セキュアトンネルの確立

ユーザーがCitrix Gateway プラグイン、Secure Hub またはCitrix Workspace アプリに接続すると、クライアントソフトウェアはポート443(またはCitrix Gateway 上の構成済みポート)を介してセキュアなトンネルを確立し、認証情報を送信します。トンネルが確立されると、Citrix Gateway はCitrix Gatewayプラグイン、Secure Hub またはCitrix Workspace アプリに構成情報を送信します。アドレスプールを有効にすると、セキュリティ保護対象のネットワークとIPアドレスが記述されます。

セキュアな接続を介したプライベートネットワークトラフィックのトンネリング

Citrix Gateway プラグインが起動し、ユーザーが認証されると、指定されたプライベートネットワーク宛てのネットワークトラフィックがすべてキャプチャされ、セキュアなトンネルを介してCitrix Gatewayにリダイレクトされます。Citrix Workspace アプリがCitrix Gateway プラグインをサポートし、ユーザーがログオンしたときにセキュアなトンネルを介して接続を確立する必要があります。

Secure Hub、Secure Mail、およびWorxWebはマイクロVPNを使用して、iOSおよびAndroidモバイルデバイス用のセキュアなトンネルを確立します。

Citrix Gateway は、ユーザーデバイスが接続するすべてのネットワーク接続を受信し、Secure Sockets Layer(SSL)を介してCitrix Gateway に多重化します。この場合、トラフィックは逆多重化され、接続は正しいホストとポートの組み合わせに転送されます。

接続は、単一のアプリケーション、アプリケーションのサブセット、またはイントラネット全体に適用される管理セキュリティポリシーに従います。リモートユーザが VPN 接続を介してアクセスできるリソース(IP アドレスとサブネットペアの範囲)を指定します。

Citrix Gateway プラグインは、定義されたイントラネットアプリケーションの次のプロトコルをインターセプトしてトンネリングします。

  • TCP(すべてのポート)
  • UDP(すべてのポート)
  • ICMP(タイプ 8 および 0-エコー要求/応答)

ユーザーデバイス上のローカルアプリケーションからの接続は、Citrix Gateway に安全にトンネリングされ、ターゲットサーバーへの接続が再確立されます。ターゲットサーバーでは、プライベートネットワーク上のローカルCitrix Gateway からの接続として認識されるため、ユーザーデバイスは非表示になります。これは、逆方向ネットワークアドレス変換 (NAT) とも呼ばれます。IP アドレスを非表示にすると、送信元ロケーションにセキュリティが追加されます。

ローカルでは、ユーザーデバイス上で、SYN-ACK、PUSH、ACK、FINパケットなどの接続関連トラフィックはすべて、Citrix Gateway プラグインによって再作成され、プライベートサーバーから表示されます。