Citrix Gateway

Gemeinsame Citrix Gateway-Bereitstellungen

Sie können Citrix Gateway am Umfang des internen Netzwerks (oder Intranets) Ihrer Organisation bereitstellen, um einen sicheren zentralen Zugriffspunkt auf die Server, Anwendungen und andere Netzwerkressourcen bereitzustellen, die sich im internen Netzwerk befinden. Alle Remote-Benutzer müssen eine Verbindung zu Citrix Gateway herstellen, bevor sie auf Ressourcen im internen Netzwerk zugreifen können.

Citrix Gateway wird am häufigsten an den folgenden Speicherorten in einem Netzwerk installiert:

  • Im Netzwerk DMZ
  • In einem sicheren Netzwerk ohne DMZ

Sie können Citrix Gateway auch mit Citrix Virtual Apps, Citrix Virtual Desktops, StoreFront und Citrix Endpoint Management bereitstellen, um Benutzern den Zugriff auf ihre Windows-, Web-, Mobil- und SaaS-Anwendungen zu ermöglichen. Wenn Ihre Bereitstellung Citrix Virtual Apps, StoreFront und Desktops 7 umfasst, können Sie Citrix Gateway in einer Single-Hop- oder Double-Hop-DMZ-Konfiguration bereitstellen. Eine Double-Hop-Bereitstellung wird mit früheren Versionen von Citrix Virtual Desktops oder Citrix Endpoint Management nicht unterstützt.

Weitere Informationen zum Erweitern Ihrer Citrix Gateway-Installation mit diesen und anderen unterstützten Citrix Lösungen finden Sie im Thema Integration mit Citrix Produkten .

Bereitstellen von Citrix Gateway in einer DMZ

Viele Unternehmen schützen ihr internes Netzwerk mit einer DMZ. Eine DMZ ist ein Subnetz, das zwischen dem sicheren internen Netzwerk einer Organisation und dem Internet (oder einem externen Netzwerk) liegt. Wenn Sie Citrix Gateway in der DMZ bereitstellen, stellen Benutzer eine Verbindung mit der Citrix Secure Access für Windows- oder Citrix Workspace-App her.

Abbildung 1. Citrix Gateway in der DMZ bereitgestellt

Citrix Gateway in der DMZ bereitgestellt

In der in der vorhergehenden Abbildung gezeigten Konfiguration installieren Sie Citrix Gateway in der DMZ und konfigurieren es so, dass eine Verbindung zum Internet und zum internen Netzwerk hergestellt wird.

Citrix Gateway-Konnektivität in einer DMZ

Wenn Sie Citrix Gateway in der DMZ bereitstellen, müssen Benutzerverbindungen die erste Firewall durchqueren, um eine Verbindung zu Citrix Gateway herzustellen. Standardmäßig verwenden Benutzerverbindungen SSL an Port 443, um diese Verbindung herzustellen. Damit Benutzerverbindungen das interne Netzwerk erreichen können, müssen Sie SSL an Port 443 über die erste Firewall zulassen.

Citrix Gateway entschlüsselt die SSL-Verbindungen vom Benutzergerät und stellt im Namen des Benutzers eine Verbindung zu den Netzwerkressourcen hinter der zweiten Firewall her. Die Ports, die durch die zweite Firewall geöffnet sein müssen, sind von den Netzwerkressourcen abhängig, auf die Sie externen Benutzern Zugriff gewähren.

Wenn Sie beispielsweise externen Benutzern den Zugriff auf einen Webserver im internen Netzwerk autorisieren und dieser Server auf HTTP-Verbindungen an Port 80 wartet, müssen Sie HTTP auf Port 80 über die zweite Firewall zulassen. Citrix Gateway stellt die Verbindung über die zweite Firewall zum HTTP-Server im internen Netzwerk im Namen der externen Benutzergeräte her.

Bereitstellen von Citrix Gateway in einem sicheren Netzwerk

Sie können Citrix Gateway im sicheren Netzwerk installieren. In diesem Szenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. Citrix Gateway ist in der Firewall, um den Zugriff auf die Netzwerkressourcen zu steuern.

Abbildung 1. Citrix Gateway wird im sicheren Netzwerk bereitgestellt

Bereitstellen von Citrix Gateway im sicheren Netzwerk

Wenn Sie Citrix Gateway im sicheren Netzwerk bereitstellen, verbinden Sie eine Schnittstelle auf Citrix Gateway mit dem Internet und die andere Schnittstelle mit Servern, die im sicheren Netzwerk ausgeführt werden. Das Einfügen von Citrix Gateway in das sichere Netzwerk bietet lokalen und Remote-Benutzern Zugriff. Da diese Konfiguration nur über eine Firewall verfügt, ist die Bereitstellung für Benutzer, die sich von einem Remote-Standort aus verbinden, weniger sicher. Obwohl Citrix Gateway Datenverkehr aus dem Internet abfängt, gelangt der Datenverkehr in das sichere Netzwerk, bevor Benutzer authentifiziert werden. Wenn Citrix Gateway in einer DMZ bereitgestellt wird, werden Benutzer authentifiziert, bevor der Netzwerkverkehr das sichere Netzwerk erreicht.

Wenn Citrix Gateway im sicheren Netzwerk bereitgestellt wird, müssen Verbindungen mit Citrix Secure Access für Windows die Firewall durchlaufen, um eine Verbindung zu Citrix Gateway herzustellen. Standardmäßig verwenden Benutzerverbindungen das SSL-Protokoll an Port 443, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 an der Firewall öffnen.

Gemeinsame Citrix Gateway-Bereitstellungen