未经批准的网站
未在 Secure Private Access 中配置的应用程序(Intranet 或 Internet)被视为“未经批准的网站”。 默认情况下,如果没有为这些应用程序配置应用程序和访问策略,Secure Private Access 将拒绝对所有 Intranet Web 应用程序的访问。
对于未配置应用程序的所有其他 Internet URL 或 SaaS 应用程序,管理员可以使用 设置 > 未经批准的网站 选项卡以允许或拒绝通过 Citrix Enterprise Browser 进行访问。 管理员还可以将访问重定向到远程浏览器隔离 (RBI) 环境,以防止基于浏览器的攻击。 如果管理员已配置将 URL 重定向到 RBI,则会执行以下操作。
- Secure Private Access 会转换域。
- 然后,Citrix Enterprise Browser 将这些 URL 发送回 Secure Private Access。
- Secure Private Access 将这些 URL 重定向到 Remote Browser Isolation 服务。
您可以使用通配符,例如 *.example.com
来控制对该网站中所有域以及该域中所有页面的访问。
注意:
默认情况下,设置配置为允许通过 Citrix Enterprise Browser 访问所有 Internet URL 或 SaaS 应用程序。
未经批准的网站如何运作
- 进行 URL 分析检查以确定 URL 是否为 Citrix 服务 URL。
- 然后检查 URL 以确定它是企业 Web 还是 SaaS 应用程序 URL。
- 然后检查 URL 以确定它是否被识别为被阻止的 URL,或者是否必须将其重定向到安全的浏览器会话,或者是否可以允许访问该 URL。
下图说明了最终用户流量。
当请求到达时,将执行以下检查,并采取相应的操作:
-
请求是否与全局 allow 名单匹配?
-
如果匹配,则用户可以访问请求的网站。
-
如果不匹配,则检查网站列表。
-
-
请求是否与配置的网站列表匹配?
-
如果匹配,则以下序列确定操作。
-
阻止
-
重定向
-
允许
-
-
如果不匹配,则应用默认操作 (ALLOW)。 无法更改默认操作。
-
为未经批准的网站配置规则
-
在 Secure Private Access 控制台中,单击 设置 > 未经批准的网站.
注意:
- 默认情况下,Web 筛选功能处于启用状态,并允许访问所有未经批准的 Internet URL。
- 您可以将设置更改为 阻止所有用户访问未经批准的网站 阻止所有用户通过 Citrix Enterprise Browser 访问任何 Internet URL。
![配置规则](/en-us/citrix-secure-private-access/media/spa-enable-website-list-filtering.png)
您还可以通过将特定 URL 添加到阻止的网站、允许的网站或重定向到 Remote Browser Isolation 列表来更改特定 URL 的设置。
例如,如果您默认阻止了对所有未批准的 URL 的访问,并且只想允许访问少数特定的 Internet URL,则可以通过执行以下步骤来实现此目的:
1. 单击 **允许的网站** 选项卡,然后单击 **允许网站**.
1. 添加必须允许访问的网站地址。 您可以手动添加网站地址,也可以拖放包含网站地址的 CSV 文件。
1. 点击 **添加 URL** ,然后单击 **救**.
该 URL 将添加到允许的网站列表中。
注意:
默认情况下,付费的 Remote Browser Isolation Standard 服务客户(组织)每年可使用 5000 小时。 如需更长的时间,他们必须购买安全浏览器附加组件包。 您可以跟踪 Remote Browser Isolation 服务的使用情况。 有关详细信息,请参阅以下主题:
注意事项
如果用户无权访问 SaaS 应用程序,则无法从 Citrix Enterprise Browser 启动应用程序。 但是,他们可能仍然能够通过在 Citrix Enterprise Browser 中直接键入 URL 来访问应用程序。
- 如果策略拒绝对应用程序的访问,则应用程序 URL 将添加到阻止列表中,并且 Web 过滤 功能已启用。 这可确保阻止任何访问应用程序的尝试,无论是通过 Citrix Enterprise Browser 还是直接通过 URL。
- 对于未发布的应用程序,即使配置了路由,也会被拒绝访问这些应用程序。 如果未使用 Web 过滤 功能,从而阻止任何访问尝试。