引言：Citrix提供的XenAPP提供了快速应用启动和无缝的多媒体体验等功能，可以为用户提供更好的按需应用交付体验。在网络安全形式日益严峻的当下，如何提高XenAPP运行的安全性，防止其被黑客恶意利用，是管理人员必须面对的问题。

在虚拟化应用场景中，最常用的应用程序是虚拟化。虚拟程序具有部署简便，易于管理，使用灵活等特点。而Citrix提供的XenAPP提供了快速应用启动和无缝的多媒体体验等功能，可以为用户提供更好的按需应用交付体验。XenAPP能够更加轻松地实现成本控制，具有广泛应用兼容性，因而得到广泛应用。在网络安全形式日益严峻的当下，如何提高XenAPP运行的安全性是管理人员必须面对的问题。这里就从多个方面出发，来介绍了相关的解决方法。

使用安全网关，加密通信连接

用Secure Gateway网关，可以加密客户端和XenApp服务器之间的通讯。在默认情况下，客户端会利用ICA协议和XenApp服务器进行连接，ICA协议也是一个加密型协议，可以对双方发送的数据进行加密处理。但是如果从Internet访问XenApp服务器，可以利用Secure Gateway网关来保证更加安全的数据传输。在客户端上登录XenApp服务器，在访问页面中的“应用程序”面板中运行目标程序，在CMD窗口中执行“netstat-ano”命令来查看当前的网络连接信息。可以看到，客户端会去连接XenApp服务器的TCP 2598端口，这是使用ICA协议的情况。

当配置了安全网关后，客户端会联系Secure Gateway服务器，并建立SSL的加密通道，之后由安全网关去连接XenApp服务器来访问目标虚拟程序。这样，ICA协议会运行在SSL加密通道中，从而大大提高连接的安全性。在准备作为安全网关的服务器上执行“mmc”程序，在控制台中分别选择菜单“文件”、“添加/删除管理单元”选项，在弹出窗口左侧列表中选择“证书”选项，点击“添加”按钮，选择“计算机账户”选项，点击“完成”按钮，将其添加进来。在控制台左侧分别选择“证书”、“个人”选项，在其右键菜单上分别点击“所有任务”、“申请新证书”选项，在向导界面中选择“Active Directory注 册策略”选项，点击“下一步”按钮，选择“计算机”选项，点击“注册”按钮，完成证书申请操作。当然，也可以向Internet上的第三方证书颁发机构申请证书。

在XenApp安装光盘上运行“autorun.exe”程序，在安装界面中分别选择“手动安装组件”、“常见组件”、“Secure Gateway”选项，执行安全网关组件的安装操作，在安装默认窗口中选择“Secure Gateway”选项，表示安装独立的安全网关，该模式接受Internet客户端的连接，之后穿过企业防火墙和内部的XenApp服务器建立连接。选择“Secure Gateway Proxy”选项，使用代理安全网关，该模式对应于存在多重防火墙的情况，存在多个安全网关，客户端先连接第一个安全网关，其会穿越第一道防火墙连接第二个安全网关，之后该安全网关会穿越第二道防火墙连接内网XenApp服务器。

这里选择前者，在“下一步”窗口中的“Account”列表中选择“LocalSystem”选项，为其设置本地系统帐号。安装完毕后，在配置向导界面（如图1所示）中选择“Advanced”选项，执行高级配置操作，在“下一步”窗口中显示安装的证书信息，依次点击“Next”按钮，可以选择安全协议，加密算法，设置连接端口（默认 TCP 443），客户端访问控制等信息。一般保持默认即可，若想限制客户端连接，可以选择“Use an Access Control List”选项，点击“Configure”按钮，然后点击“Add”按钮，设置特定范围的IP，这样只有指定区域的IP才可以顺利连接内网XenApp服务器。

图1 安全网关配置向导界面

在“Server Running the STA”栏中点击“Add”按钮，在弹出窗口中的“FQDN”栏中设置安全票据颁发中心主机地址，其实就是XenApp服务器的地址。因为按照XenApp的访问模式，当客户端提交的凭据经由Web Interface服务器提交给Active Directory进行验证，当通过验证后，客户端就会获得Web Interface服务器分配给其的的应用程序，并且会将XenApp服务器生成的安全票据也返还给了客户端。客户端就会通过XenApp服务器来打开目标程序。在客户端和XenApp服务器交互过程中，XenApp服务器也需要进行身份验证，客户端就将上述安全票据提交给XenApp服务器，当检测无误后，才允许客户端成功打开目标虚拟程序。如果选择“Secure Traffice between the STA and the Secure Gateway”选项，可以加密安全网关和XenApp服务器间的连接。点击“下一步”按钮，可以设置连接的超时时间（默认为100秒）以及最大连接数（默认为250）。

在“Access Options”栏中选择“Indirect”选项，取消“Install on this Computer”选项，在“FQDN”栏中输入Web Interface服务器地址，例如“wi.xxx.com”。这样就实现了安全网关和Web Interface服务的集成。当客户端访问时会先连接到安全网关的TCP 443端口，之后经其转发到Web Interface服务器，只需在防火墙上开启TCP 443端口即可，提高了安全性。其余设置均保持默认，点击“Finish”按钮，启动安全网关服务。为配合安全网关运作，需对Web Interface服务器进行相应设置，如图2所示。

在 Citrix Web Interface控制台中选择对应的XenApp站点，在右侧点击“安全访问”选项，在向导界面中点击“编辑”按钮，在弹出窗口（如图3所示）中的“访问方法”列表中选择“网关（直接）”或“网关（替代）”选项，后者可应用于主机之间不在同一网段，需要NAT映射的环境。在“下一步”窗口中的“地址”栏中输入上述安全网关的地址，例如“secure.xxx.com”。点击“下一步”按钮，选择“安全票据颁发中心地址”，即XenApp服务器地址。点击“完成”按钮，完成所需配置。之后在客户端上打开浏览器，输入安全网关的地址，例如“secure.xxx.com”，输 入合适的账户和密码，就可以访问安全访问XenAPp服务器上发布的虚拟程序了。在安全网关服务器上打开Secure Gateway控制台，分别 选 择“Secure Gateway Management Console” 、“Session Information” 选项，可以查看客户端连接信息，包括 IP、用户名、域名、连接的时间以及持续时间等内容。

图2 配置安全网关和Web Interface服务的集成

图3 配置安全访问参数

客户端和Web Interface实现安全通讯

根据客户端和XenApp服务器的通讯流程，首先客户端会提交凭据信息，之后由Web Interface将用户发送的凭据信息传送给XenAPP服务器的XML Services服务，最终用户的身份信息会提交给Active Directory服务器进行验证。通过验证后，XenAPP服务器上运行的XML Services服务将通过IMA从数据库中获取分配给用户的应用程序信息，并将这些信息返还给Web Interface服务器。这样当客户端用户登录之后就会看到分配给其的应用程序信息。用户运行应用程序后，Web Interface服务器会寻找最空闲的XenAPP服务器，XML Services服务会联系最空闲的XenAPP服务器并返回安全票据Security Ticket，并将这些信息发送给Web Interface服务器。Web Interface服务器会生 成 名 为“Launch.ica”文件给客户端，客户端根据该文件的信息直接联系指定的XenAPP服务器，来启动目标应用程序。IMA服务是XenAPP服务器之间通信的框架，运行在所有的XenAPP服务器之上，默认通讯端口是TCP 2512。由此可见，Web Interface服务器对客户端和Web Interface服务器之间的通信进行SSL加密传输，对于提高安全性是极为重要的。当然，对于Web Inface服务器和XenAPP服务器之间的通讯也可以进行加密。因为在通常情况下，XenAPP服务器位于防火墙之后，而Web Interface服务器位于DMZ区域，对两者之间的数据传输进行加密可以有力的保证XenAPP服务器的安全。

首先，按照上述方法申请一张证书。在Web Interface服务器上打开IIS信息服务管理器，在左侧分别选择“网站”、“Default Web Site”选项，在左侧点击“绑定”链接，在弹出窗口中选择与80端口绑定的HTTP项目，点击“删除”按钮。点击“添加”按钮，在添加网站绑定窗口中的“类型”列表中选择“HTTP”选项，在“SSL证书”列表中选择上述证书，点击“确定”按钮来创建该绑定关系。之后在客户端上打开浏览器，访问“https：//Web Interface 服务器地址”网址，在登录界面输入用户名和密码，显示所有可用的应用程序。双击“目标应用程序”可以执行远程访问操作。在此过程中数据传输处于加密状态，可有效防范黑客的嗅探和监听。

仅仅在客户端和Web Interface服务器之间进行加密通讯是不够的，还需要在Web Interface和XenAPP服务器之间进行安全通讯。按照上述方法，在XenAPP服务器申请所需的证书。启动Citrix SSL中继配置程序，在主界面（如图4所示）中的“中继凭据”面板中选择“启用SSL中继”选项，在“服务器证书”列表中选择申请的证书。在“连接”面板中可以修改中继侦听端口，默认为TCP 443。在“加密标准”栏中可以选择SSL V3或TLS V1格式（默认）。点击“应用”按钮保存配置信息，按提示重新启动XenAPP服务器。当然，在Web Interface服务器上也需要进行相关配置，使其使用SSL中继向XML Services服务提交信息。

图4 Citrix SSL中继配置界面

在Web Interface服务器上打开Citrix Web Interface管理控制台，在左侧 选 择“XenApp Web站点”选项，在右侧点击“服务器场”链接，在管理服务器场窗口中选择场名（例如“Farm1”），点 击“编 辑”按钮，在其属性窗口中的“通讯设置”栏中的“传输类型”列表中选择“SSL Relay”选项，表示使用SSL中继功能。当然，也可以选择“HTTPS”选项来启用常规的SSL加密功能。因为对于Web Interface服务器和XenAPP服务器之间的安全通讯来说，可使用SSL和SSL中继两种加密方式。

如果采用HTTPS加密连接，需要在XenAPP服务器上打开IIS管理器，按照上述方法为其绑定HTTPS安全连接。这里选择SSL中继方式，点击“确定”按钮，在Citrix Web Inteface管理控制台左侧选择“XenApp Services站点”选项，点击“服务器场”链接，按照同样方法为其设置SSL中继代理功能。这样，在客户端和Web Interface服 务 器 间，Web Interface服务器和XenAPP服务器间的连接就能全部通过安全通道进行。

使用Smart Auditor进行安全审计

当用户通过Web Interface来访问XenAPP服务器上的应用程序时，在打开目标程序后，就可以对其进行各种操作。在对安全性要求严格的企业中需要对用户的操作进行监控，使用Smart Auditor就可以满足这种需求。该角色可以按照预设的策略，完整的记录客户端的访问虚拟程序的所有操作，并将其记录为特殊的视频文件，管理员通过专用的播放器可全面了解用户的所有操作。因为Smart Auditor需要数据库的支持，所以需要在指定的服务器（将其FQDN设置为“sa.xxx.com”）上安装SQL Server 2008数据库。

之后在XenAPP安装盘 上 运 行“autorun.exe”程序，在安装界面中分别选择“手动安装组件”、“服务器组件”、“附加功能”以及“SmartAuditor管理”选项，在安装界面中的选择功能窗口中只安装“Citrix SmartAuditor数据库”组件，在“下一步”窗口中设置数据库实例，对于默认实例来说，只需在“数据库实例”栏中输入“.”即可，在“访问用户账户”栏中输入本机的账户（例 如“xxxsa$”，“xxx”表示域名），该账户拥有对数据库的完全管理权限。点击“下一步”按钮完成操作。之后登录到SQL Server 2008数据库中，可以看到Smart Auditor角色创建的名为“CitrixSmartAuditor” 的数据库。配置好数据库后，在上述安装界面中依次选择“Smart Auditor管理”和“Smart Auditor播放器”项来安装相应的管理工具。

图5 配置SmartAuditor服务器属性

打 开“SmartAuditor服务器属性”窗口，在“存储”面板（如图5所示）中点击“添加”按钮，选择用于存储记录会话文件的目录（例如“C： ecord”）。当SmartAuditor代理服务将捕获到的客户端的操作信息后会生成一个记录文件，并将其提交给SmartAuditor服务器，将其存储到该目录中。为防止别人随意修改记录的会话文件，可以对其进行签名处理。在“签名”面板中点击“浏览”按钮，选择相应的证书即可。在默认情况下，当代理程序创建的监控文件体积大于50MB，或连续记录的时间超过12小时后，就会创建新的记录文件，继续执行记录操作，在“滚转”面板中可以修改上述的记录阀值。在“通知”面板中可以修改通知信息来提醒用户注意。点击“确定”按钮保存配置信息。

打 开SmartAuditor授权控制台，在左侧选择“Player”选项，在其右键菜单上依次点击“分配用户 和 组”、“从 Windows和Active Directory” 选 项，选择“允许播放监控日志的用户或组”。打开IIS管理器，选择左侧的“网站”、“SmartAuditorBroker” 选项，双击“SSL设置”选项，在弹出窗口中取消“要求SSL”选项。启动SmartAuditor策略控制台，在登录界面中直接点击“确定”按钮进入控制台界面。可以看到在默认情况下处于不记录状态，说明SmartAuditor记录功能并未激活。在左侧选择“记录每个人并通知”选项，在其右键菜单上点击“激活策略”选项，就可以激活该策略，允许记录每个用户的操作XenAPP应用程序的信息，并且将上述通知发送给用户。

也可选择“记录每个人而不通知”选项，在其右键菜单上点击“激活策略”选项来激活该策略。这样，可以更加隐蔽的记录用户的操作信息。当然也可以创建新的策略，在“记录策略”选项右击“添加新策略”选项，创建新的策略。选择该策略，右击“添加新规则”选项，在向导界面（如图6所示）中选择“启用会话记录并通知”选项，点击“下一步”按钮，选择“用户或组”、“以发布应用程序”、“应用程序服务器”选项，来灵活的定义需要监控的用户，应用程序以及应用程序服务器。

图6 创建自定义策略

图7 SmartAuditor代理属性窗口

在XenAPP服务器上打开XenAPP安装盘，运行“autorun.exe”程序，在安装界面中依次选择“手动安装组件”、“服务器组件”、“附加功能”、“SmartAuditor 代理”选项，在安装界面中设置SmartAuditor的名称。这样当代理程序监控到用户的各种操作后，就会将监控信息记录到SmartAuditor服务器上。打开SmartAuditor代理属性窗口（如图7所示），在“连接”面板中可以修改SmartAuditor服务器的地址，在“SmartAuditor Broker”栏中的“协议”列表中选择“HTTP”选项，点击“确定”按钮。准备好以上条件后，在客户端上访问Web Interface服务器，在登录界面中输入用户名和密码，当打开目标程序后，Smart Auditor代理程序就开始对其操作进行监控，如果启用了通知功能，客户端就会收到预设的通知信息。

管理员可以随时在Smart Auditor服务器上先进入Smart Auditor播放器安装目录，打开其中的名为“SmAudPlayer.exe”的配置文件，将其中的“