PoC-Leitfaden: URL-Umleitung mit Secure Browser und NetScaler ADC in Azure

Überblick

Im Folgenden finden Sie die Konfigurationsschritte für die Einrichtung eines ADC, die Konfiguration von SSL Forward Proxy und SSL Interception mit der neuesten NetScaler ADC Marketplace-Vorlage. Die URL-Umleitung von ADC zu Secure Browser ermöglicht es Administratoren, bestimmte Website-Kategorien zu definieren, die automatisch vom lokalen Browser an Secure Browser umgeleitet werden. Der NetScaler ADC fungiert als Zwischenproxy, um das Abfangen zwischen lokalem Surfen und Internet durchzuführen, wodurch die Webisolierung erreicht und das Unternehmensnetzwerk geschützt wird. Diese Fähigkeit erhöht die Sicherheit, ohne die Benutzererfahrung zu beeinträchtigen.

Konzeptarchitektur

Geltungsbereich

Dieser Leitfaden für den Machbarkeitsnachweis beschreibt Folgendes:

1. Secure Browser-Testkonto abrufen
2. Einrichten von ADC in Azure
3. Richten Sie die NetScaler ADC Appliance als Proxy ein
4. Einrichten von SSL Interception
5. Einrichten von Rewrite-Richtlinien und -Aktionen

Schritte für die Bereitstellung

Abschnitt 1: Beziehen eines Secure Browser-Testkontos

[Referenzdokument für den Remote Browser Isolation-Dienst] /en-us/citrix-remote-browser-isolation)

Fordern Sie eine Testversion von Sec

1. Navigieren Sie zu Ihrem Citrix Cloud-Konto und geben Sie Benutzernamen und Kennwort ein

2. Klicken Sie auf Anmelden. Wenn Ihr Konto mehr als einen Kunden verwaltet, wählen Sie den entsprechenden aus

   

3. Doppelklicken Sie auf die Kachel Secure Browser

   

4. Wenn Sie wissen, wer Ihr Account-Team ist, wenden Sie sich an dieses, um die Testversion zu genehmigen. Wenn Sie sich nicht sicher sind, wer Ihr Account-Team ist, fahren Sie mit dem nächsten Schritt fort.

5. Klicken Sie auf Anruf anfordern

   

6. Geben Sie Ihre Daten ein und geben Sie im Kommentarbereich„Remote Browser Isolation Service Trial“ an.

7. Klicken Sie auf Submit.

   

   Hinweis:

   Citrix Sales wird sich mit Ihnen in Verbindung setzen, um Ihnen Zugriff auf den Service zu geben. Dies ist nicht sofort, ein Citrix Vertriebsmitarbeiter wird sich melden

8. Sobald Sie die Secure Browser-Testversion genehmigt haben, lesen Sie den Abschnitt Einen sicheren Browser veröffentlichen in der Citrix Doc, um eine Secure Browser-App zu veröffentlichen.

URL-Parameter aktivieren

1. Doppelklicken Sie in Ihrem Citrix Cloud-Abonnement auf die Secure Browser-Kachel

2. Klicken Sie in Ihrem veröffentlichten Browser, in diesem Beispiel “Browser” genannt, auf die drei Punkte und wählen Sie Richtlinienaus

   

3. Aktivieren Sie die Richtlinie für URL-Parameter in Ihrem veröffentlichten Browser

   

Abschnitt 2: Einrichten von ADC in Azure

Der ADC kann in jeder Cloud Ihrer Wahl eingerichtet werden. In diesem Beispiel ist Azure unsere Cloud der Wahl.

Konfigurieren einer ADC-Instanz

1. Navigieren Sie zu Alle Ressourcen und klicken Sie auf + Schaltfläche Hinzufügen, suchen Sie nach NetScaler ADC

2. Wählen Sie die NetScaler ADC-Vorlage

3. Wählen Sie den Softwareplan nach Ihren Anforderungen aus (in diesem Beispiel Bring Your Own License)

4. Klicken Sie auf Erstellen.

   

Konfigurieren der NIC-Karte

1. Navigieren Sie zu Alle Ressourcen und wählen Sie die NIC-Karte für die ADC-Instanz

2. Wählen Sie IP-Konfigurationenaus, notieren Sie sich die ADC-Verwaltungsadresse

3. Aktivieren Sie die Einstellungen für die IP-Weiterleitung, speichern Sie die Änderungen.

   

Konfigurieren virtueller IP

1. Klicken Sie auf Hinzufügen, legen Sie virtualip als Namen der neuen Konfiguration fest

2. Wählen Sie Static aus und fügen Sie nach der Verwaltungsadresse eine neue IP-Adresse hinzu

3. Aktivieren Sie die Option “Öffentliche Adresse” und erstellen Sie eine neue öffentliche IP-Adresse

4. Speichern Sie die Änderungen

   

Richten Sie den FQDN auf dem Client ein

1. Navigieren Sie zu der für die virtualip Konfiguration erstellten Ressource für öffentliche IP-Adressen

2. Klicken Sie auf Konfigurationund fügen Sie ein DNS-Label hinzu (in diesem Beispiel urlredirection.eastus.cloudapp.azure.com)

   

Einrichten von Netzwerkregeln

1. Fügen Sie die folgenden Regeln für Netzwerke hinzu

   

   Hinweis:

   Sie können die Ports 22 und 443 nach Abschluss der Konfiguration schließen, da diese Ports nur für die Anmeldung bei der Verwaltungskonsole zu Konfigurationszwecken benötigt werden.

2. Zu diesem Zeitpunkt ist die ADC-Instanz in Azure eingerichtet

Abschnitt 3: Richten Sie die NetScaler ADC Appliance als Proxy ein

Richten Sie den ADC als Proxy ein, um den Datenverkehr vom Clientbrowser zum Internet zu leiten.

Melden Sie sich bei ADC Management Console an

1. Navigieren Sie zur NetScaler ADC Management Console, indem Sie die öffentliche IP-Adresse der Instanz in die Suchleiste Ihres Browsers eingeben

   Hinweis:

   Verwenden Sie in diesem Beispiel die IP-Adresse der Maschine, die Sie in den vorherigen Schritten bereitgestellt haben https://40.88.150.164/

2. Melden Sie sich bei der Konsole an, indem Sie den Benutzernamen und das Kennwort eingeben, die Sie in den vorherigen Schritten eingerichtet haben

   

3. Klicken Sie auf dem Bildschirm für die Erstkonfiguration auf Weiter

Die Lizenzen hochladen

1. Navigieren Sie zu System > Lizenzen > Lizenzen verwalten

2. Laden Sie die notwendigen Lizenzen für ADC hoch.

   Hinweis:

   Die von Ihnen mitgetretenen Lizenzen müssen die in den Schritten 11 und 13 unter Configure Basic Features und Configure Advanced Features hervorgehobenen Funktionen unterstützen (z. B. CNS_V3000_SERVER_PLT_Retail.lic und CNS_WEBF_SSERVER_Retail.lic)

   

3. Starten Sie den Server neu, nachdem Sie beide Lizenzen hochgeladen haben.

4. Melden Sie sich nach dem Neustart erneut bei der Verwaltung an

5. Navigieren Sie zu System > Einstellungen > Modi konfigurieren

6. Es müssen nur zwei Optionen aktiviert werden, die Mac-basierte Weiterleitung und Path MTU Discovery

   

   

7. Navigieren Sie zu System > Einstellungen > Basisfunktionen konfigurieren

   

8. Wählen Sie aus: SSL OffloadingLoad Balancing, Rewrite, Authentication, Authorization, and Auditing,, Content Switching, und Integrated Caching

   

9. Navigieren Sie zu System > Einstellungen > Erweiterte Funktionen konfigurieren

   

10. Wählen Sie aus: Cache RedirectionIPv6 Protocol TranslationAppFlow, Reputation,, Forward Proxy, Content Inspection, Responder, URL Filtering, und SSL Interception

    

Richten Sie den NTP Server ein

1. Navigieren Sie zu System > NTP Servers > Hinzufügen

   

2. Erstellen Sie zum Beispiel einen Server pool.ntp.org

   

3. Aktivieren Sie NTP bei Aufforderung und setzen Sie den Server auf aktiviert

   

4. Speichern der Aktion “Speichern” der Konfiguration aus dem Managementportal

   

5. Öffnen Sie SSH Session to ADC Verwaltungsadresse, melden Sie sich mit Anmeldeinformationen an, die Sie bei der Bereitstellung des ADC von Azure verwendet haben

Einrichten von TCP-Profil und vServer

1. Holen Sie sich das virtualip aus den Schritten in Abschnitt 2 und geben Sie den Befehl ein (in diesem Beispiel 10.1.0.5)

2. Führen Sie zum Beispiel die folgenden Befehle mit der sslproxy Adresse aus virtualip:

3. So fügen Sie TCP-Profil hinzu:

   add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE
   <!--NeedCopy-->
   

4. So fügen Sie einen virtuellen Server hinzu

   add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE
   
   bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver
   
   add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2
   
   set cs vserver sslproxy01 -netProfile proxy-netprofile01
   
   set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend
   
   save ns config
   <!--NeedCopy-->
   

5. Um die Cache-Einstellungen zu ändern, kehren Sie im Browser zur Verwaltungssitzung zurück

6. Navigieren Sie zu Optimierung > Integriertes Caching

7. Navigieren Sie zu Einstellungen > Cache-Einstellungen ändern

   

8. Setzen Sie das Speichernutzungslimit auf 250 MB und klicken Sie auf

   

Richten Sie den Client für die URL-Umleitung ein

1. Auf einem Client, zum Beispiel Firefox

2. Konfigurieren Sie Ihren Browser-Proxy für virtualip, Public IP oder FQDN: 8080, den Sie in Abschnitt 2 konfiguriert haben (z. B. urlredirection.eastus.cloudapp.azure.com:8080)

   

3. Nachdem wir nun einen ADC eingerichtet haben, testen Sie auf jede Website-Konnektivität des Browsers, wobei der ADC als Proxy fungiert.

Abschnitt 4: Einrichten des SSL-Interception

Beim SSL-Abfangen wird eine Richtlinie verwendet, die festlegt, welcher Datenverkehr abgefangen, blockiert oder zugelassen werden soll. Citrix empfiehlt, dass Sie eine generische Richtlinie zum Abfangen des Datenverkehrs und spezifischere Richtlinien konfigurieren, um einen Teil des Datenverkehrs zu Bypass.

Informationsquellen:

SSL-Abfangen

URL-Kategorien

Videobeispiel für die Konfiguration

Erstellen Sie einen RSA-Schlüssel

1. Navigieren Sie zu Verkehrsmanagement > SSL > SSL-Dateien > Schlüssel

2. Wählen Sie RSA-Schlüssel erstellen

   

3. Wählen Sie den Schlüsseldateinamen und die erforderliche Schlüsselgröße aus

   

4. Sobald der Schlüssel erstellt wurde, laden Sie die .key Datei zur späteren Verwendung herunter

   

Zertifikatsignieranforderung (CSR) erstellen

1. Navigieren Sie zu Verkehrsmanagement > SSL > SSL-Dateien > CSRs > Zertifikatsignieranforderung erstellen (CSR)

   

2. Benennen Sie zum Beispiel die Anforderungsdatei semesec_req1.req

   

3. Klicken Sie auf Key Filename > Appliace Der Schlüsseldateiname ist derjenige, der im vorherigen Schritt erstellt wurde, in diesem Beispiel smesec_key1.key

   

4. Nach der Auswahl des Schlüssels füllen Sie die erforderlichen Felder weiter aus: Allgemeiner Name, Organisationsname und Bundesland oder Provinz

5. Klicken Sie auf Erstellen.

Erstellen Sie ein Zertifikat

1. Navigieren Sie zu Verkehrsmanagement > SSL > SSL-Dateien > Zertifikate > Zertifikat erstellen

   

2. Geben Sie dem Zertifikat einen Namen und wählen Sie die Zertifikatsanforderungsdatei (.req) und den in den vorherigen Schritten erstellten Schlüsseldateinamen (.key)

   

3. Klicken Sie auf Erstellen.

4. Sobald das Zertifikat erstellt wurde, laden Sie die .cert Datei für die spätere Verwendung herunter

   

SSL INTERCEPT-Richtlinie erstellen

1. Navigieren Sie zu Verkehrsmanagement > SSL > Richtlinien

2. Klicken Sie auf Hinzufügen.

   

3. Geben Sie der Richtlinie einen Namen und wählen Sie die INTERCEPT-Aktion

4. Ausdruck zum Abfangen von Nachrichten:

   client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

5. Klicken Sie auf Erstellen.

   

6. Um die Intercept-Richtlinie an den virtuellen Server zu binden, navigieren Sie zu Sicherheit > SSL Forward Proxy > Proxy Virtual Servers

   

7. Wählen Sie den virtuellen Server aus, in diesem Beispiel sslproxy01

8. Wählen Sie SSL-Richtlinien hinzufügen aus und klicken Sie auf Keine SSL-Richtlinienbindung

9. Binden Sie die Abfang-Richtlinie:

   

Erstellen einer SSL-BYPASS-Richtlinie

1. Navigieren Sie zu Verkehrsmanagement > SSL > Richtlinien

2. Klicken Sie auf Hinzufügen.

   

3. Geben Sie der Richtlinie einen Namen und wählen Sie die NOOP-Aktion aus - es gibt keine BYPASS-Option, siehe nächsten Schritt

4. Ausdruck zur Bypass der Richtlinie: CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

   

5. Navigieren Sie zu Sicherheit > SSL Forward Proxy > SSL Interception Policys

   

6. Wählen Sie die Richtlinie aus, um sie zu bearbeiten

7. Aktion von NOOP nach BYPASS ändern

8. Klicken Sie auf OK.

   

9. Vergewissern Sie sich, dass die Aktion jetzt BYPASS ist

10. Gehen Sie zurück zu Traffic management > SSL > Richtlinien, um die Änderung zu überprüfen

    

11. Um die Bypass-Richtlinie an den virtuellen Server zu binden, navigieren Sie zu Sicherheit > SSL Forward Proxy > Proxy Virtual Servers

    

12. Doppelklicken Sie in diesem Beispiel auf den virtuellen Server sslproxy01

13. Wählen Sie SSL-Richtlinien hinzufügen aus und klicken Sie auf SSL-Richtlinienbindung

14. Binden Sie die Umgehungsrichtlinie > Hinzufügen

    

15. Klicken Sie auf Binden

    

    Hinweis:

    Diese Richtlinie wird erstellt, um die ADC-Überwachung zu Bypass, damit der Datenverkehr in den sicheren Browser übergeht launch.cloud.com

Erstellen eines SSL-Profils

1. Navigieren Sie zu System > Profile > SSL-Profil > Hinzufügen

   

2. Erstellen Sie das Profil, indem Sie ihm einen Namen geben, in diesem Beispiel smesec_swg_sslprofile

   

3. Aktivieren Sie das Kontrollkästchen, um SSL Sessions Interception zu aktivieren, und klicken Sie dann auf OK

   

4. Klicken Sie auf OK um ein SSL-Profil zu erstellen

5. Muss das Cert-Schlüssel-Paar installieren

6. Stellen Sie sicher, dass Sie zuvor ein .pfx Format des Zertifikat-Schlüsselpaars haben. Im folgenden Schritt finden Sie Anleitungen zum Generieren einer .pfx Datei aus den .key Dateien .cert und, die Sie zuvor heruntergeladen haben.

Bereiten Sie Cert-Schlüssel-Paar

1. Installieren Sie zunächst das SSL-Tool

2. Den openssl Installationspfad zu den Systemumgebungsvariablen

   

3. Führen Sie in PowerShell den folgenden Befehl aus:

   openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

   

Binden eines SSL Interception CA-Zertifikats an das SSL-Profil

1. Navigieren Sie zu System > Profile > SSL-Profil

2. Wählen Sie das zuvor erstellte Profil aus

3. Klicken Sie auf + Zertifikatschlüssel

4. Klicken Sie auf Installieren.

5. Wählen Sie die zuvor vorbereitete PFX-Datei

6. Erstelle ein Kennwort (du brauchst es später)

7. Klicken Sie auf Installieren.

   

Binden Sie das SSL-Profil an den virtuellen Server

1. Navigieren Sie zu Sicherheit > SSL Forward Proxy > Proxy Virtual Servers

   

2. Wählen Sie den virtuellen Server aus, in diesem Beispiel sslproxy01

3. Klicken Sie hier, um das SSL-Profil zu

   

4. Wählen Sie in diesem Beispiel das zuvor in erstellte SSL-Profil smesec_swg_sslprofile

5. Fertig

Abschnitt 5: Einrichten von Rewrite-Richtlinien und -Aktionen

Eine Rewriterichtlinie besteht aus einer Regel und einer Aktion. Die Regel bestimmt den Datenverkehr, auf den das Rewrite angewendet wird, und die Aktion bestimmt die vom NetScaler ADC zu ergreifende Aktion. Die Umschreibungsrichtlinie ist erforderlich, damit die URL-Umleitung an Secure Browser basierend auf der im Browser eingegebenen Kategorie der URL, in diesem Beispiel “Nachrichten”, erfolgt.

Reference

Erstellen von Rewrite-Richtlinien und -Aktionen

1. Navigieren Sie zu AppExpert > Rewrite > Policy

2. Klicken Sie auf Hinzufügen.

   

3. Erstellen Sie die Richtlinie, indem Sie in diesem Beispiel cloud_pol nennen und den Ausdruck verwenden: HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

4. Klicken Sie auf Erstellen

   

5. Erstellen Sie die Aktion in PuTTY

6. Führen Sie den folgenden Befehl aus:

   add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com/<customername>/<appname>?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

   Hinweis:

   Ersetzen Sie im Befehl <customername> durch den Namen Ihres Citrix Cloud-Kundenkontos und <appname> ersetzen Sie ihn durch den Namen der veröffentlichten Secure Browser-App, für den die Richtlinie für URL-Parameter aktiviert ist. Unter Bezugnahme auf die veröffentlichte App, die Sie in Abschnitt 1 erstellt haben.

Richtlinie zum Umschreiben an virtuellen Server binden

1. Zurück zur ADC-Management-Konsole

2. Navigieren Sie zu AppExpert > Rewrite > Policy

3. Gehe zur Richtlinie cloud_pol und ändere die Aktion in cloud_act (die zuvor erstellte)

   

4. Um den Typ der Umschreibungsrichtlinie auszuwählen, navigieren Sie zu Sicherheit > SSL Forward Proxy > Proxy Virtual Servers

5. Wählen Sie “+ Richtlinien”

6. Richtlinie: Rewrite

7. Typ: Response

   

8. Wählen Sie die erstellte Richtlinie aus, in diesem Beispiel cloud_pol

9. Priorität: 10

10. Binden

    

11. Klicken Sie auf Fer

12. Konfiguration speichern

Zertifikatschlüssel an Profil binden

1. Navigieren Sie zu System > Profile > SSL-Profil

2. Wählen Sie das erstellte Profil, zum Beispiel smesec_swg_sslprofile

3. Doppelklicken Sie auf + Zertifikatschlüssel

   

4. Wählen Sie den Zertifikatschlüssel aus, zum Beispiel smesec_cert_overall

   

5. Klicken Sie auf Auswählen
6. Klicken Sie auf Binden
7. Klicken Sie auf Fertig
8. Konfiguration speichern

Importieren Sie die Zertifikatsdatei in den Browser

1. Laden Sie das Zertifikat in Firefox hoch (laut unserem Beispiel mit Websites der Nachrichtenkategorie)

2. Gehen Sie in diesem Beispiel zu Optionen in Ihrem bevorzugten Browser, Firefox

3. Suche “Zertifikate” > klicken Sie auf “Zertifikate anzeigen”

   

4. Klicken Sie im Fenster “Certificate Manager” auf “Importieren…”

   

5. Suchen Sie nach Ihrem Zertifikat und klicken Sie smesec_cert1.cert in diesem Beispiel auf “Öffnen”

   

6. Geben Sie das Kennwort ein, das Sie bei der Erstellung des Zertifikats

7. Ihre Zertifizierungsstelle muss ordnungsgemäß installiert sein

   

Demo

Nachrichtenwebsites aus dem lokalen Browser werden automatisch an Secure Browser umgeleitet. Sehen Sie die folgende Demo

Zusammenfassung

In diesem PoC-Handbuch haben Sie gelernt, wie Sie NetScaler ADC in Azure einrichten und SSL Forward Proxy und SSL Interception konfigurieren. Diese Integration ermöglicht die dynamische Bereitstellung von Ressourcen, indem das Surfen zum Remote Browser Isolation-Dienst umgeleitet wird. So schützt das Firmennetzwerk ohne Einbußen bei der Benutzererfahrung.