部署Citrix安全网关全中文教程

安全部署CitrixSecureGateway（Citrix安全网关）的昀佳措施Citrix咨询服务Citrix系统公司提示：本资料信息的修改不再另行通知。本资料以现有形式提供，不包括任何明示或暗示的保证，包括任何商业用途的保证，以及适用于某种特定目的或非侵权的保证。CITRIX系统公司(“CITRIX”)既不对其技术及编辑错误和遗漏承担责任，也不对由于以各种方式使用本资料而造成的直接的、偶然的或因此产生的任何其它的危险承担责任。即使在CITRIX公司已被事先提醒存在这种危险的情况下，也是如此。本资料内的信息受版权保护。除内部发行之外，未经Citrix的书面同意，不可复制和发表本资料的任何一部分。如果某种Citrix产品提供专有保证，将在该产品的附属文件中进行说明。Citrix只对自己的产品提供保证。这里提及的产品是拥有该产品的各公司的商标和/或注册商标。版权©2002Citrix系统公司,6400NW6thWay,Ft.Lauderdale,佛罗里达州33309美国.版权所有。版本记录安全部署Citrix安全网关的昀佳措施II安全部署Citrix安全网关的昀佳措施III目录目录III前言1什么是Citrix安全网关？..............................................................................................1CSG部署的优点.........................................................................................................1在CSG环境中进一步增强安全性................................................................................1文档概述....................................................................................................................2前提条件....................................................................................................................2标准的CSG实施过程2处理流程....................................................................................................................2组件............................................................................................................................4Citrix安全网关.....................................................................................................4CitrixNFuse........................................................................................................4安全标签管理器（STA）.....................................................................................5昀佳安全措施5昀佳措施摘要.............................................................................................................5昀佳措施详细说明......................................................................................................6保证文件系统安全...............................................................................................7删除样本代码......................................................................................................7鉴权....................................................................................................................7用户账号.............................................................................................................9IIS匿名访问用户账号.........................................................................................10禁止未用服务....................................................................................................14删除Windows组件.............................................................................................15热修复补丁和服务包.........................................................................................18删除未用的文件关联.........................................................................................19IIS安全..............................................................................................................20审核..................................................................................................................21NetBIOS............................................................................................................22NULL会话的信息泄漏.....................................................................................244端口过滤.........................................................................................................255拒绝服务注册项.................................................................................................25禁止Internet打印.............................................................................................277STATCP/IP过滤..............................................................................................288更多信息.................................................................................錯誤!尚未定義書籤。9安全部署Citrix安全网关的昀佳措施1前言什么是Citrix安全网关？Citrix安全网关（CSG）为MetaFrame服务器和安全套接字层（SSL）之间的Citrix独立计算架构（ICA）数据流起到了安全Internet网关作用，其中，SSL激活ICA客户端工作站。所有通过Internet在客户端工作站和CSG服务器之间传递的数据都经过加密，以保证信息流的私密性和完整性。CSG提供了一个单点入口来安全地访问Citrix服务器集群。SSL技术用于加密，保证在公众网中安全传送数据。CSG还使得MetaFrame解决方案中穿越防火墙变得更轻松。CSG是一个企业级的解决方案，保护了客户在CitrixMetaFrame网络架构和业务应用程序上的投资。它对应用程序和网络设备是完全透明的，无须修改任何程序或进行设备升级。CSG部署的优点CSG不必发布每台MetaFrame服务器的地址，简化了服务器认证管理，并且允许单点加密和访问MetaFrame服务器。其实现方法是通过从MetaFrame服务器中分离出网关，并利用被ICA数据流普遍采纳的某个端口降低穿越防火墙的复杂性。其优点如下：•牢固的加密（SSL128bit，TLS140bit）•鉴权（通过NFuse实现）•为Citrix服务器隐藏内部网络地址•通过某个普遍采纳的端口穿越防火墙•认证管理，仅在CSG服务器进行认证•轻松支持大量服务器•不需要客户端软件分离（仅需一个CSG激活的ICA客户端）在CSG环境中进一步增强安全性CSG有三个组件：SecureTicketAuthority(STA)，NFuse和Citrix安全网关。多数实施中，后两个组件通常暴露给Internet用户。一个正确配置的防火墙并不在CCS讨论范围之内，因此，本文列出的所有安全策略都应在CSG网络架构中应用。安全部署Citrix安全网关的昀佳措施2文档概述暴露在Internet中的所有计算机技术都可能遭到恶意使用的潜在威胁。本文为CSGforWindows1.1的安全实施提供了昀佳措施。本文主要关注Microsoft2000服务器和IIS5.0组件。通过概述网络拓朴结构和处理流程，本文给出了标准的CSG实现过程的要点。根据这些要点，列举了保证CSG环境安全的昀佳措施方法。本文假设读者具有一定的Windows2000，NFuse和Citrix安全网关的知识。前提条件在阅读这份文档之前，读者应该具备以下前提条件。•阅读和理解CSGforWindows管理员指南。•下载昀新版本的CSG软件。版本1.1包含了为CSG和STA提供的一些增强功能和安全热修复补丁。标准的CSG实施过程本节概述了标准CSG实施过程的基本配置。本节还描述了各组件以及不同组件之间的基本网络数据流的交互过程。处理流程下面的框图描述了