Citrix Gateway

建立到服务器场的安全连接

以下示例演示了部署在 DMZ 中的 Citrix Gateway 如何与 Web Interface 配合使用,以便为安全企业网络中可用的已发布资源提供安全的单点访问。

在此示例中,存在以下所有条件:

  • Internet 中的用户设备通过使用 Citrix Workspace 应用程序连接到 Citrix Gateway。
  • Web Interface 位于安全网络中的 Citrix Gateway 后面。用户设备与 Citrix Gateway 建立初始连接,并将连接传递到 Web Interface。
  • 安全网络包含服务器场。此服务器场中的一台服务器运行安全票证颁发机构 (STA) 和 Citrix XML 服务。STA 和 XML Service 可以在 Citrix Virtual Apps and Desktops 上运行。

进程概述:用户访问服务器场中的已发布资源

  1. 远程用户键入 Citrix Gateway 的地址;例如https://www.ag.wxyco.com,在 Web 浏览器的地址字段中。用户设备在端口 443 上尝试此 SSL 连接,必须通过防火墙打开该端口才能成功连接。
  2. Citrix Gateway 接收连接请求,系统会要求用户提供其凭据。凭据将通过 Citrix Gateway 传回,对用户进行身份验证,并将连接传递到 Web Interface。
  3. Web Interface 将用户凭据发送到服务器场中运行的 Citrix XML 服务。
  4. XML 服务对用户凭据进行身份验证,并向 Web Interface 发送一个已发布的应用程序或用户有权访问的桌面列表。
  5. Web Interface 使用用用户有权访问的已发布资源(应用程序或桌面)的列表填充网页,并将此网页发送到用户设备。
  6. 用户单击已发布的应用程序或桌面链接。HTTP 请求会发送到 Web Interface,指示用户单击的已发布资源。
  7. Web Interface 与 XML 服务交互,并收到一个票证,指示运行已发布资源的服务器。
  8. Web Interface 向 STA 发送会话工单请求。此请求指定运行已发布资源的服务器的 IP 地址。STA 保存此 IP 地址并将请求的会话票证发送到 Web Interface。
  9. Web Interface 生成一个 ICA 文件,其中包含 STA 发出的票证,并将其发送到用户设备上的 Web 浏览器。Web Interface 生成的 ICA 文件包含 Citrix Gateway 的完全限定域名 (FQDN) 或域名系统 (DNS) 名称。请注意,运行请求资源的服务器的 IP 地址永远不会向用户显示。
  10. ICA 文件包含指示 Web 浏览器启动 Citrix Workspace 应用程序的数据。用户设备通过使用 ICA 文件中的 Citrix Gateway FQDN 或 DNS 名称连接到 Citrix Gateway。进行初始 SSL/TLS 握手以建立 Citrix Gateway 的标识。
  11. 用户设备将会话票证发送到 Citrix Gateway,然后 Citrix Gateway 联系 STA 进行票证验证。
  12. STA 将请求的应用程序驻留在其上的服务器的 IP 地址返回到 Citrix Gateway。
  13. Citrix Gateway 建立到服务器的 TCP 连接。
  14. Citrix Gateway 完成与用户设备的连接握手,并向用户设备指示已与服务器建立连接。用户设备和服务器之间的所有其他流量都通过 Citrix Gateway 进行代理。用户设备与 Citrix Gateway 之间的流量已加密。Citrix Gateway 和服务器之间的流量可以单独加密,但默认情况下不加密。
建立到服务器场的安全连接