Citrix Gateway

So verbinden sich Benutzer mit Citrix Secure Access Agent

Citrix Gateway funktioniert wie folgt:

  • Wenn Benutzer versuchen, über den VPN-Tunnel auf Netzwerkressourcen zuzugreifen, verschlüsselt Citrix Secure Access Agent den gesamten Netzwerkverkehr, der für das interne Netzwerk der Organisation bestimmt ist, und leitet die Pakete an Citrix Gateway weiter.
  • Citrix Gateway beendet den SSL-Tunnel, akzeptiert eingehenden Datenverkehr, der für das private Netzwerk bestimmt ist, und leitet den Datenverkehr an das private Netzwerk weiter. Citrix Gateway sendet den Datenverkehr über einen sicheren Tunnel zurück zum Remotecomputer.

Wenn Benutzer die Webadresse eingeben, erhalten sie eine Anmeldeseite, auf der sie ihre Anmeldeinformationen eingeben und sich anmelden. Wenn die Anmeldeinformationen korrekt sind, beendet Citrix Gateway den Handshake mit dem Benutzergerät.

Wenn Benutzer hinter einem Proxyserver sind, können sie den Proxyserver und die Authentifizierungsinformationen angeben. Weitere Informationen finden Sie unter Aktivieren der Proxy-Unterstützung für Benutzerverbindungen.

Citrix Secure Access Agent ist auf dem Benutzergerät installiert. Wenn sich Benutzer nach der ersten Verbindung mit einem Windows-basierten Computer anmelden, können sie das Symbol im Infobereich verwenden, um die Verbindung herzustellen.

Stellen Sie den sicheren Tunnel her

Wenn Benutzer eine Verbindung mit Citrix Secure Access Agent, Secure Hub oder der Citrix Workspace-App herstellen, richtet die Clientsoftware einen sicheren Tunnel über Port 443 (oder einen beliebigen konfigurierten Port auf Citrix Gateway) ein und sendet Authentifizierungsinformationen. Wenn der Tunnel eingerichtet ist, sendet Citrix Gateway Konfigurationsinformationen an Citrix Secure Access Agent, Secure Hub oder die Citrix Workspace-App, die die zu sichernden Netzwerke beschreiben und eine IP-Adresse enthalten, wenn Sie Adresspools aktivieren.

Tunnel des privaten Netzwerkverkehrs über sichere Verbindungen

Wenn Citrix Secure Access Agent gestartet wird und der Benutzer authentifiziert ist, wird der gesamte Netzwerkverkehr, der für bestimmte private Netzwerke bestimmt ist, erfasst und über den sicheren Tunnel zu Citrix Gateway umgeleitet. Die Citrix Workspace-App muss Citrix Secure Access Agent unterstützen, um die Verbindung über den sicheren Tunnel herzustellen, wenn sich Benutzer anmelden.

Secure Hub, Secure Mail und WorxWeb verwenden Micro VPN, um den sicheren Tunnel für iOS- und Android-Mobilgeräte einzurichten.

Citrix Gateway fängt alle Netzwerkverbindungen ab, die das Benutzergerät herstellt, und multiplext sie über Secure Sockets Layer (SSL) zu Citrix Gateway, wo der Datenverkehr demultiplext wird und die Verbindungen an die richtige Kombination aus Host und Port weitergeleitet werden.

Die Verbindungen unterliegen administrativen Sicherheitsrichtlinien, die für eine einzelne Anwendung, eine Teilmenge von Anwendungen oder ein ganzes Intranet gelten. Sie geben die Ressourcen (Bereiche von IP-Adressen/Subnetzpaaren) an, auf die Remotebenutzer über die VPN-Verbindung zugreifen können.

Citrix Secure Access Agent fängt die folgenden Protokolle für die definierten Intranetanwendungen ab und tunnelt sie:

  • TCP (alle Ports)
  • UDP (alle Ports)
  • ICMP (Typen 8 und 0 - Echo Request/Reply)

Verbindungen von lokalen Anwendungen auf dem Benutzergerät werden sicher an Citrix Gateway getunnelt, wodurch die Verbindungen zum Zielserver wiederhergestellt werden. Zielserver sehen Verbindungen als vom lokalen Citrix Gateway im privaten Netzwerk stammend an und verbergen so das Benutzergerät. Dies wird auch als umgekehrte Netzwerkadressübersetzung (NAT) bezeichnet. Das Ausblenden von IP-Adressen erhöht die Sicherheit der Quellspeicherorte.

Lokal auf dem Benutzergerät wird der gesamte verbindungsbezogene Datenverkehr wie SYN-ACK-, PUSH-, ACK- und FIN-Pakete von Citrix Secure Access Agent neu erstellt, sodass er vom privaten Server angezeigt wird.

Verbinden Sie sich über Firewalls und Proxys

Benutzer von Citrix Secure Access Agent sind manchmal in der Firewall einer anderen Organisation, wie in der folgenden Abbildung dargestellt:

Benutzerverbindung über zwei interne Firewalls

NAT-Firewalls verwalten eine Tabelle, die es ihnen ermöglicht, sichere Pakete von Citrix Gateway zurück zum Benutzergerät zu leiten. Für leitungsorientierte Verbindungen verwaltet Citrix Gateway eine Port-zugeordnete, umgekehrte NAT-Übersetzungstabelle. Mit der umgekehrten NAT-Übersetzungstabelle kann Citrix Gateway Verbindungen abgleichen und Pakete mit den richtigen Portnummern über den Tunnel an das Benutzergerät zurücksenden, damit die Pakete zur richtigen Anwendung zurückkehren.

Steuern der Aktualisierung von Citrix Secure Access Agent

Systemadministratoren steuern, wie das Citrix ADC-Plug-In funktioniert, wenn seine Version nicht mit der Citrix Gateway-Revision übereinstimmt. Die neuen Optionen steuern das Plug-In-Upgrade-Verhalten für Mac und Windows oder Betriebssysteme.

Für VPN-Plug-Ins kann die Upgrade-Option an zwei Stellen in der Benutzeroberfläche der Citrix ADC Appliance festgelegt werden:

  • Bei den globalen Einstellungen
  • Auf der Ebene des Sitzungsprofils

Anforderungen

  • Windows EPA- und VPN-Plug-In-Version muss größer als 11.0.0.0 sein

  • Die Mac EPA-Plug-In-Version muss größer als 3.0.0.31 sein

  • Die Mac-VPN-Plug-In-Version muss größer als 3.1.4 sein (357)

Hinweis: Wenn die Citrix ADC Appliance auf die Version 11.0 aktualisiert wird, werden alle vorherigen VPN (und EPA) -Plug-Ins unabhängig von der Konfiguration der Upgrade-Steuerung auf die neueste Version aktualisiert. Bei nachfolgenden Upgrades respektieren sie die vorherige Konfiguration der Upgrade-Steuerung.

Plug-In-Verhalten

Für jeden Clienttyp ermöglicht Citrix Gateway die folgenden drei Optionen zur Steuerung des Plug-In-Upgrade-Verhaltens:

  • Immer

Das Plug-In wird immer dann aktualisiert, wenn die Plug-In-Version des Endbenutzers nicht mit dem mit der Citrix ADC Appliance gelieferten Plug-In übereinstimmt. Dies ist das Standardverhalten. Wählen Sie diese Option, wenn Sie nicht möchten, dass mehrere Plug-In-Versionen in Ihrem Unternehmen ausgeführt werden.

  • Wesentlich (und Sicherheit)

Das Plug-In wurde nur aktualisiert, wenn es für notwendig erachtet wird. Upgrades werden unter den folgenden beiden Umständen als notwendig erachtet:

  • Das installierte Plug-In ist nicht mit der aktuellen Citrix ADC Appliance-Version kompatibel.

  • Das installierte Plug-In muss für die notwendige Sicherheitskorrektur aktualisiert werden.

Wählen Sie diese Option, wenn Sie die Anzahl der Plug-In-Upgrades minimieren möchten, aber keine Plug-In-Sicherheitsupdates verpassen möchten

  • Nie

Das Plug-In wird nicht aktualisiert.

CLI-Parameter zur Steuerung des VPN-Plug-In-Upgrades

Citrix Gateway unterstützt zwei Arten von Plug-Ins (EPA und VPN) für Windows- und Mac-Betriebssysteme. Um die Upgrade-Steuerung des VPN-Plug-Ins auf Sitzungsebene zu unterstützen, unterstützt Citrix Gateway zwei Sitzungsprofilparameter mit den Namen WindowsInPluginUpgrade und MacPluginUpgrade.

Diese Parameter sind auf globaler, virtueller Server-, Gruppen- und Benutzerebene verfügbar. Jeder Parameter kann den Wert Always, Essential oder Never haben. Eine Beschreibung dieser Parameter finden Sie unter Plug-In-Verhalten.

CLI-Parameter zur Steuerung des EPA-Plug-In-Upgrades

Citrix Gateway unterstützt EPA-Plug-Ins für Windows- und Mac-Betriebssysteme. Zur Unterstützung der EPA-Plug-In-Upgrade-Steuerung auf virtueller Serverebene unterstützt Citrix Gateway zwei virtuelle Serverparameter mit den Namen windowsEPAPluginUpgrade und macEPAPluginUpgrade.

Die Parameter sind auf der Ebene des virtuellen Servers verfügbar. Jeder Parameter kann den Wert Always, Essential oder Never haben. Eine Beschreibung dieser Parameter finden Sie unter Plug-In-Verhalten.

VPN-Konfiguration

Befolgen Sie diese Schritte für die VPN-Konfiguration von Windows-, Linux- und Mac-Plug-Ins.

  1. Wechseln Sie zu Citrix ADC > Richtlinien > Sitzung.

  2. Wählen Sie die gewünschte Sitzungsrichtlinie aus und klicken Sie dann auf Bearbeiten.

  3. Wählen Sie die Registerkarte Kundenerlebnis

    Einstellungen auf der Registerkarte Clienterfahr

  4. Diese Optionen in den Dialogfeldern beeinflussen das Upgrade-Verhalten.

    • Immer
    • Wesentlich
    • Niemals Die Standardeinstellung ist Immer.
  5. Aktivieren Sie das Kontrollkästchen rechts neben jeder Option. Wählen Sie die Häufigkeit für die Anwendung des Upgrade-Verhaltens

Upgrade-Option

EPA-Konfiguration

Befolgen Sie diese Schritte für die EPA-Konfiguration von Windows-, Linux- und Apple-Plug-Ins.

  1. Wechseln Sie zu Citrix Gateway > Virtuelle Server.

  2. Wählen Sie einen Server aus und klicken Sie auf die Schaltfläche Bearbeiten .

  3. Klicken Sie auf das Stiftsymbol .

    Bleistift-Symbol

  4. Klicken Sie auf Mehr

    Weitere Einstellungen

  5. Die angezeigten Dialogfelder wirken sich auf das Upgrade-Verhalten aus. Es gibt folgende Optionen:

    • Immer
    • Wesentlich
    • Nie

    Upgrade-Option

So verbinden sich Benutzer mit Citrix Secure Access Agent