Citrix Gateway

一般的なCitrix Gatewayの展開

Citrix Gateway を組織の内部ネットワーク(またはイントラネット)の境界に展開して、内部ネットワークに存在するサーバー、アプリケーション、およびその他のネットワークリソースへの安全な単一アクセスポイントを提供できます。すべてのリモートユーザーは、内部ネットワークのリソースにアクセスする前に、Citrix Gateway に接続する必要があります。

Citrix Gateway は、通常、ネットワーク内の次の場所にインストールされます。

  • ネットワークDMZで
  • DMZ を持たないセキュアなネットワーク内

また、Citrix Virtual Desktops、Citrix Virtual Desktops、StoreFront、およびCitrix Endpoint ManagementとともにCitrix Gatewayを展開して、ユーザーがWindows、Web、モバイル、およびSaaSアプリケーションにアクセスできるようにすることもできます。展開環境にCitrix Virtual Apps、StoreFront、およびデスクトップ7が含まれている場合は、Citrix Gateway をシングルホップまたはダブルホップDMZ構成で展開できます。ダブルホップ展開は、以前のバージョンのCitrix 仮想デスクトップまたはCitrix Endpoint Managementではサポートされていません。

これらのソリューションおよびその他のサポートされているCitrixソリューションを使用したCitrix Gateway インストールの拡張について詳しくは、「 Citrix itrix製品との統合 」を参照してください。

DMZにCitrix Gateway を展開する

多くの組織は DMZ で内部ネットワークを保護しています。DMZ は、組織のセキュアな内部ネットワークとインターネット (または任意の外部ネットワーク) の間にあるサブネットです。DMZにCitrix Gateway を展開すると、ユーザーはWindows用のCitrixセキュアアクセスまたはCitrix Workspaceアプリに接続します。

図1:DMZに展開されたCitrix Gateway

DMZに展開されたCitrix Gateway

前の図に示す構成では、DMZにCitrix Gateway をインストールし、インターネットと内部ネットワークの両方に接続するように構成します。

DMZでのCitrix Gateway接続

DMZにCitrix Gateway を展開する場合、ユーザー接続は最初のファイアウォールを通過してCitrix Gateway に接続する必要があります。デフォルトでは、ユーザー接続はポート 443 で SSL を使用してこの接続を確立します。ユーザ接続が内部ネットワークに到達できるようにするには、最初のファイアウォールを介してポート 443 で SSL を許可する必要があります。

Citrix Gateway は、ユーザーデバイスからのSSL接続を復号化し、ユーザーに代わって2番目のファイアウォールの背後にあるネットワークリソースへの接続を確立します。2 番目のファイアウォールを介して開く必要があるポートは、外部ユーザーにアクセスを許可するネットワークリソースによって異なります。

たとえば、外部ユーザに内部ネットワーク内の Web サーバへのアクセスを許可し、このサーバがポート 80 で HTTP 接続をリッスンする場合、ポート 80 で HTTP を 2 番目のファイアウォール経由で許可する必要があります。Citrix Gateway は、外部ユーザーデバイスに代わって、第2のファイアウォールを介して、内部ネットワーク上のHTTPサーバーへの接続を確立します。

Citrix Gateway を安全なネットワークに展開する

Citrix Gateway はセキュリティで保護されたネットワークにインストールできます。このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間に立っています。Citrix Gateway は、ネットワークリソースへのアクセスを制御するために、ファイアウォールの内部に常駐します。

図1:セキュリティで保護されたネットワークに展開されたCitrix Gateway

Citrix Gateway をセキュアネットワークに展開する

Citrix Gateway をセキュリティで保護されたネットワークに展開するときは、Citrix Gateway の1つのインターフェイスをインターネットに接続し、もう1つのインターフェイスをセキュリティで保護されたネットワークで実行されているサーバーに接続します。Citrix Gateway をセキュリティで保護されたネットワークに配置すると、ローカルユーザーおよびリモートユーザーにアクセスできます。この構成にはファイアウォールが 1 つしかないため、リモートロケーションから接続するユーザーの展開の安全性が低下します。Citrix Gateway はインターネットからのトラフィックを傍受しますが、トラフィックはユーザーが認証される前に安全なネットワークに入ります。Citrix Gateway をDMZに展開すると、ネットワークトラフィックがセキュリティで保護されたネットワークに到達する前にユーザーが認証されます。

Citrix Gateway がセキュリティで保護されたネットワークに展開されている場合、Citrix Secure Access for Windows接続は、Citrix Gateway に接続するためにファイアウォールを通過する必要があります。デフォルトでは、ユーザー接続はポート 443 で SSL プロトコルを使用してこの接続を確立します。この接続をサポートするには、ファイアウォールでポート 443 を開く必要があります。

一般的なCitrix Gatewayの展開