建立到服务器场的安全连接

以下示例演示了部署在 DMZ 中的 Citrix Gateway 如何与 Web 界面配合使用,以便为安全企业网络中可用的已发布资源提供安全的单点访问。

在此示例中,存在以下所有条件:

  • Internet 中的用户设备通过使用 Citrix 接收器连接到 Citrix 网关。
  • Web 界面位于安全网络中的 Citrix 网关后面。用户设备与 Citrix 网关建立初始连接,并将连接传递到 Web 界面。
  • 安全网络包含服务器场。此服务器场中的一台服务器运行安全票证颁发机构 (STA) 和 Citrix XML 服务。STA 和 XML 服务可以在 Citrix 虚拟应用程序和桌面上运行。

进程概述:用户访问服务器场中的已发布资源

  1. 远程用户键入 Citrix 网关的地址;例如https://www.ag.wxyco.com,在 Web 浏览器的地址字段中。用户设备在端口 443 上尝试此 SSL 连接,必须通过防火墙打开该端口才能成功连接。
  2. Citrix 网关接收连接请求,系统会要求用户提供其凭据。凭据将通过 Citrix 网关传回,对用户进行身份验证,并将连接传递到 Web 界面。
  3. Web 界面将用户凭据发送到服务器场中运行的 Citrix XML 服务。
  4. XML 服务对用户凭据进行身份验证,并向 Web 界面发送一个已发布的应用程序或用户有权访问的桌面列表。
  5. Web 界面使用用用户有权访问的已发布资源(应用程序或桌面)的列表填充网页,并将此网页发送到用户设备。
  6. 用户单击已发布的应用程序或桌面链接。HTTP 请求会发送到 Web 界面,指示用户单击的已发布资源。
  7. Web 界面与 XML 服务交互,并收到一个票证,指示运行已发布资源的服务器。
  8. Web 界面向 STA 发送会话工单请求。此请求指定运行已发布资源的服务器的 IP 地址。STA 保存此 IP 地址并将请求的会话票证发送到 Web 界面。
  9. Web 界面生成一个 ICA 文件,其中包含 STA 发出的票证,并将其发送到用户设备上的 Web 浏览器。Web 界面生成的 ICA 文件包含 Citrix 网关的完全限定域名 (FQDN) 或域名系统 (DNS) 名称。请注意,运行请求资源的服务器的 IP 地址永远不会向用户显示。
  10. ICA 文件包含指示 Web 浏览器启动 Citrix Receiver 的数据。用户设备通过使用 ICA 文件中的 Citrix 网关 FQDN 或 DNS 名称连接到 Citrix 网关。进行初始 SSL/TLS 握手以建立 Citrix 网关的标识。
  11. 用户设备将会话票证发送到 Citrix 网关,然后 Citrix 网关联系 STA 进行票证验证。
  12. STA 将请求的应用程序驻留在其上的服务器的 IP 地址返回到 Citrix 网关。
  13. Citrix 网关建立到服务器的 TCP 连接。
  14. Citrix Gateway 完成与用户设备的连接握手,并向用户设备指示已与服务器建立连接。用户设备和服务器之间的所有其他流量都通过 Citrix 网关进行代理。用户设备与 Citrix 网关之间的流量已加密。Citrix 网关和服务器之间的流量可以单独加密,但默认情况下不加密。

建立到服务器场的安全连接