Citrix Gateway

常见的 Citrix Gateway 部署

您可以在组织内部网络(或 Intranet)的外围部署 Citrix Gateway,以提供对驻留在内部网络中的服务器、应用程序和其他网络资源的安全单点访问。所有远程用户必须先连接到 Citrix Gateway,然后才能访问内部网络中的任何资源。

Citrix Gateway 最常安装在网络中的以下位置:

  • 在网络中 DMZ
  • 在没有 DMZ 的安全网络中

您还可以使用 Citrix Virtual Apps、Citrix Virtual Desktops、StoreFront 和 Citrix Endpoint Management 部署 Citrix Gateway,以允许用户访问其 Windows、Web、移动和 SaaS 应用程序。如果您的部署包括 Citrix Virtual Apps、StoreFront 和桌面 7,则可以在单跃点或双跃点 DMZ 配置中部署 Citrix Gateway。早期版本的 Citrix Virtual Desktops 或 Citrix Endpoint Management 不支持双跃点部署。

有关使用这些以及其他受支持的 Citrix 解决方案扩展 Citrix Gateway 安装的详细信息,请参阅 与 Citrix 产品集成 主题。

在 DMZ 中部署 Citrix Gateway

许多组织都使用 DMZ 来保护其内部网络。DMZ 是位于组织的安全内部网络和 Internet(或任何外部网络)之间的子网。在 DMZ 中部署 Citrix Gateway 时,用户可以通过适用于 Windows 的 Citrix Secure Access 或 Citrix Workspace 应用程序进行连接。

图 1. 在 DMZ 中部署的 Citrix Gateway

在 DMZ 中部署的 Citrix Gateway

在上图所示的配置中,您可以在 DMZ 中安装 Citrix Gateway,然后将其配置为连接到 Internet 和内部网络。

DMZ 中的 Citrix Gateway 连接

在 DMZ 中部署 Citrix Gateway 时,用户连接必须遍历第一个防火墙才能连接到 Citrix Gateway。默认情况下,用户连接使用端口 443 上的 SSL 来建立此连接。要允许用户连接到达内部网络,必须允许通过第一个防火墙在端口 443 上使用 SSL。

Citrix Gateway 会解密来自用户设备的 SSL 连接,并代表用户建立与第二个防火墙后面的网络资源的连接。必须通过第二个防火墙打开的端口取决于您授权外部用户访问的网络资源。

例如,如果您授权外部用户访问内部网络中的 Web 服务器,并且此服务器侦听端口 80 上的 HTTP 连接,则必须允许通过第二个防火墙在端口 80 上使用 HTTP。Citrix Gateway 代表外部用户设备建立通过第二个防火墙到内部网络上的 HTTP 服务器的连接。

在安全的网络中部署 Citrix Gateway

您可以在安全网络中安装 Citrix Gateway。在这种情况下,一个防火墙站在 Internet 和安全网络之间。Citrix Gateway 驻留在防火墙内以控制对网络资源的访问。

图 1. Citrix Gateway 部署在安全网络中

在安全网络中部署 Citrix Gateway

在安全网络中部署 Citrix Gateway 时,请将 Citrix Gateway 上的一个接口连接到 Internet,将另一个接口连接到安全网络中运行的服务器。将 Citrix Gateway 置于安全网络中可为本地和远程用户提供访问权限。由于此配置只有一个防火墙,因此对于从远程位置进行连接的用户而言,部署的安全性降低了。尽管 Citrix Gateway 会拦截来自 Internet 的流量,但在对用户进行身份验证之前,流量会进入安全网络。在 DMZ 中部署 Citrix Gateway 时,用户会在网络流量到达安全网络之前进行身份验证。

在安全网络中部署 Citrix Gateway 时,适用于 Windows 的 Citrix Secure Access 连接必须穿过防火墙才能连接到 Citrix Gateway。默认情况下,用户连接使用端口 443 上的 SSL 协议来建立此连接。要支持此连接,必须在防火墙上打开端口 443。

常见的 Citrix Gateway 部署