PoC 指南:在 Azure 中使用 Secure Browser 和 Citrix ADC进行 URL 重定向

概述

以下是使用最新的 Citrix ADC 市场模板设置 ADC、配置 SSL 转发代理和 SSL 拦截的配置步骤。ADC 的 URL 重定向到 Secure Browser 功能使管理员能够定义要从本地浏览器自动重定向到 Secure Browser 的特定网站类别。Citrix ADC 充当中间代理,在本地浏览和互联网之间进行拦截,从而实现 Web 隔离并保护企业网络。此功能在不影响用户体验的情况下提高了

概念体系结构

URL 重定向到远程浏览器隔离服务架构

Scope(范围)

本概念验证指南描述了以下内容:

  1. 获取 Secure Browser 试用帐户
  2. 在 Azure 中设置 ADC
  3. 将 Citrix ADC 设备设置为代理
  4. 设置 SSL 拦截
  5. 设置重写策略和操作

部署步骤

第 1 节:获取 Secure Browser 试用帐户

[远程浏览器隔离服务的参考文档] /en-us/citrix-remote-browser-隔离)

申请 Secure Browser 试用

  1. 导航到 Citrix Cloud 帐户并输入用户名和密码

  2. 单击登录。如果您的帐户管理多个客户,请选择合适的客户

    登录 Citrix Cloud

  3. 双击 Secure Browser 磁贴。

    Secure Browser 磁贴

  4. 如果您知道自己的客户团队是谁,请联系他们以获得试用批准。如果您不确定客户团队是谁,请继续下一步。

  5. 点击 申请电话

    Request a Call(请求通话)

  6. 输入您的详细信息,然后在“评论”部分中指定“远程浏览器隔离服务试用版”。

  7. 单击 Submit(提交)。

    Request a Call form(申请通话表单)

    注意:

    Citrix 销售人员将与您联系以允许您访问该服务。这不是立即的,Citrix 销售代表将联系

  8. Secure Browser 试用版获得批准后,请参阅 Citrix 文档的“发布 Secure Browser”部分以发布 Secure Browser 应用程序。

启用 URL 参数

  1. 在 Citrix Cloud 订阅中,双击 Secure Browser 磁贴

  2. 在本示例中称为“浏览器”的已发布浏览器上,单击三个点并选择 策略

    已发布的浏览器应用程序

  3. 在已发布的浏览器上启用 URL 参数策略

    URL 参数策略启用

第 2 部分:在 Azure 中设置 ADC

ADC 可以在任何选择的云中进行设置。在此示例中,Azure 是我们的首选云。

配置 ADC 实例

  1. 导航到 所有资源 ,然后单击 + 添加 按钮,搜索 Citrix ADC

  2. 选择 Citrix ADC 模板

  3. 根据您的要求选择软件计划(在本例中自备许可证)

  4. 单击创建

    在 Azure 中设置 ADC

配置 NIC 卡

  1. 导航到 所有资源 ,然后为 ADC 实例选择 NIC 卡

  2. 选择 IP 配置,记下 ADC 管理地址

  3. 启用 IP 转发设置,保存更改。

    为 ADC 配置 NIC

配置虚拟 IP

  1. 单击 添加,设置 virtualip 为新配置的名称

  2. 选择 静态 并在管理地址后添加新的 IP 地址

  3. 启用公共地址选项并创建新的公有 IP 地址

  4. 保存更改

    配置虚拟 IP

在客户端上设置 FQDN

  1. 导航到为 virtualip 配置创建的公有 IP 地址资源

  2. 单击 配置,然后添加 DNS 标签(在本例中为 urlredirection.eastus.cloudapp.azure.com

    设置 FQDN

设置网络规则

  1. 添加以下网络规则

    网络连接规则

    注意:

    配置完成后,您可以选择关闭端口 22 和 443,因为这些端口仅用于登录管理控制台以进行配置。

  2. 此时 Azure 中的 ADC 实例已设置

第 3 节:将 Citrix ADC 设备设置为代理

将 ADC 设置为代理,将流量从客户端浏览器路由到 Internet。

登录 ADC 管理控制台

  1. 通过在浏览器的搜索栏中输入实例的公有 IP 地址,导航到 Citrix ADC 管理控制台

    注意:

    使用您在前面的步骤(此示例中为 https://40.88.150.164/)中置备的计算机的 IP 地址

  2. 通过输入您在前面步骤中设置的用户名和密码登录控制台

    登录到管理控制台

  3. 在初始配置屏幕中,单击 继续

上载许可证

  1. 导航到 系统 > 许可证 > 管理许可证

  2. 上载 ADC 所需的许可证。

    注意:

    您带来的许可证必须支持在配置基本功能和配置高级功能下的步骤 11 和 13 中突出显示的功能(例如 CNS_V3000_server_plt_Retail.lic 和 CNS_Webf_sserver_Retail.lic)

    管理许可证

  3. 上载两个许可证后重新启动 服务器。

  4. 重新启动后,再次登录管理层

  5. 导航到 系统 > 设置 > 配置模式

  6. 只有两个选项必须启用 基于 Mac 的转 发和 路径 MTU 发现

    配置模式

    配置模式

  7. 导航到 系统 > 设置 > 配置基本功能

    配置基本功能

  8. 选择:SSL OffloadingLoad BalancingRewriteAuthentication, Authorization, and AuditingContent SwitchingIntegrated Caching

    配置基本功能

  9. 导航到 系统 > 设置 > 配置高级功能

    配置高级功能

  10. 选择:Cache RedirectionIPv6 Protocol TranslationAppFlowReputationForward ProxyContent InspectionResponderURL FilteringSSL Interception

    配置高级功能

设置 NTP 服务器

  1. 导航到 系统 > NTP 服务器 > 添加

    设置 NTP 服务器

  2. 例如,创建服务器 pool.ntp.org

    设置 NTP 服务器

  3. 出现提示时启用 NTP 并将服务器设置为启用

    设置 NTP 服务

  4. 从管理门户保存配置保存操作

    保存配置

  5. 打开 SSH 会话到 ADC 管理地址,使用从 Azure 预配 ADC 时使用的凭据登录

设置 TCP 配置文件和虚拟服务器

  1. 从第 2 节中的步骤中获取 virtualip,然后在命令中输入(在本例中为 10.1.0.5)

  2. 例如,使用 sslproxy 地址运行以下命令 virtualip

  3. 要添加 TCP 配置文件:

    add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE
    <!--NeedCopy-->
    
  4. 添加虚拟服务器

    add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE
    
    bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver
    
    add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2
    
    set cs vserver sslproxy01 -netProfile proxy-netprofile01
    
    set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend
    
    save ns config
    <!--NeedCopy-->
    
  5. 要更改 缓存设置 ,请返回浏览器上的管理会话

  6. 导航到 优化 > 集成缓存

  7. 导航到 设置 > 更改缓存设置

    Change Cache settings(更改缓存设置)

  8. 内存使用限制 设置为 250 MB,然后单击确定

    Memory usage limit(内存使用限制)

为 URL 重定向设置客户端

  1. 例如在客户端上,例如 Firefox

  2. 将浏览器代理配置为您在第 2 部分中配置的 virtualip、公用 IP 或 FQDN: 8080(例如,urlredirection.eastus.cloudapp.azure.com:8080

    Configure Browser proxy(配置浏览器代理)

  3. 现在我们已经设置了 ADC,请在使用 ADC 充当代理的情况下测试浏览器中的任何网站连接性。

第 4 节:设置 SSL 拦截

SSL 拦截使用的策略指定要拦截、阻止或允许哪些流量。Citrix 建议您配置一个通用策略以拦截流量,并配置更具体的策略以绕过某些流量。

参考:

SSL 拦截

URL 类别

配置视频示例

创建 RSA 密钥

  1. 导航到 流量管理 > SSL > SSL 文件 > 密钥

  2. 选择 创建 RSA 密钥

    创建 RSA 密钥

  3. 选择密钥文件名和所需的密钥大小

    创建 RSA 密钥

  4. 创建密钥后,下载 .key 文件供以后使用

    创建 RSA 密钥

创建证书签名请求 (CSR)

  1. 导航到 流量管理 > SSL > SSL 文件 > CSR > 创建证书签名请求 (CSR)

    CSR

  2. 例如,为请求文件命名,例如 semesec_req1.req

    CSR 创建

  3. 单击 密钥文件名 > Appliace 密钥文件名是在上一步中创建的名称,在此示例中为 smesec_key1.key

    CSR 创建

  4. 选择密钥后,继续填写所需的空白:公用名称、组织名称和州或省

  5. 单击“创建”

创建证书

  1. 导航到 流量管理 > SSL > SSL 文件 > 证书 > 创建证书

    创建证书

  2. 为证书指定一个名称,然后选择在前面步骤中创建的证书请求文件 (.req) 和密钥文件名 (.key)

    创建证书

  3. 单击“创建”

  4. 创建证书后,下载 .cert 文件供以后使用

    创建证书

创建 SSL 拦截策略

  1. 导航到 流量管理 > SSL > 策略

  2. 单击 Add(添加)

    创建 SSL 策略

  3. 为策略指定名称,然后选择 INTERCEPT 操作

  4. 截取新闻的表达方式:

    client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

  5. 单击“创建”

    创建 SSL 拦截

  6. 要将拦截策略绑定到虚拟服务器,请导航到 安全 > SSL 转发代理 > 代理虚拟服务器

    SSL 代理 01

  7. 在此示例中选择虚拟服务器 sslproxy01

  8. 选择添加 SSL 策略,然后单击无 SSL 策略绑定

  9. 绑定拦截策略:

    绑定拦截策略

创建 SSL 绕过策略

  1. 导航到 流量管理 > SSL > 策略

  2. 单击 Add(添加)

    创建 SSL 策略

  3. 为策略指定名称并选择 NOOP 操作-没有旁路选项,请参阅下一步

  4. 绕过策略的表达式: CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

    Create bypass policy

  5. 导航到 安全 > SSL 转发代理 > SSL 拦截策略

    SSL 绕过策略

  6. 选择策略进行编辑

  7. 将操作从 NOOP 更改为旁路

  8. 单击 OK(确定)

    SSL 绕过策略

  9. 仔细检查该操作现在是否已绕过

  10. 返回 流量管理 > SSL > 策略 以仔细检查更改

    “Bypass”(绕过)策略

  11. 要将绕过策略绑定到虚拟服务器,请导航到 安全 > SSL 转发代理 > 代理虚拟服务器

    SSL 代理 01

  12. 在此示例中双击虚拟服务器 sslproxy01

  13. 选择 添加 SSL 策 略,然后单击 SSL 策略绑定

  14. 绑定绕过策略 > 添加

    步骤 5.7

  15. 单击“Bind”(绑定)

    步骤 5.8

    注意:

    创建此策略是为了绕过 ADC 拦截进入 Secure Browser launch.cloud.com 的流量

创建 SSL 配置文件

  1. 导航到 系统 > 配置文件 > SSL 配置文件 > 添加

    步骤 6.1

  2. 通过为配置文件命名来创建配置文件,在此示例中为 smesec_swg_sslprofile

    SSL profile name(SSL 配置文件名称)

  3. 选中该框以启用 SSL 会话拦截,然后单击确定

    步骤 6.3

  4. 单击确定创建 SSL 配置文件

  5. 必须安装证书密钥对

  6. 请确保您之前有证书密钥对的 .pfx 格式。有关如何从您之前下载的 .cert.key 文件生成 .pfx 文件的指导,请参阅以下步骤。

准备证书密钥对

  1. 首先 安装 SSL 工具

  2. openssl 安装路径添加到系统环境变量

    SSL 安装路径

  3. 在 PowerShell 中,运行以下命令:

    openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

    PowerShell 屏幕截图

将 SSL 拦截 CA 证书绑定到 SSL 配置文件

  1. 导航到 系统 > 配置文件 > SSL 配置文件

  2. 选择之前创建的配置文件

  3. 点击 + 证书密钥

  4. 单击“Install”(安装)

  5. 选择之前准备的 .pfx 文件

  6. 创建密码(稍后您需要密码)

  7. 单击“Install”(安装)

    步骤 8

将 SSL 配置文件绑定到虚拟服务器

  1. 导航到 安全 > SSL 转发代理 > 代理虚拟服务器

    SSL 代理 01

  2. 在此示例中选择虚拟服务器 sslproxy01

  3. 点击编辑 SSL 配置文件

    编辑 SSL 配置文件

  4. 在此示例中,选择之前创建的 SSL 配置文件 smesec_swg_sslprofile

  5. 完成

第 5 部分:设置重写策略和操作

重写策略由规则和操作组成。规则确定应用重写的流量,操作确定 Citrix ADC 要执行的操作。重写策略对于基于在浏览器中输入的 URL 类别发生到 Secure Browser 进行 URL 重定向是必要的,在此示例中为“新闻”。

Reference

创建重写策略和操作

  1. 导航到 AppExpert > 重写 > 策略

  2. 单击 Add(添加)

    创建重写策略

  3. 通过命名策略来创建策略,在此示例中为 cloud_pol 并使用表达式: HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

  4. 单击“创建”

    创建重写策略

  5. 在 PuTTy 中创建操作

  6. 请运行以下命令:

    add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com/<customername>/<appname>?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

    注意:

    在命令中,<customername> 替换为 Citrix Cloud 客户帐户名称,然后 <appname> 替换为已启用 URL 参数策略的 Secure Browser 已发布的应用程序名称。参考您在第 1 节中创建的已发布应用程序。

将重写策略绑定到虚拟服务器

  1. 返回 ADC 管理控制台

  2. 导航到 AppExpert > 重写 > 策略

  3. 转到策略 cloud_pol 并将操作更改为 cloud_act(之前创建的操作)

    cloud_act 操作

  4. 要选择重写策略的类型,请导航到 安全 > SSL 转发代理 > 代理虚拟服务器

  5. 选择“+ 政策”

  6. 策略:重写

  7. 类型:响应

    步骤 11.2

  8. 选择创建的策略,在此示例中为cloud_pol

  9. 优先级:10

  10. 绑定

    步骤 11.3

  11. 单击“完成”

  12. 保存配置

绑定证书密钥到配置文件

  1. 导航到 系统 > 配置文件 > SSL 配置文件

  2. 例如,选择创建的配置文件 smesec_swg_sslprofile

  3. 双击 + 证书密钥

    步骤 12.2

  4. 选择证书密钥,例如 smesec_cert_overall

    步骤 12.3

  5. 单击“Select”(选择)
  6. 单击“Bind”(绑定)
  7. 单击“完成”
  8. 保存配置

将证书文件导入浏览器

  1. 将证书上载到 Firefox(根据我们的新闻类别网站的示例)

  2. 转到您 择的浏览器中的选项,在这个例子中,Firefox

  3. 搜索“证书”> 点击“查看证书”

    步骤 13.1

  4. 在证书管理器窗口中单击“导入…”

    步骤 13.2

  5. 浏览您的证书,然后单击打开,在此示例中为 smesec_cert1.cert

    步骤 13.3

  6. 输入您在制作证书时创建的密码

  7. 必须正确安装证书颁发机构

    步骤 13.4

演示

来自本地浏览器的新闻网站会自动重定向到 Secure Browser。观看以下 演示

总结

在本 PoC 指南中,您学习了如何在 Azure 中设置 Citrix ADC 以及如何配置 SSL 转发代理和 SSL 拦截。此集成允许通过将浏览重定向到远程浏览器隔离服务来动态交付资源。因此,在不牺牲用户体验的情况下,保护公司网络。

PoC 指南:在 Azure 中使用 Secure Browser 和 Citrix ADC进行 URL 重定向