来自 安全 2021-12-16 01:04 的文章

游戏盾_云盾是什么_快速解决

游戏盾_云盾是什么_快速解决

当我们习惯于在家工作时,许多向员工和承包商发放设备的组织需要考虑的一个问题是这些设备将如何签入Microsoft密钥管理服务(KMS)服务器。许多组织已经宣布远程工作将延长到秋季或年底。对于使用KMS服务器激活Windows OS或Office的组织,京东云ddos防御,终结点需要每180天签入一次。3月份开始远程工作的组织可以预计在9月份左右登记。您可以使用现有的Citrix ADC创建一个sslvpn网关,该网关只允许访问KMS服务器进行激活,而不需要要求员工进入办公室将其设备连接到内部网络或进行VPN解决方案。在这个博客中,我将向您展示如何将Citrix网关VPN服务添加到现有的ADC部署中,以激活客户端设备KMS。在开始之前,您需要:面向外部的IP地址VPN网关的DNS条目VPN的SSL网关证书VPN用户的广告组从ADC SNIP到KMS服务器端口TCP 1688的防火墙规则打开推出Citrix网关插件的部署工具配置SSL VPN网关AAA集团首先,我们将创建一个AAA组,该组定义VPN用户,并使用会话和授权策略限制对KMS服务器的访问。创建AAA组时,请为其指定一个与VPN用户的Active Directory中的组名匹配的名称。您可以在Citrix Gateway>User Administration下找到AAA组。创建AAA组后,ddos防御产品,添加会话策略和授权策略并将它们绑定到AAA组。会话策略/配置文件会话策略将定义用户连接的设置。在AAA组中,单击Policies选项卡,然后单击+号以创建新的会话策略和配置文件。通过单击profile*下的Add,首先创建概要文件。使用以下设置配置配置文件:网络配置此设置允许管理员强制关闭SSL VPN连接,并且用户必须再次登录。因为我们在建立连接后运行一个脚本来激活KMS,所以VPN连接可以在设定的时间后强制结束。客户体验在"高级设置"下,应选中"Show VPN Plug-in icon with Receiver"选项,以防止Citrix Workspace app/Receiver图标与Citrix网关插件图标组合。当插件图标组合到Citrix Workspace app/Receiver中时,用户将更难注销VPN。安全当默认授权操作设置为拒绝时,对所有网络资源的访问将受到限制。需要创建授权策略来定义用户可以访问的网络资源。在下一节中,我们将创建一个只允许访问KMS服务器的授权策略。已发布的应用程序会话配置文件完成后,在会话策略配置中选择新创建的配置文件。默认情况下,创建AAA组时使用的Active Directory组将应用此策略。如果您的VPN组中的用户可以访问多个网关,例如ICA代理网关,那么您需要将此AAA组限制为仅限于VPN网关。要限制AAA组对SSL VPN网关的访问,请使用请求IP.Destinp==命令并使用SSL VPN网关的IP地址。否则,可以使用true或ns\u true,高防cdn代理,具体取决于您使用的是默认语法还是经典语法。授权策略接下来,创建一个授权策略以添加到AAA组。单击AAA组页面上的"授权策略"选项卡。因为我们在会话概要文件中将默认授权操作设置为DENY,个人如何防御ddos攻击,所以我们必须指定允许的内容。在下面的示例中,我只允许端口1688,这是KMS通过使用表达式激活的端口客户端.TCP.dsport.EQ(1688)。您可以通过将其限制为端口和子网或端口和目标IP地址来进一步限制它。将授权策略绑定到AAA组。完成后,AAA组应绑定两个策略。SSL VPN网关现在,我们准备创建sslvpn网关。使用面向外部的IP地址创建网关。您可以在Citrix Gateway>virtual Servers下创建虚拟服务器。创建网关时,请确保未选中"仅ICA"。将服务器SSL证书绑定到网关。对于身份验证,基本身份验证或高级身份验证都是有效选项。用于配置ICA代理网关的相同身份验证选项也适用于sslvpn网关,如LDAP、RADIUS、SAML和smartcard;adc12.1build 49及更高版本的Citrix网关插件支持nFactor。因为授权和会话策略已经通过AAA组应用,所以不需要再次将它们添加到网关虚拟服务器。最后,如果要更改ADC将用于与KMS服务器通信的SNIP,则需要向网关添加一个网络配置文件。在网关虚拟服务器的Profiles部分,您将看到一个添加新网络配置文件的选项。在"IP地址"下的下拉列表中,选择要使用的SNIP的IP地址。在"源端口范围"下添加端口1688。sslvpn虚拟服务器的配置现在已完成。其他注意事项端点分析扫描或者,您可以使用Citrix ADC的端点分析(EPA)扫描功能来增强安全性,以确保设备在提供VPN网关进行身份验证之前通过某些要求。通过这种方式,组织可以使用预认证策略来限制对企业发行或政府提供设备(GFE)设备的访问。EPA扫描要求的示例包括域检查、安装的防病毒软件、数字和非数字注册表项以及Windows update。预身份验证策略可以配置为在允许用户继续之前扫描这些项目中的多个。未通过EPA扫描的用户可以被放在隔离组中,管理员可以使用该组显示一个网页,解释用户的设备不符合要求的原因。插件部署部署Citrix网关插件有几个选项。用户可以直接从VPN网关下载插件。但是,这需要用户对设备具有管理权限。另一个选择是通过第三方部署软件工具进行部署。如果您使用的是EPA扫描,则可能需要安装EPA插件。注意,在12.1build55.18adc测试中,EPA扫描只在安装了Citrix网关插件的情况下工作。连通性最后,确保您的sslvpn网关已打开防火墙并连接到KMS服务器。默认情况下,VPN网关将使用ADC SNIP与KMS服务器通信。正如sslvpngateway一节中所提到的,您可以使用netprofiles来更改KMS激活通信流不包含的SNIP。您还可以分配静态Intranet IP地址,并允许该子网连接到内部资源。自定义对于登录后干净的主页,ddos防御云服务器,编辑门户主题并取消选中以下三个选项:要进一步自定义主页,请编辑/netscaler/portal/templates中的homepage2.html。请注意,如果使用此方法,则每次ADC重新启动/升级后都可能需要替换页面,或者可以使用rc.netscaler公司另一个选择是使用响应程序策略,这样当VPN连接建立并且homepage2.html被加载时,它将加载响应程序html页面通过使用表达式创建绑定到网关虚拟服务器的响应程序策略来实现这一点HTTP.REQ.URL.CONTAINS("homepage2.html")并使用操作respondwithhtmlpage使用自定义html页的代码。下面我有一个简单主页的例子,用户可以很容易地单击"激活Windows"来运行KMS激活脚本,然后在完成后单击"注销"以注销VPN。确保将脚本部署到HTML按钮链接指向的位置。下载示例HTML页面。结论简而言之,这个sslvpn网关允许内部网络外部的客户机设备通过内部KMS服务器激活。配置EPA扫描后,通过EPA扫描的客户端设备将显示VPN网关登录页面。一旦经过身份验证,只有KMS端口才能通过sslvpn网关进入。用户连接后,可以运行脚本强制KMS签入。虽然本博客是针对KMS激活而设计的,但如果您的组织希望设置VPN网关并限制对任何其他需要签入的服务、协议或安全工具的访问(如RDP、FTP、SSH、antivirus、DLP),则可以应用相同的逻辑。Citrix技术字节–由Citrix专家创建,专为Citrix技术专家打造!向充满激情的Citrix专家学习,获得对最新Citrix技术的技术见解。点击这里获取更多的技术字节和订阅。想要特定的技术字节吗?让我们知道!tech-content-feedback@citrix.com。