Citrix Gateway

Déploiements Citrix Gateway courants

Vous pouvez déployer Citrix Gateway sur le périmètre du réseau interne (ou intranet) de votre organisation pour fournir un point d’accès unique et sécurisé aux serveurs, applications et autres ressources réseau qui résident sur le réseau interne. Tous les utilisateurs distants doivent se connecter à Citrix Gateway avant de pouvoir accéder aux ressources du réseau interne.

Citrix Gateway est le plus souvent installé dans les emplacements suivants d’un réseau :

  • Dans la zone démilitarisée du réseau
  • Réseau sécurisé dans DMZ

Vous pouvez également déployer Citrix Gateway avec Citrix Virtual Apps, Citrix Virtual Desktops, StoreFront et Citrix Endpoint Management pour permettre aux utilisateurs d’accéder à leurs applications Windows, Web, mobiles et SaaS. Si votre déploiement inclut Citrix Virtual Apps, StoreFront et Desktops 7, vous pouvez déployer Citrix Gateway dans une configuration DMZ à saut unique ou double. Un déploiement à double saut n’est pas pris en charge avec les versions antérieures de Citrix Virtual Desktops ou de Citrix Endpoint Management.

Pour plus d’informations sur l’extension de votre installation Citrix Gateway avec ces solutions Citrix et d’autres solutions Citrix prises en charge, consultez la rubrique Intégration avec les produits Citrix .

Déployer Citrix Gateway dans une zone DMZ

De nombreuses entreprises protègent leur réseau interne avec une zone démilitarisée. Une zone démilitarisée est un sous-réseau situé entre le réseau interne sécurisé d’une organisation et Internet (ou tout autre réseau externe). Lorsque vous déployez Citrix Gateway dans la zone démilitarisée, les utilisateurs se connectent à l’application Citrix Secure Access pour Windows ou Citrix Workspace.

Figure 1. Citrix Gateway déployé dans la zone démilitarisée

Citrix Gateway déployé dans la zone démilitarisée

Dans la configuration illustrée dans la figure précédente, vous installez Citrix Gateway dans la zone démilitarisée et la configurez pour qu’elle se connecte à Internet et au réseau interne.

Connectivité Citrix Gateway dans une zone DMZ

Lorsque vous déployez Citrix Gateway dans la zone démilitarisée, les connexions utilisateur doivent traverser le premier pare-feu pour se connecter à Citrix Gateway. Par défaut, les connexions utilisateur utilisent SSL sur le port 443 pour établir cette connexion. Pour permettre aux connexions utilisateur d’atteindre le réseau interne, vous devez autoriser SSL sur le port 443 via le premier pare-feu.

Citrix Gateway déchiffre les connexions SSL de la machine utilisateur et établit une connexion au nom de l’utilisateur aux ressources réseau derrière le deuxième pare-feu. Les ports qui doivent être ouverts via le deuxième pare-feu dépendent des ressources réseau auxquelles vous autorisez les utilisateurs externes à accéder.

Par exemple, si vous autorisez des utilisateurs externes à accéder à un serveur Web du réseau interne et que ce serveur écoute les connexions HTTP sur le port 80, vous devez autoriser HTTP sur le port 80 via le deuxième pare-feu. Citrix Gateway établit la connexion via le deuxième pare-feu au serveur HTTP sur le réseau interne pour le compte des machines utilisateur externes.

Déploiement de Citrix Gateway dans un réseau sécurisé

Vous pouvez installer Citrix Gateway sur le réseau sécurisé. Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. Citrix Gateway se trouve à l’intérieur du pare-feu pour contrôler l’accès aux ressources réseau.

Figure 1. Citrix Gateway déployé sur le réseau sécurisé

Déploiement de Citrix Gateway dans Secure Network

Lorsque vous déployez Citrix Gateway sur le réseau sécurisé, connectez une interface sur Citrix Gateway à Internet et l’autre interface aux serveurs exécutés sur le réseau sécurisé. La mise en place de Citrix Gateway dans le réseau sécurisé fournit un accès aux utilisateurs locaux et distants. Comme cette configuration ne comporte qu’un seul pare-feu, le déploiement est moins sécurisé pour les utilisateurs qui se connectent depuis un emplacement distant. Bien que Citrix Gateway intercepte le trafic en provenance d’Internet, le trafic entre dans le réseau sécurisé avant que les utilisateurs ne soient authentifiés. Lorsque Citrix Gateway est déployé dans une zone démilitarisée, les utilisateurs sont authentifiés avant que le trafic réseau n’atteigne le réseau sécurisé.

Lorsque Citrix Gateway est déployé sur le réseau sécurisé, les connexions Citrix Secure Access pour Windows doivent traverser le pare-feu pour se connecter à Citrix Gateway. Par défaut, les connexions utilisateur utilisent le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu.

Déploiements Citrix Gateway courants