击“添加”。在“创建身份验证策略”页面上,更新以下信息,然后单击“创建”。
- 名称:高级 EPA 策略的名称。
- 操作类型:身份验证操作的类型。
- 操作:策略匹配时要执行的身份验证操作的名称。
- 表达式:有关 EPA 表达式格式,请参阅高级端点分析策略表达式参考。
- 日志操作:请求与此策略匹配时要使用的消息日志操作的名称。允许的最大长度为 127 个字符。
-
配置身份验证虚拟服务器和身份验证配置文件。
- 导航到“安全”>“AAA - 应用程序流量”>“身份验证虚拟服务器”,然后单击“添加”。
- 导航到“安全”>“AAA - 应用程序流量”>“身份验证配置文件”,然后单击“创建”。
-
将高级 EPA 策略绑定到身份验证虚拟服务器。
- 导航到“安全”>“AAA - 应用程序流量”>“身份验证虚拟服务器”,然后选择身份验证虚拟服务器。
- 在“高级身份验证策略”部分中选择策略。
- 在“策略绑定”部分中单击“绑定”。
-
将 EPA 策略绑定到 nFactor 流。
有关如何将高级 EPA 策略作为一个因素添加到 nFactor 流程的详细信息,请参阅 EPA 扫描作为 nFactor 身份验证中的一个因素。
在 CLI 上
-
创建执行 EPA 扫描的操作。
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")" <!--NeedCopy-->
上述表达式会扫描进程“Firefox”是否正在运行。EPA 插件每 2 分钟检查一次进程是否存在,由扫描表达式中的数字“2”表示。
-
将 EPA 操作与高级的 EPA 策略关联起来。
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy-->
-
配置身份验证虚拟服务器和身份验证配置文件。
add authentication vserver authnvsepa ssl -ip address 10.104.130.129 -port 443 <!--NeedCopy-->
add Authnprofile_EPA -authnVsName authnvsepa <!--NeedCopy-->
-
将高级 EPA 策略绑定到身份验证虚拟服务器。
bind authentication vs authnvsepa -policy EPA-check -pr 1 <!--NeedCopy-->
升级 EPA 库
要使用 NetScaler GUI 升级 EPA 库,请执行以下操作:
-
导航到配置 > NetScaler Gateway > 更新客户端组件。
-
在 更新客户端组件下, 单击升级 EPA 库 链接。
-
选择所需的文件,然后单击 升级。
重要:
在 NetScaler Gateway 高可用性中,必须同时在主节点和辅助节点上升级 EPA 库。
在 NetScaler Gateway 群集设置中,必须在所有群集节点上升级 EPA 库。
有关 OPSWAT 为 NetScaler 扫描提供的 Windows 和 MAC 支持的应用程序的列表,请参阅 https://support.citrix.com/article/CTX234466。
排查高级端点分析扫描的
为了帮助排除高级端点分析扫描的故障,客户端插件会将日志记录信息写入客户端端点系统上的文件中。这些日志文件可以在以下目录中找到,具体取决于用户的操作系统。
Windows Vista、Windows 7、Windows 8、Windows 8.1 和 Windows 10:
C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt
Windows XP:
C:\Documents 和设置\ 所有用户\ 应用程序数据\ Citrix\ AGEE\ nsepa.txt
Mac OS X 系统:
~/ 库/应用程序 Support/Citrix/EPAPlugin/epaplugin.log
(其中 ~ 符号表示相关 macOS 用户的主目录路径。) (其中 ~ 符号表示相关 macOS 用户的主目录路径。)
Ubuntu:
-
~/.citrix/nsepa.txt
-
~/.citrix/nsgcepa.txt