Citrix Gateway

À propos de Citrix Gateway

Citrix Gateway est facile à déployer et à administrer. La configuration de déploiement la plus courante consiste à localiser l’appliance Citrix Gateway dans la zone démilitarisée. Vous pouvez installer plusieurs appliances Citrix Gateway sur le réseau pour des déploiements plus complexes.

La première fois que vous démarrez Citrix Gateway, vous pouvez effectuer la configuration initiale à l’aide d’une console série, de l’assistant d’installation de l’utilitaire de configuration ou du protocole DHCP (Dynamic Host Configuration Protocol). Sur l’appliance MPX, vous pouvez utiliser le clavier LCD situé sur le panneau avant de l’appliance pour effectuer la configuration initiale. Vous pouvez configurer des paramètres de base spécifiques à votre réseau interne, tels que l’adresse IP, le masque de sous-réseau, l’adresse IP de la passerelle par défaut et l’adresse DNS (Domain Name System). Après avoir configuré les paramètres réseau de base, vous configurez ensuite les paramètres spécifiques à l’opération Citrix Gateway, tels que les options d’authentification, d’autorisation, de ressources réseau, de serveurs virtuels, de stratégies de session et de stratégies de point de terminaison.

Avant d’installer et de configurer Citrix Gateway, consultez les rubriques de cette section pour obtenir des informations sur la planification de votre déploiement. La planification du déploiement peut inclure la détermination de l’emplacement d’installation de l’appliance, la compréhension de la procédure d’installation de plusieurs appliances dans la zone démilitarisée et les exigences de licence. Vous pouvez installer Citrix Gateway dans n’importe quelle infrastructure réseau sans devoir modifier le matériel ou les logiciels existants exécutés sur le réseau sécurisé. Citrix Gateway prend en charge d’autres produits de mise en réseau, tels que les équilibreurs de charge de serveur, les moteurs de cache, les pare-feu, les routeurs et les périphériques sans fil IEEE 802.11.

Vous pouvez écrire vos paramètres dans la liste de contrôle de pré-installation avant de configurer Citrix Gateway.

   
Appliances Citrix Gateway Fournit des informations sur les appliances Citrix Gateway et les instructions d’installation de l’appliance.
Check-list d’installation Fournit des informations de planification à examiner et une liste des tâches à effectuer avant d’installer Citrix Gateway sur votre réseau.
Déploiements courants Fournit des informations sur le déploiement de Citrix Gateway dans la zone démilitarisée du réseau, dans un réseau sécurisé sans zone démilitarisée et avec d’autres appliances pour prendre en charge l’équilibrage de charge et le basculement. Fournit également des informations sur le déploiement de Citrix Gateway avec Citrix Virtual Apps and Desktops.
Gestion des licences Fournit des informations sur l’installation des licences sur l’appliance. Fournit également des informations sur l’installation de licences sur plusieurs appliances Citrix Gateway.

Architecture Citrix Gateway

Les principaux composants de Citrix Gateway sont les suivants :

  • Serveurs virtuels. Le serveur virtuel Citrix Gateway est une entité interne représentative de tous les services configurés disponibles pour les utilisateurs. Le serveur virtuel est également le point d’accès par lequel les utilisateurs accèdent à ces services. Vous pouvez configurer plusieurs serveurs virtuels sur un seul dispositif, ce qui permet à un dispositif Citrix Gateway de servir plusieurs communautés d’utilisateurs avec des exigences d’authentification et d’accès aux ressources différentes.

  • Authentification, autorisation et comptabilité. Vous pouvez configurer l’authentification, l’autorisation et la gestion des comptes pour permettre aux utilisateurs de se connecter à Citrix Gateway avec des informations d’identification que Citrix Gateway ou les serveurs d’authentification situés sur le réseau sécurisé, tels que LDAP ou RADIUS, reconnaissent. Les stratégies d’autorisation définissent les autorisations des utilisateurs, déterminant les ressources auxquelles un utilisateur donné est autorisé à accéder. Pour plus d’informations sur l’authentification et l’autorisation, consultez Configuration de l’authentification et de l’autorisation. Les serveurs de comptabilité conservent les données relatives à l’activité de Citrix Gateway, y compris les événements d’ouverture de session des utilisateurs, les instances d’accès aux ressources et les erreurs opérationnelles. Ces informations sont stockées sur Citrix Gateway ou sur un serveur externe. Pour plus d’informations sur la gestion des comptes, consultez Configuration de l’audit sur Citrix Gateway
  • Connexions utilisateur. Les utilisateurs peuvent ouvrir une session sur Citrix Gateway en utilisant les méthodes d’accès suivantes :

    • L’agent Citrix Secure Access pour Windows est un logiciel installé sur un ordinateur Windows. Les utilisateurs ouvrent une session en cliquant avec le bouton droit de la souris sur une icône dans la zone de notification d’un ordinateur Windows. Si les utilisateurs utilisent un ordinateur sur lequel l’agent Citrix Secure Access n’est pas installé, ils peuvent ouvrir une session à l’aide d’un navigateur Web pour télécharger et installer le plug-in. Si l’application Citrix Workspace est installée, les utilisateurs ouvrent une session avec l’agent Citrix Secure Access à partir de l’application Citrix Workspace. Lorsque l’application Citrix Workspace et l’agent Citrix Secure Access sont installés sur la machine utilisateur, l’application Citrix Workspace ajoute automatiquement l’agent Citrix Secure Access.

    • L’agent Citrix Secure Access pour macOS X qui permet aux utilisateurs exécutant macOS X de se connecter. Il possède les mêmes caractéristiques et fonctions que l’agent Citrix Secure Access pour Windows. Vous pouvez fournir une prise en charge de l’analyse des points de terminaison pour cette version de plug-in en installant Citrix ADC Gateway 10.1, Build 120.1316.e.

    • Application Citrix Workspace qui permet aux utilisateurs de se connecter aux applications publiées et aux bureaux virtuels dans une batterie de serveurs à l’aide de l’interface Web ou de Citrix StoreFront.

    • Application Citrix Workspace, Secure Hub, WorxMail et WorxWeb qui permettent aux utilisateurs d’accéder aux applications Web et SaaS, aux applications mobiles iOS et Android et aux données ShareFile hébergées dans Citrix Endpoint Management.

    • Les utilisateurs peuvent se connecter à partir d’un appareil Android qui utilise l’adresse Web Citrix Gateway. Lorsque les utilisateurs démarrent une application, la connexion utilise Micro VPN pour acheminer le trafic réseau vers le réseau interne. Si les utilisateurs se connectent à partir d’un appareil Android, vous devez configurer les paramètres DNS sur Citrix Gateway. Pour plus d’informations, consultez Prise en charge des requêtes DNS à l’aide de suffixes DNS pour les appareils Android.

    • Les utilisateurs peuvent se connecter à partir d’un appareil iOS qui utilise l’adresse Web Citrix Gateway. Vous configurez la Secure Browse soit globalement, soit dans un profil de session. Lorsque les utilisateurs démarrent une application sur leur appareil iOS, une connexion VPN démarre et la connexion passe par Citrix Gateway.

    • Accès sans client qui fournit aux utilisateurs l’accès dont ils ont besoin sans installer de logiciel sur la machine utilisateur.

      Lorsque vous configurez Citrix Gateway, vous pouvez créer des stratégies pour configurer la façon dont les utilisateurs ouvrent une session. Vous pouvez également restreindre l’ouverture de session des utilisateurs en créant des stratégies d’analyse de session et de point de terminaison.

  • Ressources réseau. Il s’agit notamment de tous les services réseau auxquels les utilisateurs accèdent via Citrix Gateway, tels que les serveurs de fichiers, les applications et les sites Web.

  • Adaptateur virtuel. L’adaptateur virtuel Citrix Gateway prend en charge les applications qui nécessitent une usurpation d’adresse IP. L’adaptateur virtuel est installé sur la machine utilisateur lorsque l’agent Citrix Secure Access est installé. Lorsque les utilisateurs se connectent au réseau interne, la connexion sortante entre Citrix Gateway et les serveurs internes utilise l’adresse IP intranet comme adresse IP source. L’agent Citrix Secure Access reçoit cette adresse IP du serveur dans le cadre de la configuration.

    Si vous activez le split tunneling sur Citrix Gateway, tout le trafic intranet est acheminé via l’adaptateur virtuel. Lors de l’interception du trafic lié à l’intranet, la carte virtuelle intercepte les requêtes DNS de type d’enregistrement A et AAAA tout en laissant toutes les autres requêtes DNS intactes. Le trafic réseau qui n’est pas lié au réseau interne est acheminé via la carte réseau installée sur la machine utilisateur. Les connexions Internet et LAN privé (LAN) restent ouvertes et connectées. Si vous désactivez le split tunneling, toutes les connexions sont routées via l’adaptateur virtuel. Toutes les connexions existantes sont déconnectées et l’utilisateur doit rétablir la session.

    Si vous configurez une adresse IP intranet, le trafic vers le réseau interne est falsifié avec l’adresse IP intranet via la carte virtuelle.

Fonctionnent des connexions utilisateur

Les utilisateurs peuvent se connecter à leurs e-mails, partages de fichiers et autres ressources réseau à partir d’un emplacement distant. Les utilisateurs peuvent se connecter aux ressources réseau internes à l’aide des logiciels suivants :

  • Agent Citrix Secure Access
  • Application Citrix Workspace
  • WorxMail et WorxWeb
  • Appareils mobiles Android et iOS

Connectez-vous à l’agent Citrix Secure Access

L’agent Citrix Secure Access permet aux utilisateurs d’accéder aux ressources du réseau interne en suivant les étapes suivantes :

  1. Un utilisateur se connecte à Citrix Gateway pour la première fois en saisissant l’adresse Web dans un navigateur Web. La page de connexion apparaît et l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe. Si des serveurs d’authentification externes sont configurés, Citrix Gateway contacte le serveur et les serveurs d’authentification vérifient les informations d’identification de l’utilisateur. Si l’authentification locale est configurée, Citrix Gateway effectue l’authentification de l’utilisateur.
  2. Si vous configurez une stratégie de pré-authentification, lorsque l’utilisateur tape l’adresse Web Citrix Gateway dans un navigateur Web sur un ordinateur Windows ou macOS X, Citrix Gateway vérifie si des stratégies de sécurité basées sur le client sont en place avant l’affichage de la page d’ouverture de session. Les vérifications de sécurité vérifient que la machine utilisateur répond aux conditions de sécurité, telles que les mises à jour du système d’exploitation, la protection antivirus et un pare-feu correctement configuré. Si la machine utilisateur échoue au contrôle de sécurité, Citrix Gateway empêche l’utilisateur de se connecter. Un utilisateur qui ne peut pas ouvrir de session doit télécharger les mises à jour ou packages nécessaires et les installer sur la machine utilisateur. Lorsque la machine utilisateur passe la stratégie de pré-authentification, la page d’ouverture de session s’affiche et l’utilisateur peut entrer les informations d’identification de connexion. Vous pouvez utiliser Advanced Endpoint Analysis sur un ordinateur macOS X si vous installez Citrix Gateway 10.1, Build 120.1316.e.
  3. Lorsque Citrix Gateway authentifie l’utilisateur, Citrix Gateway lance le tunnel VPN. Citrix Gateway invite l’utilisateur à télécharger et à installer l’agent Citrix Secure Access pour Windows ou l’agent Citrix Secure Access pour macOS X. Si vous utilisez le plug-in Network Gateway pour Java, la machine utilisateur est également initialisée avec une liste d’adresses IP de ressources et de numéros de port préconfigurés.
  4. Si vous configurez une analyse post-authentification, une fois qu’un utilisateur a réussi à se connecter, Citrix Gateway analyse la machine utilisateur à la recherche des stratégies de sécurité client requises. Vous pouvez exiger les mêmes conditions de sécurité que pour une stratégie de pré-authentification. Si la machine utilisateur échoue à l’analyse, la stratégie n’est pas appliquée ou l’utilisateur est placé dans un groupe de quarantaine et l’accès de l’utilisateur aux ressources réseau est limité.
  5. Lorsque la session est établie, l’utilisateur est dirigé vers une page d’accueil de Citrix Gateway où il peut sélectionner les ressources auxquelles il doit accéder. La page d’accueil incluse dans Citrix Gateway s’appelle l’interface d’accès. Si l’utilisateur ouvre une session à l’aide de l’agent Citrix Secure Access pour Windows, une icône dans la zone de notification sur le bureau Windows indique que la machine utilisateur est connectée et l’utilisateur reçoit un message indiquant que la connexion est établie. L’utilisateur peut également accéder aux ressources du réseau sans utiliser l’interface d’accès, par exemple en ouvrant Microsoft Outlook et en récupérant des e-mails.
  6. Si la demande de l’utilisateur réussit les vérifications de sécurité de pré-authentification et de post-authentification, Citrix Gateway contacte ensuite la ressource demandée et établit une connexion sécurisée entre la machine utilisateur et cette ressource.
  7. L’utilisateur peut fermer une session active en cliquant avec le bouton droit de la souris sur l’icône Citrix Gateway dans la zone de notification d’un ordinateur Windows, puis en cliquant sur Fermer la session. La session peut également être dépassé en raison d’une inactivité. Lorsque la session est fermée, le tunnel est arrêté et l’utilisateur n’a plus accès aux ressources internes. L’utilisateur peut également saisir l’adresse Web Citrix Gateway dans un navigateur. Lorsque l’utilisateur appuie sur Entrée, l’interface d’accès apparaît à partir de laquelle les utilisateurs peuvent se déconnecter.

Remarque : Si vous déployez Citrix Endpoint Management sur votre réseau interne, un utilisateur qui se connecte depuis l’extérieur du réseau interne doit d’abord se connecter à Citrix Gateway. Lorsque l’utilisateur établit la connexion, il peut accéder aux applications Web et SaaS, aux applications mobiles Android et iOS et aux données ShareFile hébergées sur Citrix Endpoint Management. Un utilisateur peut se connecter à l’agent Citrix Secure Access via un accès sans client, ou en utilisant l’application Citrix Workspace ou Secure Hub.

Connectez-vous avec l’application Citrix Workspace

Les utilisateurs peuvent se connecter à l’application Citrix Workspace pour accéder à leurs applications Windows et à leurs bureaux virtuels. Les utilisateurs peuvent également accéder aux applications depuis Endpoint Management. Pour se connecter à partir d’un emplacement distant, les utilisateurs installent également l’agent Citrix Secure Access sur leur appareil. L’application Citrix Workspace ajoute automatiquement l’agent Citrix Secure Access à sa liste de plug-ins. Lorsque les utilisateurs ouvrent une session sur l’application Citrix Workspace, ils peuvent également se connecter à l’agent Citrix Secure Access. Vous pouvez également configurer Citrix Gateway pour effectuer une connexion unique à l’agent Citrix Secure Access lorsque les utilisateurs ouvrent une session sur l’application Citrix Workspace.

Connectez-vous avec des appareils iOS et Android

Les utilisateurs peuvent se connecter à partir d’un appareil iOS ou Android à l’aide de Secure Hub. Les utilisateurs peuvent accéder à leur messagerie en utilisant Secure Mail et se connecter à des sites Web avec WorxWeb.

Lorsque les utilisateurs se connectent à partir de l’appareil mobile, les connexions passent par Citrix Gateway pour accéder aux ressources internes. Si les utilisateurs se connectent à iOS, vous activez la Secure Browse dans le cadre du profil de session. Si les utilisateurs se connectent à Android, la connexion utilise automatiquement le Micro VPN. En outre, Secure Mail et WorxWeb utilisent Micro VPN pour établir des connexions via Citrix Gateway. Il n’est pas nécessaire de configurer Micro VPN sur Citrix Gateway.

À propos de Citrix Gateway