Citrix Gateway

Citrix Gateway をダブルホップDMZに展開する

内部ネットワークを保護するために、3つのファイアウォールを使用する場合があります。3つのファイアウォールは、DMZを2つの段階にわけて、内部ネットワークにさらなるセキュリティを提供します。このネットワーク構成を、ダブルホップDMZと呼びます。

図1:ダブルホップDMZに展開されたCitrix Gateway アプライアンス

ダブルホップDMZでのCitrix Gateway の展開

注:

上記の例では、説明のために、StoreFront、Web Interface、Citrix Virtual Appsで3つのファイアウォールを使用するダブルホップ構成について説明しています。ただし、DMZ に 1 つのアプライアンス、セキュアネットワークに 1 つのアプライアンスがあるダブルホップ DMZ を使用することもできます。DMZ に 1 つのアプライアンスとセキュアネットワークに 1 つのアプライアンスを持つダブルホップ構成を設定する場合、第 3 のファイアウォールでポートを開く手順は無視できます。

ダブルホップDMZを構成して、Citrix StoreFront またはCitrix Gateway プロキシと並行してインストールされたWebインターフェイスをサポートできます。ユーザーはCitrix Workspace アプリを使用して接続します。

注:

StoreFront を使用してダブルホップDMZにCitrix Gateway を展開すると、Citrix Workspace アプリ用の電子メールベースの自動検出は機能しません。

ダブルホップ展開の仕組み

Citrix Gateway アプライアンスをダブルホップDMZに展開して、Citrix Virtual Apps を実行しているサーバーへのアクセスを制御できます。ダブルホップ展開の接続は、次のように発生します。

  • ユーザーは、Webブラウザーを使用し、Citrix Workspaceアプリを使用して公開アプリケーションを選択して、最初のDMZでCitrix Gateway に接続します。
  • Citrix Workspace アプリがユーザーデバイスで起動します。ユーザーはCitrix Gateway に接続して、セキュリティで保護されたネットワークのサーバーファームで実行されている公開アプリケーションにアクセスします。

    注: ダブルホップDMZ展開では、Secure HubおよびWindows向けCitrix Secure Accessエージェントはサポートされていません。Citrix Workspace アプリのみがユーザー接続に使用されます。

  • 最初のDMZのCitrix Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このCitrix Gateway は、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワーク内のサーバーへのアクセスを制御します。
  • 2番目のDMZのCitrix Gatewayは、Citrix Gatewayプロキシデバイスとして機能します。このCitrix Gateway により、ICAトラフィックが2番目のDMZを通過して、サーバーファームへのユーザー接続を完了できます。最初のDMZのCitrix Gateway と内部ネットワークのSecure Ticket Authority(STA)間の通信も、2番目のDMZのCitrix Gatewayを介してプロキシされます。

Citrix Gateway は、IPv4接続とIPv6接続をサポートしています。構成ユーティリティを使用して IPv6 アドレスを構成できます。

次の表に、さまざまなICA機能のダブルホップ展開サポートを示します。

ICA機能 ダブルホップサポート
SmartAccess はい
SmartControl はい
Enlightened Data Transport(EDT) はい
HDX Insight はい
ICA セッション信頼性 (ポート 2598) はい
ICA セッションの移行 はい
ICA セッションタイムアウト はい
マルチストリームICA はい
Framehawk いいえ
UDP オーディオ いいえ

ダブルホップ DMZ 展開の準備

ダブルホップ DMZ 展開を設定する場合は、次の質問に答える必要があります。

  • 負荷分散をサポートしたいですか?
  • ファイアウォールではどのポートを開けますか?
  • SSL証明書はいくつ必要ですか?
  • デプロイを開始する前に必要なコンポーネントは何ですか?

このセクションのトピックには、環境に応じてこれらの質問に答えるのに役立つ情報が含まれています。

デプロイを開始するために必要なコンポーネント

ダブルホップ DMZ 展開を開始する前に、次のコンポーネントがあることを確認します。

  • 少なくとも2つのCitrix Gateway アプライアンス(DMZごとに1つ)が使用可能である必要があります。

  • Citrix Virtual Apps を実行するサーバーは、内部ネットワークにインストールされ、動作している必要があります。

  • Web InterfaceまたはStoreFront を2番目のDMZにインストールし、内部ネットワークのサーバーファームで動作するように構成する必要があります。

  • 少なくとも、最初のDMZのCitrix Gateway に1つのSSLサーバー証明書がインストールされている必要があります。この証明書により、WebブラウザーとCitrix Gateway へのユーザー接続が暗号化されます。

    ダブルホップ DMZ 展開内の他のコンポーネント間で発生する接続を暗号化する場合は、追加の証明書が必要です。

Citrix Gateway をダブルホップDMZに展開する