Déploiement dans la zone DMZ

De nombreuses organisations protègent leur réseau interne avec une zone démilitarisée. Une zone démilitarisée est un sous-réseau qui se trouve entre le réseau interne sécurisé d’une organisation et Internet (ou tout autre réseau externe). Lorsque vous déployez Citrix Gateway dans la zone DMZ, les utilisateurs se connectent avec le plug-in Citrix Gateway ou Citrix Receiver.

Figure 1. Citrix Gateway déployé dans la DMZ

Citrix Gateway déployé dans la DMZ

Dans la configuration illustrée dans la figure précédente, vous installez Citrix Gateway dans la zone DMZ et configurez-le pour qu’il se connecte à Internet et au réseau interne.

Connectivité Citrix Gateway dans la zone DMZ

Lorsque vous déployez Citrix Gateway dans la zone DMZ, les connexions utilisateur doivent traverser le premier pare-feu pour se connecter à Citrix Gateway. Par défaut, les connexions utilisateur utilisent SSL sur le port 443 pour établir cette connexion. Pour permettre aux connexions utilisateur d’atteindre le réseau interne, vous devez autoriser SSL sur le port 443 via le premier pare-feu.

Citrix Gateway décrypte les connexions SSL de la machine utilisateur et établit une connexion pour le compte de l’utilisateur aux ressources réseau derrière le deuxième pare-feu. Les ports qui doivent être ouverts via le deuxième pare-feu dépendent des ressources réseau auxquelles vous autorisez les utilisateurs externes à accéder.

Par exemple, si vous autorisez des utilisateurs externes à accéder à un serveur Web dans le réseau interne et que ce serveur écoute les connexions HTTP sur le port 80, vous devez autoriser HTTP sur le port 80 via le deuxième pare-feu. Citrix Gateway établit la connexion via le deuxième pare-feu au serveur HTTP sur le réseau interne au nom des machines utilisateur externes.

Déploiement dans la zone DMZ