Gateway

高级端点分析扫描

dvanced Endpoint Analysis (EPA) 用于扫描用户设备以满足在 NetScaler Gateway 上配置的端点安全要求。如果用户设备尝试访问 NetScaler Gateway,则在管理员授予对 NetScaler Gateway 的访问权限之前,将对该设备进行扫描以获取安全信息,例如操作系统、防病毒、网络浏览器版本等。

高级 EPA 扫描是一种基于策略的扫描,您可以在 NetScaler Gateway 上对其进行配置以进行身份验证会话。该策略在用户设备上执行注册表检查,根据评估,该策略允许或拒绝访问 NetScaler 网络。有关 Citrix EPA 客户端系统要求的更多信息,请参阅 Endpoint Analysis 要求

您可以使用 GUI 或 CLI 配置高级 EPA 扫描。

在 GUI 上

  1. 创建 EPA 操作。

    导航到安全 > AAA - 应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > EPA,然后单击添加。在“创建身份验证 EPA 操作”页面上,更新以下信息,然后单击“创建”。

    • 名称:EPA 操作的名称。
    • 默认组:EPA 检查成功时选择的默认组。
    • 隔离组:EPA 检查失败时选择的隔离组。
    • 终止进程:指定要由 EPA 插件终止的进程名称的字符串。多个进程必须用逗号分隔。
    • 删除文件:指定要由 EPA 插件删除的文件的路径和名称的字符串。多个文件必须用逗号分隔。
    • 表达式:有关 EPA 表达式格式,请参阅高级端点分析策略表达式参考

    高级 EPA 扫描工作流程

    • EPA 编辑器:选择产品版本扫描的操作员。

    高级 EPA 扫描工作流程

    注意:

    适用于 macOS 的 Citrix EPA 客户端 24.2.1.5/适用于 macOS 的 Citrix Secure Access 客户端 24.02.1 及更高版本支持 EPA 运算符 ><>=<===!= 。此外,Mac OS 选项现在可作为单独的选项在 EPA 编辑器(Mac > Mac OS)上使用。以前,只能使用 ==!= 运算符在通用 > 操作系统 > macOS 上执行 macOS 产品版本扫描。确保使用 NetScaler Gateway 14.1-12.x 或更高版本来利用此功能。

    您可以使用这些运算符在 Mac > Mac OS 上对您的 macOS 设备执行产品版本扫描。例如,要允许从 12.4 到 13.0 的操作系统版本(12.8 除外),请在 EPA 编辑器上配置表达式 sys.client_expr("sys_0_MAC-OS_version_>=_12.4")&&sys.client_expr("sys_0_MAC-OS_version_<=_13.0")&&sys.client_expr("sys_0_MAC-OS_version_!=_12.8")

  2. 创建相应的 EPA 策略。

    导航到“安全”>“AAA - 应用程序流量”>“策略”>“身份验证”>“高级策略”>“策略”,然后单击“添加”。在“创建身份验证策略”页面上,更新以下信息,然后单击“创建”。

    • 名称:高级 EPA 策略的名称。
    • 操作类型:身份验证操作的类型。
    • 操作:策略匹配时要执行的身份验证操作的名称。
    • 表达式:有关 EPA 表达式格式,请参阅高级端点分析策略表达式参考
    • 日志操作:请求与此策略匹配时要使用的消息日志操作的名称。允许的最大长度为 127 个字符。

    高级 EPA 扫描工作流程

  3. 配置身份验证虚拟服务器和身份验证配置文件。

    • 导航到“安全”>“AAA - 应用程序流量”>“身份验证虚拟服务器”,然后单击“添加”。

    高级 EPA 扫描工作流程

    • 导航到“安全”>“AAA - 应用程序流量”>“身份验证配置文件”,然后单击“创建”。

    高级 EPA 扫描工作流程

  4. 将高级 EPA 策略绑定到身份验证虚拟服务器。

    • 导航到“安全”>“AAA - 应用程序流量”>“身份验证虚拟服务器”,然后选择身份验证虚拟服务器。
    • 在“高级身份验证策略”部分中选择策略。
    • 在“策略绑定”部分中单击“绑定”。

    高级 EPA 扫描工作流程

  5. 将 EPA 策略绑定到 nFactor 流。

    有关如何将高级 EPA 策略作为一个因素添加到 nFactor 流程的详细信息,请参阅 EPA 扫描作为 nFactor 身份验证中的一个因素

在 CLI 上

  1. 创建执行 EPA 扫描的操作。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
    <!--NeedCopy-->
    

    上述表达式会扫描进程“Firefox”是否正在运行。EPA 插件每 2 分钟检查一次进程是否存在,由扫描表达式中的数字“2”表示。

  2. 将 EPA 操作与高级的 EPA 策略关联起来。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  3. 配置身份验证虚拟服务器和身份验证配置文件。

    add authentication vserver authnvsepa ssl -ip address 10.104.130.129 -port 443
    <!--NeedCopy-->
    
    add Authnprofile_EPA -authnVsName authnvsepa
    <!--NeedCopy-->
    
  4. 将高级 EPA 策略绑定到身份验证虚拟服务器。

    bind authentication vs authnvsepa -policy EPA-check -pr 1
    <!--NeedCopy-->
    

升级 EPA 库

要使用 NetScaler GUI 升级 EPA 库,请执行以下操作:

  1. 导航到配置 > NetScaler Gateway > 更新客户端组件

  2. 更新客户端组件下, 单击升级 EPA 库 链接。

  3. 选择所需的文件,然后单击 升级

重要:

  • 在 NetScaler Gateway 高可用性中,必须同时在主节点和辅助节点上升级 EPA 库。

  • 在 NetScaler Gateway 群集设置中,必须在所有群集节点上升级 EPA 库。

有关 OPSWAT 为 NetScaler 扫描提供的 Windows 和 MAC 支持的应用程序的列表,请参阅 https://support.citrix.com/article/CTX234466

排查高级端点分析扫描的

为了帮助排除高级端点分析扫描的故障,客户端插件会将日志记录信息写入客户端端点系统上的文件中。这些日志文件可以在以下目录中找到,具体取决于用户的操作系统。

Windows Vista、Windows 7、Windows 8、Windows 8.1 和 Windows 10:

C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt

Windows XP:

C:\Documents 和设置\ 所有用户\ 应用程序数据\ Citrix\ AGEE\ nsepa.txt

Mac OS X 系统:

~/ 库/应用程序 Support/Citrix/EPAPlugin/epaplugin.log

(其中 ~ 符号表示相关 macOS 用户的主目录路径。) (其中 ~ 符号表示相关 macOS 用户的主目录路径。)

Ubuntu:

  • ~/.citrix/nsepa.txt

  • ~/.citrix/nsgcepa.txt

高级端点分析扫描