Citrix Gateway

Über Citrix Gateway

Citrix Gateway ist einfach bereitzustellen und einfach zu verwalten. Die typischste Bereitstellungskonfiguration besteht darin, das Citrix Gateway-Gerät in die DMZ zu platzieren. Sie können mehrere Citrix Gateway-Appliances für komplexere Bereitstellungen im Netzwerk installieren.

Wenn Sie Citrix Gateway zum ersten Mal starten, können Sie die Erstkonfiguration mithilfe einer seriellen Konsole, des Setup-Assistenten im Konfigurationsdienstprogramm oder dem Dynamic Host Configuration Protocol (DHCP) durchführen. Auf der MPX-Einheit können Sie die LCD-Tastatur an der Vorderseite des Geräts verwenden, um die Erstkonfiguration durchzuführen. Sie können grundlegende Einstellungen konfigurieren, die für Ihr internes Netzwerk spezifisch sind, z. B. die IP-Adresse, die Subnetzmaske, die Standard-Gateway-IP-Adresse und die Domain Name System (DNS) -Adresse. Nachdem Sie die grundlegenden Netzwerkeinstellungen konfiguriert haben, konfigurieren Sie dann die für den Citrix Gateway-Vorgang spezifischen Einstellungen, z. B. die Optionen für Authentifizierung, Autorisierung, Netzwerkressourcen, virtuelle Server, Sitzungsrichtlinien und Endpunktrichtlinien.

Bevor Sie Citrix Gateway installieren und konfigurieren, lesen Sie die Themen in diesem Abschnitt, um Informationen zur Planung Ihrer Bereitstellung zu erhalten. Die Bereitstellungsplanung kann die Festlegung, wo die Appliance installiert werden soll, das Verständnis der Installation mehrerer Appliances in der DMZ und die Lizenzanforderungen umfassen. Sie können Citrix Gateway in jeder Netzwerkinfrastruktur installieren, ohne dass Änderungen an der vorhandenen Hardware oder Software erforderlich sind, die im sicheren Netzwerk ausgeführt wird. Citrix Gateway unterstützt andere Netzwerkprodukte wie Server-Load-Balancer, Cache-Engines, Firewalls, Router und IEEE 802.11-Wireless-Geräte.

Sie können Ihre Einstellungen in die Checkliste vor der Installation schreiben, die Sie zur Hand haben müssen, bevor Sie Citrix Gateway konfigurieren.

   
Citrix Gateway-Geräte Bietet Informationen zu Citrix Gateway-Geräten und Installationsanweisungen für das Gerät.
Checkliste vor der Installation Bietet Planungsinformationen zur Überprüfung und eine Liste der Aufgaben, die vor der Installation von Citrix Gateway in Ihrem Netzwerk ausgeführt werden müssen.
Gemeinsame Bereitstellungen Bietet Informationen zum Bereitstellen des Citrix Gateway in der Netzwerk-DMZ, in einem sicheren Netzwerk ohne DMZ und mit anderen Appliances zur Unterstützung von Lastenausgleich und Failover. Bietet auch Informationen zum Bereitstellen von Citrix Gateway mit Citrix Virtual Apps and Desktops.
Lizenzierung Bietet Informationen zur Installation von Lizenzen auf der Appliance. Bietet auch Informationen zum Installieren von Lizenzen auf mehreren Citrix Gateway-Appliances.

Citrix Gateway-Architektur

Die Kernkomponenten von Citrix Gateway sind:

  • Virtuelle Server. Der virtuelle Citrix Gateway-Server ist eine interne Entität, die für alle konfigurierten Dienste repräsentativ ist, die Benutzern zur Verfügung stehen. Der virtuelle Server ist auch der Zugangspunkt, über den Benutzer auf diese Dienste zugreifen. Sie können mehrere virtuelle Server auf einer einzelnen Appliance konfigurieren, sodass eine Citrix Gateway-Appliance mehrere Benutzergemeinschaften mit unterschiedlichen Authentifizierungs- und Ressourcenzugriffsanforderungen bedienen kann.

  • Authentifizierung, Autorisierung und Buchhaltung. Sie können Authentifizierung, Autorisierung und Buchhaltung so konfigurieren, dass Benutzer sich mit Anmeldeinformationen bei Citrix Gateway anmelden können, die entweder Citrix Gateway oder Authentifizierungsserver im sicheren Netzwerk wie LDAP oder RADIUS erkennen. Autorisierungsrichtlinien definieren Benutzerberechtigungen und legen fest, auf welche Ressourcen ein bestimmter Benutzer zugreifen darf. Weitere Informationen zur Authentifizierung und Autorisierung finden Sie unter Konfigurieren von Authentifizierung und Autorisierung. Buchhaltungsserver verwalten Daten über Citrix Gateway-Aktivitäten, einschließlich Benutzeranmeldeereignisse, Ressourcenzugriffsinstanzen und Betriebsfehler. Diese Informationen werden auf Citrix Gateway oder auf einem externen Server gespeichert. Weitere Informationen zur Buchhaltung finden Sie unter Configuring Auditing on Citrix Gateway
  • Benutzerverbindungen. Benutzer können sich mithilfe der folgenden Zugriffsmethoden bei Citrix Gateway anmelden:

    • Der Citrix Secure Access Agent für Windows ist eine Software, die auf einem Windows-basierten Computer installiert ist. Benutzer melden sich an, indem sie mit der rechten Maustaste auf ein Symbol im Infobereich eines Windows-basierten Computers klicken. Wenn Benutzer einen Computer verwenden, auf dem Citrix Secure Access Agent nicht installiert ist, können sie sich mit einem Webbrowser anmelden, um das Plug-In herunterzuladen und zu installieren. Wenn Benutzer die Citrix Workspace-App installiert haben, melden sich Benutzer über die Citrix Workspace-App mit Citrix Secure Access Agent an. Wenn die Citrix Workspace-App und Citrix Secure Access Agent auf dem Benutzergerät installiert sind, fügt die Citrix Workspace-App Citrix Secure Access Agent automatisch hinzu.

    • Citrix Secure Access Agent für macOS X, mit dem sich Benutzer, die macOS X ausführen, anmelden können. Er hat dieselben Features und Funktionen wie Citrix Secure Access Agent für Windows. Sie können Endpoint Analysis-Unterstützung für diese Plug-In-Version bereitstellen, indem Sie Citrix ADC Gateway 10.1, Build 120.1316.e installieren.

    • Citrix Workspace-App, die Benutzerverbindungen zu veröffentlichten Anwendungen und virtuellen Desktops in einer Serverfarm mithilfe des Webinterface oder Citrix StoreFront ermöglicht.

    • Citrix Workspace-App, Secure Hub, WorxMail und WorxWeb, die Benutzern den Zugriff auf Web- und SaaS-Anwendungen, iOS- und Android-Mobilanwendungen sowie ShareFile-Daten ermöglichen, die in Citrix Endpoint Management gehostet werden.

    • Benutzer können von einem Android-Gerät aus eine Verbindung herstellen, das die Citrix Gateway-Webadresse verwendet. Wenn Benutzer eine App starten, verwendet die Verbindung Micro VPN, um den Netzwerkverkehr an das interne Netzwerk weiterzuleiten. Wenn Benutzer von einem Android-Gerät aus eine Verbindung herstellen, müssen Sie DNS-Einstellungen auf Citrix Gateway konfigurieren. Weitere Informationen finden Sie unter Unterstützung von DNS-Abfragen mithilfe von DNS-Suffixen für Android-Geräte.

    • Benutzer können von einem iOS-Gerät aus eine Verbindung herstellen, das die Citrix Gateway-Webadresse verwendet. Sie konfigurieren Secure Browse entweder global oder in einem Sitzungsprofil. Wenn Benutzer eine App auf ihrem iOS-Gerät starten, wird eine VPN-Verbindung gestartet und die Verbindung wird über Citrix Gateway geleitet.

    • Clientloser Zugriff, der Benutzern den Zugriff bietet, den sie benötigen, ohne Software auf dem Benutzergerät zu installieren.

      Bei der Konfiguration von Citrix Gateway können Sie Richtlinien erstellen, um zu konfigurieren, wie sich Benutzer anmelden. Sie können die Benutzeranmeldung auch einschränken, indem Sie Sitzungs- und Endpoint Analysis-Richtlinien erstellen.

  • Netzwerkressourcen. Dazu gehören alle Netzwerkdienste, auf die Benutzer über Citrix Gateway zugreifen, wie Dateiserver, Anwendungen und Websites.

  • Virtueller Adapter. Der virtuelle Citrix Gateway-Adapter unterstützt Anwendungen, die IP-Spoofing erfordern. Der virtuelle Adapter wird auf dem Benutzergerät installiert, wenn Citrix Secure Access Agent installiert ist. Wenn Benutzer eine Verbindung zum internen Netzwerk herstellen, verwendet die ausgehende Verbindung zwischen Citrix Gateway und internen Servern die Intranet-IP-Adresse als Quell-IP-Adresse. Citrix Secure Access Agent erhält diese IP-Adresse im Rahmen der Konfiguration vom Server.

    Wenn Sie Split-Tunneling auf Citrix Gateway aktivieren, wird der gesamte Intranet-Verkehr über den virtuellen Adapter geleitet. Beim Abfangen von intranetgebundenem Datenverkehr fängt der virtuelle Adapter DNS-Abfragen vom Typ A und AAAA ab, während alle anderen DNS-Abfragen intakt bleiben. Netzwerkverkehr, der nicht an das interne Netzwerk gebunden ist, wird über den auf dem Benutzergerät installierten Netzwerkadapter geleitet. Internet- und private LAN (LAN) -Verbindungen bleiben offen und verbunden. Wenn Sie das Split-Tunneling deaktivieren, werden alle Verbindungen über den virtuellen Adapter geroutet. Alle vorhandenen Verbindungen werden getrennt und der Benutzer muss die Sitzung erneut herstellen.

    Wenn Sie eine Intranet-IP-Adresse konfigurieren, wird der Datenverkehr zum internen Netzwerk über den virtuellen Adapter mit der Intranet-IP-Adresse gefälscht.

So funktionieren Benutzerverbindungen

Benutzer können von einem Remote-Standort aus eine Verbindung zu ihren E-Mails, Dateifreigaben und anderen Netzwerkressourcen herstellen. Benutzer können mit der folgenden Software eine Verbindung zu internen Netzwerkressourcen herstellen:

  • Citrix Secure Access Agent
  • Citrix Workspace-App
  • WorxMail und WorxWeb
  • Android- und iOS-Mobilgeräte

Verbinden mit Citrix Secure Access Agent

Citrix Secure Access Agent ermöglicht Benutzern den Zugriff auf Ressourcen im internen Netzwerk mit den folgenden Schritten:

  1. Ein Benutzer stellt zum ersten Mal eine Verbindung zu Citrix Gateway her, indem er die Webadresse in einen Webbrowser eingibt. Die Anmeldeseite wird angezeigt und der Benutzer wird aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. Wenn externe Authentifizierungsserver konfiguriert sind, kontaktiert Citrix Gateway den Server und die Authentifizierungsserver überprüfen die Anmeldeinformationen des Benutzers. Wenn die lokale Authentifizierung konfiguriert ist, führt Citrix Gateway die Benutzerauthentifizierung durch.
  2. Wenn Sie eine Vorauthentifizierungsrichtlinie konfigurieren und der Benutzer die Citrix Gateway-Webadresse in einem Webbrowser auf einem Windows-basierten Computer oder einem macOS X-Computer eingibt, prüft Citrix Gateway, ob clientbasierte Sicherheitsrichtlinien vorhanden sind, bevor die Anmeldeseite angezeigt wird. Die Sicherheitsüberprüfungen stellen sicher, dass das Benutzergerät die sicherheitsrelevanten Bedingungen wie Betriebssystemupdates, Antivirenschutz und eine ordnungsgemäß konfigurierte Firewall erfüllt. Wenn das Benutzergerät die Sicherheitsüberprüfung nicht besteht, blockiert Citrix Gateway den Benutzer an der Anmeldung. Ein Benutzer, der sich nicht anmelden kann, muss die erforderlichen Updates oder Pakete herunterladen und auf dem Benutzergerät installieren. Wenn das Benutzergerät die Vorauthentifizierungsrichtlinie übergibt, wird die Anmeldeseite angezeigt und der Benutzer kann die Anmeldedaten eingeben. Sie können Advanced Endpoint Analysis auf einem macOS X-Computer verwenden, wenn Sie Citrix Gateway 10.1, Build 120.1316.e installieren.
  3. Wenn Citrix Gateway den Benutzer erfolgreich authentifiziert, initiiert Citrix Gateway den VPN-Tunnel. Citrix Gateway fordert den Benutzer auf, Citrix Secure Access Agent für Windows oder Citrix Secure Access Agent für macOS X herunterzuladen und zu installieren. Wenn Sie das Network Gateway Plug-In für Java verwenden, wird das Benutzergerät auch mit einer Liste vorkonfigurierter Ressourcen-IP-Adressen und Portnummern initialisiert.
  4. Wenn Sie einen Scan nach der Authentifizierung konfigurieren, durchsucht Citrix Gateway nach der erfolgreichen Anmeldung eines Benutzers das Benutzergerät nach den erforderlichen Clientsicherheitsrichtlinien. Sie können dieselben sicherheitsrelevanten Bedingungen wie für eine Vorauthentifizierungsrichtlinie verlangen. Wenn das Benutzergerät den Scan nicht besteht, wird entweder die Richtlinie nicht angewendet oder der Benutzer wird in eine Quarantänegruppe versetzt und der Zugriff des Benutzers auf Netzwerkressourcen ist begrenzt.
  5. Wenn die Sitzung eingerichtet ist, wird der Benutzer zu einer Citrix Gateway-Homepage weitergeleitet, auf der der Benutzer Ressourcen für den Zugriff auswählen kann. Die Homepage, die in Citrix Gateway enthalten ist, wird Access Interface genannt. Wenn sich der Benutzer mit Citrix Secure Access Agent für Windows anmeldet, zeigt ein Symbol im Infobereich auf dem Windows-Desktop an, dass das Benutzergerät verbunden ist und der Benutzer eine Meldung erhält, dass die Verbindung hergestellt wurde. Der Benutzer kann auch auf Ressourcen im Netzwerk zugreifen, ohne das Access Interface zu verwenden, z. B. das Öffnen von Microsoft Outlook und das Abrufen von E-Mails.
  6. Wenn die Benutzeranforderung sowohl Sicherheitschecks vor als auch nach der Authentifizierung besteht, kontaktiert Citrix Gateway dann die angeforderte Ressource und stellt eine sichere Verbindung zwischen dem Benutzergerät und dieser Ressource her.
  7. Der Benutzer kann eine aktive Sitzung schließen, indem er im Infobereich eines Windows-basierten Computers mit der rechten Maustaste auf das Citrix Gateway-Symbol klickt und dann auf Abmelden klickt. Die Sitzung kann auch aufgrund von Inaktivität ausfallen. Wenn die Sitzung geschlossen wird, wird der Tunnel heruntergefahren und der Benutzer hat keinen Zugriff mehr auf interne Ressourcen. Der Benutzer kann die Citrix Gateway-Webadresse auch in einen Browser eingeben. Wenn der Benutzer die Eingabetaste drückt, wird das Access Interface angezeigt, von dem sich Benutzer abmelden können.

Hinweis: Wenn Sie Citrix Endpoint Management in Ihrem internen Netzwerk bereitstellen, muss ein Benutzer, der von außerhalb des internen Netzwerks eine Verbindung herstellt, zuerst eine Verbindung mit Citrix Gateway herstellen. Wenn der Benutzer die Verbindung herstellt, kann der Benutzer auf Web- und SaaS-Anwendungen, Android- und iOS-Mobilanwendungen sowie ShareFile-Daten zugreifen, die auf Citrix Endpoint Management gehostet werden. Ein Benutzer kann über den clientlosen Zugriff oder mithilfe der Citrix Workspace-App oder Secure Hub eine Verbindung mit Citrix Secure Access Agent herstellen.

Verbinden Sie sich mit der Citrix Workspace-App

Benutzer können sich mit der Citrix Workspace-App verbinden, um auf ihre Windows-basierten Anwendungen und virtuellen Desktops zuzugreifen. Benutzer können auch von Endpoint Management aus auf Anwendungen zugreifen. Um eine Verbindung von einem Remotestandort herzustellen, installieren Benutzer auch Citrix Secure Access Agent auf ihrem Gerät. Die Citrix Workspace-App fügt Citrix Secure Access Agent automatisch zur Liste der Plug-Ins hinzu. Wenn sich Benutzer bei der Citrix Workspace-App anmelden, können sie sich auch bei Citrix Secure Access Agent anmelden. Sie können Citrix Gateway auch so konfigurieren, dass es Single Sign-On bei Citrix Secure Access Agent durchführt, wenn sich Benutzer bei der Citrix Workspace-App anmelden.

Verbinden Sie sich mit iOS- und Android-Geräten

Benutzer können mithilfe von Secure Hub eine Verbindung von einem iOS- oder Android-Gerät herstellen. Benutzer können mithilfe von Secure Mail auf ihre E-Mails zugreifen und mit WorxWeb eine Verbindung zu Websites herstellen.

Wenn Benutzer über das mobile Gerät eine Verbindung herstellen, werden die Verbindungen über Citrix Gateway geleitet, um auf interne Ressourcen zuzugreifen. Wenn Benutzer eine Verbindung mit iOS herstellen, aktivieren Sie Secure Browse als Teil des Sitzungsprofils. Wenn Benutzer eine Verbindung mit Android herstellen, verwendet die Verbindung das Micro-VPN automatisch. Darüber hinaus verwenden Secure Mail und WorxWeb Micro VPN, um Verbindungen über Citrix Gateway herzustellen. Sie müssen Micro VPN nicht auf Citrix Gateway konfigurieren.

Über Citrix Gateway