實現Citrix XenApp安全連接

引言：Citrix提供的XenAPP提供了快速應用啟動和無縫的多媒體體驗等功能，可以為用戶提供更好的按需應用交付體驗。在網絡安全形式日益嚴峻的當下，如何提高XenAPP運行的安全性，防止其被黑客惡意利用，是管理人員必須面對的問題。

在虛擬化應用場景中，最常用的應用程序是虛擬化。虛擬程序具有部署簡便，易于管理，使用靈活等特點。而Citrix提供的XenAPP提供了快速應用啟動和無縫的多媒體體驗等功能，可以為用戶提供更好的按需應用交付體驗。XenAPP能夠更加輕松地實現成本控制，具有廣泛應用兼容性，因而得到廣泛應用。在網絡安全形式日益嚴峻的當下，如何提高XenAPP運行的安全性是管理人員必須面對的問題。這里就從多個方面出發，來介紹了相關的解決方法。

使用安全網關，加密通信連接

用Secure Gateway網關，可以加密客戶端和XenApp服務器之間的通訊。在默認情況下，客戶端會利用ICA協議和XenApp服務器進行連接，ICA協議也是一個加密型協議，可以對雙方發送的數據進行加密處理。但是如果從Internet訪問XenApp服務器，可以利用Secure Gateway網關來保證更加安全的數據傳輸。在客戶端上登錄XenApp服務器，在訪問頁面中的“應用程序”面板中運行目標程序，在CMD窗口中執行“netstat-ano”命令來查看當前的網絡連接信息。可以看到，客戶端會去連接XenApp服務器的TCP 2598端口，這是使用ICA協議的情況。

當配置了安全網關后，客戶端會聯系Secure Gateway服務器，并建立SSL的加密通道，之后由安全網關去連接XenApp服務器來訪問目標虛擬程序。這樣，ICA協議會運行在SSL加密通道中，從而大大提高連接的安全性。在準備作為安全網關的服務器上執行“mmc”程序，在控制臺中分別選擇菜單“文件”、“添加/刪除管理單元”選項，在彈出窗口左側列表中選擇“證書”選項，點擊“添加”按鈕，選擇“計算機賬戶”選項，點擊“完成”按鈕，將其添加進來。在控制臺左側分別選擇“證書”、“個人”選項，在其右鍵菜單上分別點擊“所有任務”、“申請新證書”選項，在向導界面中選擇“Active Directory注 冊策略”選項，點擊“下一步”按鈕，選擇“計算機”選項，點擊“注冊”按鈕，完成證書申請操作。當然，也可以向Internet上的第三方證書頒發機構申請證書。

在XenApp安裝光盤上運行“autorun.exe”程序，在安裝界面中分別選擇“手動安裝組件”、“常見組件”、“Secure Gateway”選項，執行安全網關組件的安裝操作，在安裝默認窗口中選擇“Secure Gateway”選項，表示安裝獨立的安全網關，該模式接受Internet客戶端的連接，之后穿過企業防火墻和內部的XenApp服務器建立連接。選擇“Secure Gateway Proxy”選項，使用代理安全網關，該模式對應于存在多重防火墻的情況，存在多個安全網關，客戶端先連接第一個安全網關，其會穿越第一道防火墻連接第二個安全網關，之后該安全網關會穿越第二道防火墻連接內網XenApp服務器。

這里選擇前者，在“下一步”窗口中的“Account”列表中選擇“LocalSystem”選項，為其設置本地系統帳號。安裝完畢后，在配置向導界面（如圖1所示）中選擇“Advanced”選項，執行高級配置操作，在“下一步”窗口中顯示安裝的證書信息，依次點擊“Next”按鈕，可以選擇安全協議，加密算法，設置連接端口（默認 TCP 443），客戶端訪問控制等信息。一般保持默認即可，若想限制客戶端連接，可以選擇“Use an Access Control List”選項，點擊“Configure”按鈕，然后點擊“Add”按鈕，設置特定范圍的IP，這樣只有指定區域的IP才可以順利連接內網XenApp服務器。

圖1 安全網關配置向導界面

在“Server Running the STA”欄中點擊“Add”按鈕，在彈出窗口中的“FQDN”欄中設置安全票據頒發中心主機地址，其實就是XenApp服務器的地址。因為按照XenApp的訪問模式，當客戶端提交的憑據經由Web Interface服務器提交給Active Directory進行驗證，當通過驗證后，客戶端就會獲得Web Interface服務器分配給其的的應用程序，并且會將XenApp服務器生成的安全票據也返還給了客戶端。客戶端就會通過XenApp服務器來打開目標程序。在客戶端和XenApp服務器交互過程中，XenApp服務器也需要進行身份驗證，客戶端就將上述安全票據提交給XenApp服務器，當檢測無誤后，才允許客戶端成功打開目標虛擬程序。如果選擇“Secure Traffice between the STA and the Secure Gateway”選項，可以加密安全網關和XenApp服務器間的連接。點擊“下一步”按鈕，可以設置連接的超時時間（默認為100秒）以及最大連接數（默認為250）。

在“Access Options”欄中選擇“Indirect”選項，取消“Install on this Computer”選項，在“FQDN”欄中輸入Web Interface服務器地址，例如“wi.xxx.com”。這樣就實現了安全網關和Web Interface服務的集成。當客戶端訪問時會先連接到安全網關的TCP 443端口，之后經其轉發到Web Interface服務器，只需在防火墻上開啟TCP 443端口即可，提高了安全性。其余設置均保持默認，點擊“Finish”按鈕，啟動安全網關服務。為配合安全網關運作，需對Web Interface服務器進行相應設置，如圖2所示。

在 Citrix Web Interface控制臺中選擇對應的XenApp站點，在右側點擊“安全訪問”選項，在向導界面中點擊“編輯”按鈕，在彈出窗口（如圖3所示）中的“訪問方法”列表中選擇“網關（直接）”或“網關（替代）”選項，后者可應用于主機之間不在同一網段，需要NAT映射的環境。在“下一步”窗口中的“地址”欄中輸入上述安全網關的地址，例如“secure.xxx.com”。點擊“下一步”按鈕，選擇“安全票據頒發中心地址”，即XenApp服務器地址。點擊“完成”按鈕，完成所需配置。之后在客戶端上打開瀏覽器，輸入安全網關的地址，例如“secure.xxx.com”，輸 入合適的賬戶和密碼，就可以訪問安全訪問XenAPp服務器上發布的虛擬程序了。在安全網關服務器上打開Secure Gateway控制臺，分別 選 擇“Secure Gateway Management Console” 、“Session Information” 選項，可以查看客戶端連接信息，包括 IP、用戶名、域名、連接的時間以及持續時間等內容。

圖2 配置安全網關和Web Interface服務的集成

圖3 配置安全訪問參數

客戶端和Web Interface實現安全通訊

根據客戶端和XenApp服務器的通訊流程，首先客戶端會提交憑據信息，之后由Web Interface將用戶發送的憑據信息傳送給XenAPP服務器的XML Services服務，最終用戶的身份信息會提交給Active Directory服務器進行驗證。通過驗證后，XenAPP服務器上運行的XML Services服務將通過IMA從數據庫中獲取分配給用戶的應用程序信息，并將這些信息返還給Web Interface服務器。這樣當客戶端用戶登錄之后就會看到分配給其的應用程序信息。用戶運行應用程序后，Web Interface服務器會尋找最空閑的XenAPP服務器，XML Services服務會聯系最空閑的XenAPP服務器并返回安全票據Security Ticket，并將這些信息發送給Web Interface服務器。Web Interface服務器會生 成 名 為“Launch.ica”文件給客戶端，客戶端根據該文件的信息直接聯系指定的XenAPP服務器，來啟動目標應用程序。IMA服務是XenAPP服務器之間通信的框架，運行在所有的XenAPP服務器之上，默認通訊端口是TCP 2512。由此可見，Web Interface服務器對客戶端和Web Interface服務器之間的通信進行SSL加密傳輸，對于提高安全性是極為重要的。當然，對于Web Inface服務器和XenAPP服務器之間的通訊也可以進行加密。因為在通常情況下，XenAPP服務器位于防火墻之后，而Web Interface服務器位于DMZ區域，對兩者之間的數據傳輸進行加密可以有力的保證XenAPP服務器的安全。

首先，按照上述方法申請一張證書。在Web Interface服務器上打開IIS信息服務管理器，在左側分別選擇“網站”、“Default Web Site”選項，在左側點擊“綁定”鏈接，在彈出窗口中選擇與80端口綁定的HTTP項目，點擊“刪除”按鈕。點擊“添加”按鈕，在添加網站綁定窗口中的“類型”列表中選擇“HTTP”選項，在“SSL證書”列表中選擇上述證書，點擊“確定”按鈕來創建該綁定關系。之后在客戶端上打開瀏覽器，訪問“https：//Web Interface 服務器地址”網址，在登錄界面輸入用戶名和密碼，顯示所有可用的應用程序。雙擊“目標應用程序”可以執行遠程訪問操作。在此過程中數據傳輸處于加密狀態，可有效防范黑客的嗅探和監聽。

僅僅在客戶端和Web Interface服務器之間進行加密通訊是不夠的，還需要在Web Interface和XenAPP服務器之間進行安全通訊。按照上述方法，在XenAPP服務器申請所需的證書。啟動Citrix SSL中繼配置程序，在主界面（如圖4所示）中的“中繼憑據”面板中選擇“啟用SSL中繼”選項，在“服務器證書”列表中選擇申請的證書。在“連接”面板中可以修改中繼偵聽端口，默認為TCP 443。在“加密標準”欄中可以選擇SSL V3或TLS V1格式（默認）。點擊“應用”按鈕保存配置信息，按提示重新啟動XenAPP服務器。當然，在Web Interface服務器上也需要進行相關配置，使其使用SSL中繼向XML Services服務提交信息。

圖4 Citrix SSL中繼配置界面

在Web Interface服務器上打開Citrix Web Interface管理控制臺，在左側 選 擇“XenApp Web站點”選項，在右側點擊“服務器場”鏈接，在管理服務器場窗口中選擇場名（例如“Farm1”），點 擊“編 輯”按鈕，在其屬性窗口中的“通訊設置”欄中的“傳輸類型”列表中選擇“SSL Relay”選項，表示使用SSL中繼功能。當然，也可以選擇“HTTPS”選項來啟用常規的SSL加密功能。因為對于Web Interface服務器和XenAPP服務器之間的安全通訊來說，可使用SSL和SSL中繼兩種加密方式。

如果采用HTTPS加密連接，需要在XenAPP服務器上打開IIS管理器，按照上述方法為其綁定HTTPS安全連接。這里選擇SSL中繼方式，點擊“確定”按鈕，在Citrix Web Inteface管理控制臺左側選擇“XenApp Services站點”選項，點擊“服務器場”鏈接，按照同樣方法為其設置SSL中繼代理功能。這樣，在客戶端和Web Interface服 務 器 間，Web Interface服務器和XenAPP服務器間的連接就能全部通過安全通道進行。

使用Smart Auditor進行安全審計

當用戶通過Web Interface來訪問XenAPP服務器上的應用程序時，在打開目標程序后，就可以對其進行各種操作。在對安全性要求嚴格的企業中需要對用戶的操作進行監控，使用Smart Auditor就可以滿足這種需求。該角色可以按照預設的策略，完整的記錄客戶端的訪問虛擬程序的所有操作，并將其記錄為特殊的視頻文件，管理員通過專用的播放器可全面了解用戶的所有操作。因為Smart Auditor需要數據庫的支持，所以需要在指定的服務器（將其FQDN設置為“sa.xxx.com”）上安裝SQL Server 2008數據庫。

之后在XenAPP安裝盤 上 運 行“autorun.exe”程序，在安裝界面中分別選擇“手動安裝組件”、“服務器組件”、“附加功能”以及“SmartAuditor管理”選項，在安裝界面中的選擇功能窗口中只安裝“Citrix SmartAuditor數據庫”組件，在“下一步”窗口中設置數據庫實例，對于默認實例來說，只需在“數據庫實例”欄中輸入“.”即可，在“訪問用戶賬戶”欄中輸入本機的賬戶（例 如“xxxsa$”，“xxx”表示域名），該賬戶擁有對數據庫的完全管理權限。點擊“下一步”按鈕完成操作。之后登錄到SQL Server 2008數據庫中，可以看到Smart Auditor角色創建的名為“CitrixSmartAuditor” 的數據庫。配置好數據庫后，在上述安裝界面中依次選擇“Smart Auditor管理”和“Smart Auditor播放器”項來安裝相應的管理工具。

圖5 配置SmartAuditor服務器屬性

打 開“SmartAuditor服務器屬性”窗口，在“存儲”面板（如圖5所示）中點擊“添加”按鈕，選擇用于存儲記錄會話文件的目錄（例如“C： ecord”）。當SmartAuditor代理服務將捕獲到的客戶端的操作信息后會生成一個記錄文件，并將其提交給SmartAuditor服務器，將其存儲到該目錄中。為防止別人隨意修改記錄的會話文件，可以對其進行簽名處理。在“簽名”面板中點擊“瀏覽”按鈕，選擇相應的證書即可。在默認情況下，當代理程序創建的監控文件體積大于50MB，或連續記錄的時間超過12小時后，就會創建新的記錄文件，繼續執行記錄操作，在“滾轉”面板中可以修改上述的記錄閥值。在“通知”面板中可以修改通知信息來提醒用戶注意。點擊“確定”按鈕保存配置信息。

打 開SmartAuditor授權控制臺，在左側選擇“Player”選項，在其右鍵菜單上依次點擊“分配用戶 和 組”、“從 Windows和Active Directory” 選 項，選擇“允許播放監控日志的用戶或組”。打開IIS管理器，選擇左側的“網站”、“SmartAuditorBroker” 選項，雙擊“SSL設置”選項，在彈出窗口中取消“要求SSL”選項。啟動SmartAuditor策略控制臺，在登錄界面中直接點擊“確定”按鈕進入控制臺界面。可以看到在默認情況下處于不記錄狀態，說明SmartAuditor記錄功能并未激活。在左側選擇“記錄每個人并通知”選項，在其右鍵菜單上點擊“激活策略”選項，就可以激活該策略，允許記錄每個用戶的操作XenAPP應用程序的信息，并且將上述通知發送給用戶。

也可選擇“記錄每個人而不通知”選項，在其右鍵菜單上點擊“激活策略”選項來激活該策略。這樣，可以更加隱蔽的記錄用戶的操作信息。當然也可以創建新的策略，在“記錄策略”選項右擊“添加新策略”選項，創建新的策略。選擇該策略，右擊“添加新規則”選項，在向導界面（如圖6所示）中選擇“啟用會話記錄并通知”選項，點擊“下一步”按鈕，選擇“用戶或組”、“以發布應用程序”、“應用程序服務器”選項，來靈活的定義需要監控的用戶，應用程序以及應用程序服務器。

圖6 創建自定義策略

圖7 SmartAuditor代理屬性窗口

在XenAPP服務器上打開XenAPP安裝盤，運行“autorun.exe”程序，在安裝界面中依次選擇“手動安裝組件”、“服務器組件”、“附加功能”、“SmartAuditor 代理”選項，在安裝界面中設置SmartAuditor的名稱。這樣當代理程序監控到用戶的各種操作后，就會將監控信息記錄到SmartAuditor服務器上。打開SmartAuditor代理屬性窗口（如圖7所示），在“連接”面板中可以修改SmartAuditor服務器的地址，在“SmartAuditor Broker”欄中的“協議”列表中選擇“HTTP”選項，點擊“確定”按鈕。準備好以上條件后，在客戶端上訪問Web Interface服務器，在登錄界面中輸入用戶名和密碼，當打開目標程序后，Smart Auditor代理程序就開始對其操作進行監控，如果啟用了通知功能，客戶端就會收到預設的通知信息。

管理員可以隨時在Smart Auditor服務器上先進入Smart Auditor播放器安裝目錄，打開其中的名為“SmAudPlayer.exe”的配置文件，將其中的“