安全 Director 部署
本文重点介绍在部署和配置 Director 时可能会影响系统安全的几个方面。
可以配置具有受限 IIS 配置的 Director。
应用程序池回收限制
可以设置以下应用程序池回收限制:
- Virtual Memory Limit(虚拟内存限制):4294967295
- Private Memory Limit(专用内存限制):StoreFront 服务器的物理内存大小
- Request Limit(请求限制):4000000000
文件扩展名
可以不允许使用未列出的文件扩展名。
Director 要求在请求过滤中使用以下文件扩展名:
- .aspx
- .css
- .html
- .js
- .png
- .svc
- .gif
- .json
- .woff
- .woff2
- .ttf
Director 要求在请求过滤中使用以下 HTTP 谓词。可以不允许使用未列出的谓词。
Director 不需要以下各项:
- ISAPI 过滤器
- ISAPI 扩展
- CGI 程序
- FastCGI 程序
重要:
- Director 要求完全信任。请勿将全局 .NET 信任级别设置为“高”或更低。
- Director 维护独立的应用程序池。要修改 Director 的设置,请选择 Director 站点并进行修改。
配置用户权限
安装 Director 后,将向其应用程序池授予以下权限:
-
作为服务登录登录权限
-
为进程调整内存配额、生成安全审核和替换一个进程级令牌权限
所提到的权限和特权是创建应用程序池时的正常安装行为。
您不需要更改这些用户权限。这些权限不会被 Director 使用,并且自动禁用。
Director 通信
在生产环境中,请使用 Internet 协议安全性 (IPsec) 或 HTTPS 协议来确保在 Director 与您的服务器之间传输的数据的安全。
IPsec 是 Internet 协议的一组标准扩展,可提供经过身份验证和加密的通信,并且可以实现数据完整性和重播保护功能。由于 IPsec 是一个网络层协议集,因此无需任何修改即可将其用于更高级别的协议。HTTPS 使用传输层安全性 (TLS) 协议提供强大的数据加密。
注意:
- Citrix 强烈建议您限制对内联网网络中的 Director 控制台的访问。
- Citrix 强烈建议您不要在生产环境中启用指向 Director 的不安全连接。
- 来自 Director 的安全连接需要为每个连接单独配置。
- 不建议使用 SSL 协议。请改为使用更安全的 TLS 协议。
- 使用 TLS(而非 IPsec)保护与 Citrix ADC 的通信安全。
要保护 Director 与 Citrix Virtual Apps and Desktops 服务器之间的通信安全(以实现监视和报告功能),请参阅 Data Access Security(数据访问安全性)。
要保护 Director 与 Citrix ADC 之间的通信安全(针对 Citrix Insight),请参阅配置网络分析。
要保护 Director 与许可证服务器之间的通信安全,请参阅保护许可证管理控制台。
Director 安全隔离
可以在与 Director 相同的 Web 域(域名和端口)中部署任何 Web 应用程序。但是,这些 Web 应用程序中的任何安全风险都可能会降低 Director 部署的安全性。如果环境中需要更大程度的安全隔离,Citrix 建议您在单独的 Web 域中部署 Director。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.