Citrix Gateway

ユーザーがCitrix Secure Access Agentに接続する方法

Citrix Gateway は以下のように動作する。

  • ユーザーがVPNトンネルを介してネットワークリソースにアクセスしようとすると、Citrix Secure Accessエージェントは組織の内部ネットワーク宛てのネットワークトラフィックをすべて暗号化し、パケットをCitrix Gateway に転送します。
  • Citrix Gateway は、SSLトンネルを終了し、プライベートネットワーク宛ての着信トラフィックを受け入れ、そのトラフィックをプライベートネットワークに転送します。Citrix Gateway は、セキュリティで保護されたトンネルを介してリモートコンピューターにトラフィックを戻します。

ユーザーが Web アドレスを入力すると、ログオンページが表示され、そこで資格情報を入力してログオンします。資格情報が正しい場合、Citrix Gateway はユーザーデバイスとのハンドシェイクを終了します。

ユーザーとAccess Gatewayの間にプロキシサーバーがある場合は、プロキシサーバーと認証のための資格情報を指定できます。詳細については、「 ユーザー接続のプロキシサポートの有効化」を参照してください。

Citrix Secure Accessエージェントがユーザーデバイスにインストールされます。最初の接続後、ユーザーが Windows ベースのコンピューターを使用してログオンした場合、通知領域のアイコンを使用して接続を確立できます。

セキュアトンネルの確立

ユーザーがCitrix Secure Accessエージェント、Secure Hub、またはCitrix Workspace アプリに接続すると、クライアントソフトウェアはポート443(またはCitrix Gateway で構成されたポート)を介して安全なトンネルを確立し、認証情報を送信します。トンネルが確立されると、Citrix Gateway はCitrix Secure Accessエージェント、Secure Hub、またはCitrix Workspace アプリに構成情報を送信し、アドレスプールを有効にすると、セキュリティで保護されるネットワークとIPアドレスを含むネットワークを記述します。

セキュアな接続を介してプライベートネットワークトラフィックをトンネルする

Citrix Secure Accessエージェントが起動し、ユーザーが認証されると、指定されたプライベートネットワークを宛先とするすべてのネットワークトラフィックがキャプチャされ、安全なトンネルを介してCitrix Gateway にリダイレクトされます。Citrix Workspace アプリは、ユーザーがログオンしたときに安全なトンネルを介して接続を確立するために、Citrix Secure Accessエージェントをサポートしている必要があります。

Secure Hub、Secure Mail、WorxWebは、マイクロVPNを使用して、iOSおよびAndroidモバイルデバイス用のセキュアなトンネルを確立します。

Citrix Gateway は、ユーザーデバイスが行うすべてのネットワーク接続をインターセプトし、Secure Sockets Layer(SSL)を介してCitrix Gateway に多重化します。Citrix Gateway では、トラフィックが逆多重化され、接続が正しいホストとポートの組み合わせに転送されます。

接続は、単一のアプリケーション、アプリケーションのサブセット、またはイントラネット全体に適用される管理セキュリティポリシーの対象となります。リモートユーザが VPN 接続を介してアクセスできるリソース(IP アドレス/サブネットペアの範囲)を指定します。

Citrix Secure Accessエージェントは、定義されたイントラネットアプリケーションの次のプロトコルをインターセプトしてトンネリングします。

  • TCP (すべてのポート)
  • UDP (すべてのポート)
  • ICMP(タイプ 8 および 0-エコー要求/応答)

ユーザーデバイス上のローカルアプリケーションからの接続は、Citrix Gateway に安全にトンネリングされ、Citrix Gateway はターゲットサーバーへの接続を再確立します。ターゲットサーバーは、プライベートネットワーク上のローカルCitrix Gateway からの接続として認識し、ユーザーデバイスを隠します。これは、リバースネットワークアドレス変換 (NAT) とも呼ばれます。IP アドレスを非表示にすると、送信元の場所にセキュリティが追加されます。

SYN-ACK、PUSH、ACK、FINパケットなどの接続関連トラフィックはすべて、Citrix Secure Accessエージェントによってローカルに再作成され、プライベートサーバーから表示されます。

ファイアウォールとプロキシ経由で接続する

Citrix Secure Accessエージェントのユーザーは、次の図に示すように、別の組織のファイアウォールの内側にいる場合があります。

2 つの内部ファイアウォールを介したユーザー接続

NATファイアウォールは、Citrix Gateway からユーザーデバイスに安全なパケットをルーティングできるようにするテーブルを保持します。回線指向接続の場合、Citrix Gateway はポートマップされたリバースNAT変換テーブルを保持します。リバースNAT変換テーブルを使用すると、Citrix Gateway は接続を照合し、正しいポート番号を持つユーザーデバイスにパケットをトンネル経由で送信し、パケットが正しいアプリケーションに返されるようにします。

Citrix Secure Access Agentのアップグレードの制御

システム管理者は、Citrix ADCプラグインのバージョンがCitrix Gateway リビジョンと一致しない場合のCitrix ADCプラグインの実行方法を制御します。新しいオプションは、Mac、Windows、またはオペレーティングシステムのプラグインのアップグレード動作を制御します。

VPNプラグインの場合、Citrix ADCアプライアンスのユーザーインターフェイスの2つの場所でアップグレードオプションを設定できます。

  • グローバル設定で
  • セッションプロファイルレベル

要件

  • Windows EPA および VPN プラグインのバージョンは 11.0.0.0 より大きくなければなりません

  • Mac EPA プラグインのバージョンは 3.0.0.31 より大きくなければなりません

  • Mac VPN プラグインのバージョンは 3.1.4 (357) より大きくなければなりません

注:

Citrix ADCアプライアンスを11.0リリースにアップグレードすると、アップグレード制御構成に関係なく、以前のすべてのVPN(およびEPA)プラグインが最新バージョンにアップグレードされます。以降のアップグレードでは、以前のアップグレード制御設定が尊重されます。

プラグインビヘイビア

Citrix Gateway では、クライアントの種類ごとに、次の3つのオプションを使用してプラグインのアップグレード動作を制御できます。

  • いつも

エンドユーザーのプラグインのバージョンがCitrix ADCアプライアンスに同梱されているプラグインと一致しない場合、プラグインは常にアップグレードされます。これはデフォルトの動作です。エンタープライズで複数のプラグインバージョンを実行したくない場合は、このオプションを選択します。

  • 必須 (およびセキュリティ)

プラグインは、必要であると判断された場合にのみアップグレードされます。アップグレードは、次の 2 つの状況で必要であるとみなされます。

  • インストールされているプラグインは、現在のCitrix ADCアプライアンスのバージョンと互換性がありません。

  • インストールされているプラグインは、必要なセキュリティ修正のために更新する必要があります。

プラグインのアップグレード回数を最小限にしたいが、プラグインのセキュリティアップデートを見逃したくない場合は、このオプションを選択します。

  • 決して

プラグインはアップグレードされません。

VPN プラグインのアップグレードを制御するための CLI パラメータ

Citrix Gateway は、WindowsおよびMacオペレーティングシステム用の2種類のプラグイン(EPAおよびVPN)をサポートしています。セッションレベルでVPNプラグインのアップグレード制御をサポートするために、Citrix Gateway はwindowsInPluginUpgradeとmacPluginUpgradeという名前の2つのセッションプロファイルパラメーターをサポートしています。

これらのパラメータは、グローバル、仮想サーバ、グループ、およびユーザレベルで使用できます。各パラメータには、[常時]、[必須]、または [なし] の値を指定できます。これらのパラメータの詳細については、「 プラグインビヘイビア」を参照してください。

EPA プラグインのアップグレードを制御するための CLI パラメータ

Citrix Gateway は、WindowsおよびMacオペレーティングシステム用のEPAプラグインをサポートしています。仮想サーバーレベルでEPAプラグインのアップグレード制御をサポートするために、Citrix Gateway は windowsEpaPluginUpgrade および macePAPluginUpgrade という名前の2つの仮想サーバーパラメーターをサポートしています。

パラメータは、仮想サーバレベルで使用できます。各パラメータには、[常時]、[必須]、または [なし] の値を指定できます。これらのパラメータの詳細については、「 プラグインビヘイビア」を参照してください。

VPN 構成

Windows、Linux、および Mac プラグインの VPN 構成については 、次の手順に従います。

  1. [ Citrix ADC] > [ポリシー] > [セッション] に移動します。

  2. 目的のセッションポリシーを選択し、[ 編集] をクリックします。

  3. [ クライアントエクスペリエンス ] タブを選択します。

    [クライアントエクスペリエンス] タブの設定

  4. これらのダイアログボックスのオプションは、アップグレードの動作に影響します。

    • いつも
    • エッセンシャル
    • [なし ] 既定値は [常に] です。
  5. 各オプションの右側にあるチェックボックスをオンにします。アップグレード動作を適用する頻度を選択します。

アップグレードオプション

EPA 構成

Windows、Linux、および Apple プラグインの EPA 構成については、以下の手順に従ってください。

  1. [Citrix Gateway]>[仮想サーバー]に移動します。

  2. サーバを選択し、[ Edit ] ボタンをクリックします。

  3. 鉛筆アイコンをクリックします

    鉛筆アイコンをクリック

  4. [ 詳細] をクリックします

    詳細設定

  5. 表示されるダイアログボックスは、アップグレードの動作に影響します。以下の種類から選択できます。

    • いつも
    • エッセンシャル
    • 決して

    アップグレードオプション

ユーザーがCitrix Secure Access Agentに接続する方法