建立安全隧道

当用户连接到 Citrix 网关插件、安全中心或 Citrix Receiver 时,客户端软件会通过端口 443(或 Citrix 网关上的任何配置端口)建立安全隧道并发送身份验证信息。建立隧道后,Citrix Gateway 会将配置信息发送到 Citrix 网关插件、安全中心或 Receiver,描述要保护的网络,并在启用地址池时包含 IP 地址。

通过安全连接隧道专用网络流量

当 Citrix Gateway 插件启动并对用户进行身份验证时,将捕获发往指定专用网络的所有网络流量,并通过安全隧道重定向到 Citrix Gateway。Receiver 必须支持 Citrix 网关插件,才能在用户登录时通过安全隧道建立连接。

Secure Hub、Secure Mail 和 WorxWeb 使用 Micro VPN 为 iOS 和 Android 移动设备建立安全通道。

Citrix Gateway 拦截用户设备建立的所有网络连接,并通过安全套接字层 (SSL) 将这些网络连接多路复用到 Citrix Gateway,从而将流量解复用并将连接转发到正确的主机和端口组合。

连接受适用于单个应用程序、应用程序子集或整个 Intranet 的管理安全策略的约束。您可以指定远程用户可以通过 VPN 连接访问的资源(IP 地址/子网对的范围)。

Citrix 网关插件拦截并通过已定义的 Intranet 应用程序的以下协议进行隧道:

  • TCP(所有端口)
  • UDP(所有端口)
  • ICMP(类型 8 和 0-回显请求/回复)

来自用户设备上的本地应用程序的连接安全地通道到 Citrix Gateway,后者将重新建立到目标服务器的连接。目标服务器查看来自专用网络上本地 Citrix 网关的连接,从而隐藏用户设备。这也称为反向网络地址转换 (NAT)。隐藏 IP 地址可增加源位置的安全性。

在本地,在用户设备上,所有与连接相关的流量(如 SYN-ACK、PUSH、ACK 和 FIN 数据包)都由 Citrix 网关插件重新创建,以便从专用服务器中显示。