Citrix Gateway

Vor dem Einstieg

Bevor Sie Citrix Gateway installieren, müssen Sie Ihre Infrastruktur bewerten und Informationen sammeln, um eine Zugriffsstrategie zu planen, die den spezifischen Anforderungen Ihres Unternehmens entspricht. Wenn Sie Ihre Zugriffsstrategie definieren, müssen Sie die Auswirkungen auf die Sicherheit berücksichtigen und eine Risikoanalyse durchführen. Sie müssen auch die Netzwerke festlegen, mit denen Benutzer eine Verbindung herstellen dürfen, und Richtlinien festlegen, die Benutzerverbindungen ermöglichen.

Neben der Planung der Ressourcen, die Benutzern zur Verfügung stehen, müssen Sie auch Ihr Bereitstellungsszenario planen. Citrix Gateway ist mit den folgenden Citrix Produkten kompatibel:

  • Citrix Endpoint Management
  • Citrix Virtual Apps
  • Citrix Virtual Desktops
  • StoreFront
  • Webinterface
  • Citrix SD-WAN

Weitere Informationen zur Bereitstellung von Citrix Gateway finden Sie unter Gemeinsame Bereitstellungenund Integration mit Citrix Produkten

Führen Sie bei der Vorbereitung Ihrer Zugriffsstrategie die folgenden vorbereitenden Schritte aus:

  • Identifizieren Sie Ressourcen. Listen Sie die Netzwerkressourcen auf, für die Sie Zugriff gewähren möchten, z. B. Web, SaaS, mobile oder veröffentlichte Anwendungen, virtuelle Desktops, Dienste und Daten, die Sie in Ihrer Risikoanalyse definiert haben.
  • Entwickeln Sie Zugriffsszenarien. Erstellen Sie Zugriffsszenarien, die beschreiben, wie Benutzer auf Netzwerkressourcen zugreifen. Ein Zugriffsszenario wird durch den virtuellen Server definiert, der für den Zugriff auf das Netzwerk verwendet wird, Endpoint Analysis-Scanergebnisse, Authentifizierungstyp oder eine Kombination davon. Sie können auch festlegen, wie sich Benutzer am Netzwerk anmelden.
  • Identifizieren Sie Clientsoftware. Sie können vollen VPN-Zugriff mit Citrix Secure Access Agent bereitstellen, sodass sich Benutzer mit der Citrix Workspace-App, Secure Hub oder mithilfe des clientlosen Zugriffs anmelden müssen. Sie können auch den E-Mail-Zugriff auf Outlook Web App oder WorxMail einschränken. Diese Zugriffsszenarien bestimmen auch die Aktionen, die Benutzer ausführen können, wenn sie Zugriff erhalten. Sie können beispielsweise angeben, ob Benutzer Dokumente mithilfe einer veröffentlichten Anwendung oder durch Herstellen einer Verbindung zu einer Dateifreigabe ändern können.
  • Verknüpfen Sie Richtlinien Benutzern, Gruppen oder virtuellen Servern. Die Richtlinien, die Sie auf Citrix Gateway erstellen, werden durchgesetzt, wenn die Person oder die Gruppe von Benutzern bestimmte Bedingungen erfüllt. Sie legen die Bedingungen basierend auf den von Ihnen erstellten Zugriffsszenarien fest. Anschließend erstellen Sie Richtlinien, die die Sicherheit Ihres Netzwerks erhöhen, indem Sie die Ressourcen steuern, auf die Benutzer zugreifen können, und die Aktionen, die Benutzer für diese Ressourcen ausführen können. Sie verknüpfen die Richtlinien entsprechenden Benutzern, Gruppen, virtuellen Servern oder global.

Dieser Abschnitt enthält die folgenden Themen, die Ihnen bei der Planung Ihrer Zugriffsstrategie helfen sollen:

  • Planning for Security beinhaltet Informationen über Authentifizierung und Zertifikate.
  • Voraussetzungen, die Netzwerkhardware und -software definieren, die Sie möglicherweise benötigen.
  • Die Checkliste vor der Installation, mit der Sie Ihre Einstellungen notieren können, bevor Sie Citrix Gateway konfigurieren.

Voraussetzungen für die Installation von Citrix Gateway

Bevor Sie Einstellungen auf Citrix Gateway konfigurieren, überprüfen Sie die folgenden Voraussetzungen:

  • Citrix Gateway ist physisch in Ihrem Netzwerk installiert und hat Zugriff auf das Netzwerk. Citrix Gateway wird in der DMZ oder im internen Netzwerk hinter einer Firewall bereitgestellt. Sie können Citrix Gateway auch in einer Double-Hop-DMZ konfigurieren und Verbindungen zu einer Serverfarm konfigurieren. Citrix empfiehlt, die Appliance in der DMZ bereitzustellen.
  • Sie konfigurieren Citrix Gateway mit einem Standardgateway oder mit statischen Routen zum internen Netzwerk, damit Benutzer auf Ressourcen im Netzwerk zugreifen können. Citrix Gateway ist standardmäßig für die Verwendung statischer Routen konfiguriert.
  • Die für die Authentifizierung und Autorisierung verwendeten externen Server werden konfiguriert und ausgeführt. Weitere Informationen finden Sie unter Authentifizierung und Autorisierung.
  • Das Netzwerk verfügt über einen Domänennamenserver (DNS) oder Windows Internet Naming Service (WINS) -Server zur Namensauflösung, um die korrekte Citrix Gateway-Benutzerfunktionalität bereitzustellen.
  • Sie haben die universellen Lizenzen für Benutzerverbindungen mit Citrix Secure Access Agent von der Citrix Website heruntergeladen und die Lizenzen können auf Citrix Gateway installiert werden.
  • Citrix Gateway verfügt über ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert ist. Weitere Informationen finden Sie unter Installieren und Verwalten von Zertifikaten.

Verwenden Sie vor der Installation von Citrix Gateway die Checkliste vor der Installation, um Ihre Einstellungen aufzuschreiben.

Planen für Sicherheit

Bei der Planung Ihrer Citrix Gateway-Bereitstellung müssen Sie die grundlegenden Sicherheitsprobleme im Zusammenhang mit Zertifikaten sowie der Authentifizierung und Autorisierung verstehen.

Konfiguration der sicheren Zertifikatsverwaltung

Standardmäßig enthält Citrix Gateway ein selbstsigniertes Secure Sockets Layer (SSL) -Serverzertifikat, mit dem die Appliance SSL-Handshakes abschließen kann. Selbstsignierte Zertifikate eignen sich zum Testen oder für Beispielbereitstellungen, aber Citrix empfiehlt nicht, sie für Produktionsumgebungen zu verwenden. Bevor Sie Citrix Gateway in einer Produktionsumgebung bereitstellen, empfiehlt Citrix, dass Sie ein signiertes SSL-Serverzertifikat von einer bekannten Zertifizierungsstelle (CA) anfordern, empfangen und auf Citrix Gateway hochladen.

Wenn Sie Citrix Gateway in einer Umgebung bereitstellen, in der Citrix Gateway als Client in einem SSL-Handshake arbeiten muss (verschlüsselte Verbindungen mit einem anderen Server initiieren), müssen Sie auch ein vertrauenswürdiges Stammzertifikat auf Citrix Gateway installieren. Wenn Sie beispielsweise Citrix Gateway mit Citrix Virtual Apps und dem Webinterface bereitstellen, können Sie Verbindungen von Citrix Gateway zum Webinterface mit SSL verschlüsseln. In dieser Konfiguration müssen Sie ein vertrauenswürdiges Stammzertifikat auf Citrix Gateway installieren.

Unterstützung der Authentifizierung

Sie können Citrix Gateway so konfigurieren, dass Benutzer authentifiziert und die Zugriffsebene (oder Autorisierung) gesteuert werden, die Benutzer auf die Netzwerkressourcen im internen Netzwerk haben.

Vor der Bereitstellung von Citrix Gateway muss Ihre Netzwerkumgebung über die Verzeichnisse und Authentifizierungsserver verfügen, um einen der folgenden Authentifizierungstypen zu unterstützen:

  • LDAP
  • RADIUS
  • TACACS+
  • Clientzertifikat mit Auditing und Smartcard-Unterstützung
  • RSA mit RADIUS-Konfiguration
  • SAML-Authentifizierung

Wenn Ihre Umgebung keinen dieser Authentifizierungstypen unterstützt oder Sie eine kleine Anzahl von Remotebenutzern haben, können Sie eine Liste lokaler Benutzer auf Citrix Gateway erstellen. Sie können dann Citrix Gateway so konfigurieren, dass Benutzer anhand dieser lokalen Liste authentifiziert werden. Bei dieser Konfiguration müssen Sie keine Benutzerkonten in einem separaten, externen Verzeichnis verwalten.

Schützen Sie Ihre Citrix Gateway-Bereitstellung

Verschiedene Bereitstellungen können unterschiedliche Sicherheitsüberlegungen erfordern. Die Richtlinien zur sicheren Bereitstellung von Citrix ADC bieten allgemeine Sicherheitshinweise, die Ihnen bei der Entscheidung für eine geeignete sichere Bereitstellung basierend auf Ihren speziellen Sicherheitsanforderungen helfen.

Einzelheiten finden Sie unter Citrix ADC Richtlinien für sichere Bereitstellung.

Vor dem Einstieg