Citrix Gateway

关于 Citrix Gateway

Citrix Gateway 易于部署且易于管理。最典型的部署配置是在 DMZ 中找到 Citrix Gateway 设备。您可以在网络中安装多台 Citrix Gateway 设备以进行更复杂的部署。

首次启动 Citrix Gateway 时,可以使用串行控制台、配置实用程序中的设置向导或动态主机配置协议 (DHCP) 来执行初始配置。在 MPX 设备上,您可以使用设备前面板上的 LCD 键盘执行初始配置。您可以配置特定于内部网络的基本设置,例如 IP 地址、子网掩码、默认网关 IP 地址和域名系统 (DNS) 地址。配置基本网络设置后,可以配置特定于 Citrix Gateway 操作的设置,例如身份验证、授权、网络资源、虚拟服务器、会话策略和终端节点策略的选项。

在安装和配置 Citrix Gateway 之前,请查看本节中的主题以获取有关规划部署的信息。部署规划可以包括确定设备的安装位置、了解如何在 DMZ 中安装多台设备以及许可要求。您可以在任何网络基础架构中安装 Citrix Gateway,而无需更改安全网络中运行的现有硬件或软件。Citrix Gateway 支持其他网络产品,例如服务器负载均衡器、缓存引擎、防火墙、路由器和 IEEE 802.11 无线设备。

在配置 Citrix Gateway 之前,您可以在安装前清单中编写设置以备使用。

   
Citrix Gateway 设备 提供有关 Citrix Gateway 设备和设备安装说明的信息。
预安装核对表 提供在网络中安装 Citrix Gateway 之前要查看的规划信息和要完成的任务列表。
常见部署 提供有关在网络 DMZ 中、在没有 DMZ 的安全网络中以及与其他设备一起部署 Citrix Gateway 以支持负载平衡和故障切换的信息。还提供有关使用 Citrix Virtual Apps and Desktops 部署 Citrix Gateway 的信息。
许可 提供有关在设备上安装许可证的信息。还提供有关在多台 Citrix Gateway 设备上安装许可证的信息。

Citrix Gateway 架构

Citrix Gateway 的核心组件包括:

  • 虚拟服务器。Citrix Gateway 虚拟服务器是一个内部实体,代表用户可用的所有已配置服务。虚拟服务器也是用户访问这些服务的接入点。您可以在单个设备上配置多个虚拟服务器,允许一台 Citrix Gateway 设备为具有不同身份验证和资源访问要求的多个用户社区提供服务

  • 身份验证、授权和记帐。您可以配置身份验证、授权和记帐,以允许用户使用 Citrix Gateway 或安全网络中的身份验证服务器(例如 LDAP 或 RADIUS)可以识别的凭据登录 Citrix Gateway。授权策略定义用户权限,确定给定用户有权访问哪些资源。有关身份验证和授权的详细信息,请参阅 配置身份验证和授权。会计服务器维护有关 Citrix Gateway 活动的数据,包括用户登录事件、资源访问实例和操作错误。此信息存储在 Citrix Gateway 或外部服务器上。有关会计的详细信息,请参阅 在 Citrix Gateway 上配置审核
  • 用户连接。用户可以使用以下访问方法登录 Citrix Gateway:

    • 适用于 Windows 的 Citrix Secure Access 代理是安装在基于 Windows 的计算机上的软件。用户可以通过右键单击基于 Windows 的计算机上的通知区域中的图标来登录。如果用户使用的计算机未安装 Citrix Secure Access 代理,则可以使用 Web 浏览器登录以下载并安装插件。如果用户安装了 Citrix Workspace 应用程序,则用户可以通过 Citrix Workspace 应用程序使用 Citrix Secure Access 代理登录。在用户设备上安装 Citrix Workspace 应用程序和 Citrix Secure Access 代理时,Citrix Workspace 应用程序会自动添加 Citrix Secure Access 代理。

    • 适用于 macOS X 的 Citrix Secure Access 代理,允许运行 macOS X 的用户登录。它具有与适用于 Windows 的 Citrix Secure Access 代理相同的特性和功能。您可以通过安装 Citrix ADC Gateway 10.1 版本,内部版本 120.1316.e 来为此插件版本提供端点分析支持。

    • Citrix Workspace 应用程序,允许用户使用 Web Interface 或 Citrix StoreFront 连接到服务器场中已发布的应用程序和虚拟桌面。

    • Citrix Workspace 应用程序、Secure Hub、WorxMail 和 WorxWeb,允许用户访问 Citrix Endpoint Management 中托管的 Web 和 SaaS 应用程序、iOS 和 Android 移动应用程序以及 ShareFile 数据。

    • 用户可以从使用 Citrix Gateway 网址的 Android 设备进行连接。当用户启动应用程序时,连接使用 Micro VPN 将网络流量路由到内部网络。如果用户从 Android 设备进行连接,则必须在 Citrix Gateway 上配置 DNS 设置。有关更多信息,请参阅使用适 用于 Android 设备的 DNS 后缀支持 DNS 查询

    • 用户可以从使用 Citrix Gateway 网址的 iOS 设备进行连接。您可以在全局或会话配置文件中配置 Secure Browse。当用户在其 iOS 设备上启动应用程序时,VPN 连接将启动,连接将通过 Citrix Gateway 进行路由。

    • 无客户端访问,为用户提供所需的访问权限,而无需在用户设备上安装软件。

      配置 Citrix Gateway 时,您可以创建策略来配置用户的登录方式。您还可以通过创建会话和端点分析策略来限制用户登录。

  • 网络资源。这些服务包括用户通过 Citrix Gateway 访问的所有网络服务,例如文件服务器、应用程序和网站。

  • 虚拟适配器。Citrix Gateway 虚拟适配器支持需要 IP 欺骗的应用程序。安装 Citrix Secure Access 代理后,虚拟适配器将安装在用户设备上。当用户连接到内部网络时,Citrix Gateway 和内部服务器之间的出站连接将使用内部网 IP 地址作为源 IP 地址。作为配置的一部分,Citrix Secure Access 代理从服务器接收此 IP 地址。

    如果在 Citrix Gateway 上启用拆分隧道,则所有 Intranet 流量都将通过虚拟适配器路由。拦截绑定到 Intranet 的流量时,虚拟适配器将拦截 A 和 AAAA 记录类型的 DNS 查询,同时保持所有其他 DNS 查询不变。未绑定到内部网络的网络流量通过安装在用户设备上的网络适配器进行路由。互联网和专用局域网 (LAN) 连接保持打开和连接状态。如果禁用拆分隧道,则所有连接都将通过虚拟适配器进行路由。任何现有连接都会断开连接,用户必须重新建立会话。

    如果配置 Intranet IP 地址,则通过虚拟适配器使用 Intranet IP 地址欺骗到内部网络的流量。

用户连接的工作方式

用户可以从远程位置连接到他们的电子邮件、文件共享和其他网络资源。用户可以使用以下软件连接到内部网络资源:

  • Citrix Secure Access 代理
  • Citrix Workspace 应用程序
  • WorxMail 和 WorxWeb
  • Android 和 iOS 移动设备

与 Citrix Secure Access 代理连接

Citrix Secure Access 代理允许用户通过以下步骤访问内部网络中的资源:

  1. 用户通过在 Web 浏览器中键入网址来首次连接到 Citrix Gateway。此时将显示登录页面,并提示用户输入用户名和密码。如果配置了外部身份验证服务器,Citrix Gateway 将与服务器联系,身份验证服务器将验证用户的凭据。如果配置了本地身份验证,Citrix Gateway 将执行用户身份验证。
  2. 如果配置预身份验证策略,则当用户在基于 Windows 的计算机或 macOS X 计算机上的 Web 浏览器中键入 Citrix Gateway Web 地址时,Citrix Gateway 会在登录页面出现之前检查是否存在任何基于客户端的安全策略。安全检查会验证用户设备是否满足与安全相关的条件,例如操作系统更新、防病毒防护和正确配置的防火墙。如果用户设备未通过安全检查,Citrix Gateway 将阻止用户登录。无法登录的用户必须下载必要的更新或软件包,然后将其安装在用户设备上。当用户设备通过预身份验证策略时,将显示登录页面,用户可以输入登录凭据。如果安装 Citrix Gateway 10.1 版本 120.1316.e,则可以在 macOS X 计算机上使用高级端点分析。
  3. Citrix Gateway 成功对用户进行身份验证后,Citrix Gateway 将启动 VPN 隧道。Citrix Gateway 会提示用户下载并安装适用于 Windows 的 Citrix Secure Access 代理或适用于 macOS X 的 Citrix Secure Access 代理。如果您使用的是适用于 Java 的网络网关插件,还将使用预配置的资源 IP 地址和端口号列表初始化用户设备。
  4. 如果配置身份验证后扫描,则在用户成功登录后,Citrix Gateway 将扫描用户设备以查找所需的客户端安全策略。您可以要求与预身份验证策略相同的安全相关条件。如果用户设备扫描失败,则表示未应用策略或将用户置于隔离组中,并且用户对网络资源的访问受到限制。
  5. 建立会话后,用户将被定向到 Citrix Gateway 主页,用户可以在其中选择要访问的资源。Citrix Gateway 随附的主页称为访问界面。如果用户使用适用于 Windows 的 Citrix Secure Access 代理登录,Windows 桌面通知区域中的图标将显示用户设备已连接,并且用户会收到一条消息,指出连接已建立。用户还可以在不使用访问界面的情况下访问网络中的资源,例如打开 Microsoft Outlook 和检索电子邮件。
  6. 如果用户请求同时通过了身份验证前和身份验证后安全检查,Citrix Gateway 将联系请求的资源,并在用户设备与该资源之间启动安全连接。
  7. 用户可以通过右键单击基于 Windows 的计算机上通知区域中的 Citrix Gateway 图标,然后单击注销来关闭活动会话。会话也可能由于不活动而超时。会话关闭后,隧道将关闭,用户将无法再访问内部资源。用户还可以在浏览器中键入 Citrix Gateway 网址。当用户按 Enter 键时,将显示用户可以从中注销的访问界面。

注意: 如果在内部网络中部署 Citrix Endpoint Management,则从内部网络外部连接的用户必须首先连接到 Citrix Gateway。当用户建立连接时,用户可以访问 Citrix Endpoint Management 上托管的 Web 和 SaaS 应用程序、Android 和 iOS 移动应用程序以及 ShareFile 数据。用户可以通过无客户端访问或使用 Citrix Workspace 应用程序或 Secure Hub 连接 Citrix Secure Access 代理。

与 Citrix Workspace 应用程序连接

用户可以连接 Citrix Workspace 应用程序以访问其基于 Windows 的应用程序和虚拟桌面。用户还可以从 Endpoint Management 访问应用程序。要从远程位置进行连接,用户还需要在其设备上安装 Citrix Secure Access 代理。Citrix Workspace 应用程序会自动将 Citrix Secure Access 代理添加到其插件列表中。当用户登录 Citrix Workspace 应用程序时,他们还可以登录到 Citrix Secure Access 代理。您还可以将 Citrix Gateway 配置为在用户登录 Citrix Workspace 应用程序时对 Citrix Secure Access 代理执行单点登录。

连接 iOS 和 Android 设备

用户可以使用 Secure Hub 从 iOS 或 Android 设备进行连接。用户可以使用 Secure Mail 访问他们的电子邮件,并使用 WorxWeb 连接到网站。

当用户从移动设备进行连接时,连接会通过 Citrix Gateway 进行路由以访问内部资源。如果用户连接到 iOS,则可以启用 Secure Browse 作为会话配置文件的一部分。如果用户使用 Android 系统连接,则连接会自动使用 Micro VPN。此外, Secure Mail 和 WorxWeb 使用 Micro VPN 通过 Citrix Gateway 建立连接。您不必在 Citrix Gateway 上配置 Micro VPN。

关于 Citrix Gateway