来自 数据 2021-12-15 22:09 的文章

ddos防御_cdn防护有用吗_限时优惠

ddos防御_cdn防护有用吗_限时优惠

为了应对COVID-19的流行和突然转向远程工作,Citrix的客户正以前所未有的速度迅速部署对大量用户的访问。为了简化这些部署,许多人将citrixworkspace应用程序用于HTML5作为他们的Citrix客户端。在web浏览器中使用HTML5客户端,IT管理员可以使用一个全包解决方案,ddos防御什么意思,无需安装客户端就可以访问Citrix虚拟应用程序和桌面。在Citrix Consulting中,我们通常建议将本机Citrix Workspace客户端标准化,以提供最佳用户体验,并启用USB和文件重定向等功能。但是,在某些情况下,使用完整的Citrix工作区客户端对于使用Citrix解决方案的最终用户来说是不可能或不必要的。在这些情况下,用于HTML5的Citrix工作区应用程序是一个不错的选择。从安全和文档的角度来看,理解支持任何解决方案所需的体系结构是很重要的。在网络拓扑和Citrix策略方面,您不应该有任何不需要配置这样一个开放网络端口的多余配置。在这篇博客文章中,我将详细介绍启用Citrix Workspace app for HTML5连接到应用程序和桌面所需的端口和策略。我还将介绍一些常见的部署体系结构,并提供所需配置的概述。通过Citrix网关进行外部访问在检查客户部署时,我发现一个配置为允许Citrix Workspace应用程序用于HTML5连接的常见Citrix策略是"WebSockets连接"。这通常伴随着防火墙上的端口8008打开,该端口进入虚拟交付代理(VDA)。一个常见的误解是,在通过Citrix网关启用HTML5连接时,必须同时启用Citrix策略并打开端口8008。那么,为什么不需要WebSocket策略,那么使用的是哪个端口呢?用于HTML5的citrixworkspace应用程序使用了大多数现代浏览器中内置的WebSocket技术。每当启动WebSocket连接时,它都会尝试使用连接方法(unsecure vs.secure)建立到资源(VDA)的连接,cdn高防ip,该方法是通过托管WebSocket中创建的HTML5代码的网站(Citrix StoreFront)建立的。因此,例如,如果您与安全的StoreFront负载平衡vServer(TLS)建立连接,并使用Citrix Workspace app for HTML5连接到桌面或应用程序,则需要使用TLS与VDA进行安全通信。默认情况下,情况并非如此,因此与VDA的连接将失败。我们将在稍后的博客中讨论如何克服这个问题。但是,在通过Citrix网关进行外部访问的情况下,浏览器仅与网关进行通信,而不是直接与VDA通信以建立WebSocket连接。这意味着与VDA的连接不必使用TLS进行保护。需要注意的一点是,只需要启用Citrix WebSocket策略,就可以允许不安全的WebSocket连接。例如,客户机从不安全的店面网站(通过HTTP访问)为HTML5连接建立Citrix工作区应用程序。通常,我们从不建议不安全的连接到店面服务器;但是您可能在测试环境中有一个。下图详细说明了通过Citrix网关初始化HTML5会话的工作区应用程序时的通信流。要回顾通过Citrix网关支持HTML5连接所需的配置:不应启用Citrix WebSocket策略。只有从不安全的店面网站连接时,才应启用"WebSockets Connections"Citrix策略。通过Citrix网关的连接不需要端口8008。当通过Citrix网关连接时,Citrix Workspace app for HTML5连接仍然使用后端网络上从ADC到VDA的端口2598或1494。因为Citrix ADC充当反向代理,所以建立到网关的WebSocket连接,然后使用ADC的子网IP(SNIP)地址与默认HDX端口2598/1494上的VDA通信。通过店面的内部通道当不通过Citrix网关直接与VDA建立HTML5连接时,高防御ddos,事情会变得更加复杂。正如我前面提到的,当建立HTML5会话的底层网站也使用TLS时,所有现代浏览器都需要WebSocket连接来使用TLS。详见RFC 6455(第4.1.5节)。正如浏览器中的网站使用和https://分别引用不安全和安全的网站一样,WebSocket也使用ws://和wss//。在浏览器(如Chrome)中使用开发人员工具时,可以看到浏览器直接连接到VDA来建立WebSocket连接。以下是到VDA的WebSocket连接示例:不安全的WebSocket:ws://windows10-desktop1。域名:8008. Citrix策略默认值使用端口8008作为连接的默认值。实际的默认WebSocket端口是80,但Citrix策略选择使用不同的端口。只要在终端用户和VDA之间的防火墙上打开端口,这都无关紧要。安全WebSocket。wss://windows10-desktop1.domain.com。它使用443作为默认端口,不必指定。如果配置了TLS证书的Citrix网关或VDA正在侦听443以外的端口,ddos攻击防御工具,则会自动将其插入地址。因此,当通过安全的店面网站建立内部连接时,允许HTML5访问VDA有两个选项:将证书绑定到VDA Allow ICA over TLS。此过程涉及修改VDA上的ICA侦听器服务以使用TLS证书。您可以在这里阅读有关此过程的更多信息:"使用PowerShell脚本在VDA上配置TLS"。在大多数情况下,它涉及到配置证书自动注册,以允许池计算机动态获取证书。使用HDX最优路由来强制通过TLS连接WebSockets。如果在每个VDA上配置证书听起来不适合您,那么另一种选择是仅将Citrix网关用于HDX路由。使用HDX最优路由(正式称为最优网关路由)提供了在安全TLS连接上强制WebSocket连接的能力。因为浏览器现在被迫利用安全的Citrix网关vServer来建立WebSocket连接,HTML5到VDA的连接现在可以工作了。Citrix工作区服务怎么样?对于使用Citrix工作区服务来枚举其应用程序和桌面的Citrix云客户,StoreFront的所有相同项目都适用。因为只能通过TLS安全地访问工作区,所以您会遇到在StoreFront上发现的所有相同问题。扼要重述可能需要额外的配置:利用Citrix Workspace app for HTML5是一个很好的解决方案,可以为网络内外的用户提供访问。根据访问方法的不同,由于TLS安全要求,您可能需要安排额外的配置以允许通过HTML5进行访问。根据您的用例,请确保在您的环境文档中只配置和引用所需的Citrix策略和网络端口。只有不安全的店面站点需要Citrix策略:"WebSocket连接"Citrix策略仅在通过HTTP通过不安全的店面部署访问资源时才需要启用。因为您应该始终通过HTTPS或通过Citrix网关连接来安全地访问StoreFront,所以在大多数情况下不应配置此设置。为HTML5绑定证书或使用HDX优化路由内部店面工作区:为了允许HTML5工作区应用程序在不通过Citrix网关访问资源时连接到VDA,您有两个选项。这里的最佳解决方案取决于你的喜好。我见过大多数客户选择配置最佳网关路由,以便在StoreFront进行身份验证时允许HTML5连接。这还提供了其他好处,例如可以使用其他Citrix网关功能,哪家服务器防御cc好,如HDX Insight。常见问题解答启蒙数据传输(EDT)在HTML5中工作吗?HTML5不支持EDT,原因很简单:WebSocket技术是基于TCP构建的。无论您在Citrix策略中为"自适应传输"配置了什么设置(即使您将其置于诊断模式),都将通过TCP建立连接。如果不在VDA上配置TLS证书或使用HDX最优路由,会发生什么情况?如果您不使用这些方法访问VDA,并且您没有通过Citrix网关进行连接,则用户在建立HTML5会话时将看到一个错误:"Citrix Workspace app无法在此web浏览器中创建安全连接。"Citrix技术字节–由Citrix专家创建,专为Citrix技术专家打造!向充满激情的Citrix专家学习,获得对最新Citrix技术的技术见解。点击这里获取更多的技术字节和订阅。想要特定的技术字节吗?让我们知道!tech-content-feedback@citrix.com。