Citrix Gateway

在双跃点 DMZ 中部署 Citrix Gateway

部分组织使用三个防火墙来保护其内部网络。这三个防火墙将 DMZ 划分为两个阶段以提供额外的安全层供内部网络使用。此网络配置称为双跃点 DMZ。

图 1. 在双跃点 DMZ 中部署的 Citrix Gateway 设备

在双跃点 DMZ 中部署 Citrix Gateway

注意:

为了说明起见,上面的示例描述了将三个防火墙与 StoreFront、Web 界面和 Citrix Virtual Apps 结合使用的双跃点配置。但是,您也可以使用双跃点 DMZ,其中一台设备位于 DMZ 中,另一台设备位于安全网络中。如果在 DMZ 中配置一台设备,在安全网络中配置一台设备的双跃点配置,则可以忽略在第三个防火墙上打开端口的说明。

您可以配置双跃点 DMZ 以支持 Citrix StoreFront 或与 Citrix Gateway 代理并行安装的 Web Interface。用户使用 Citrix Workspace 应用程序连接。

注意:

如果使用 StoreFront 在双跃点 DMZ 中部署 Citrix Gateway,适用于 Citrix Workspace 应用程序的基于电子邮件的自动发现将无法正常工作

Double-Hop 部署的工作原理

您可以在双跃点 DMZ 中部署 Citrix Gateway 设备,以控制对运行 Citrix Virtual Apps 的服务器的访问。双跃点部署中的连接如下所示:

  • 用户通过使用 Web 浏览器和 Citrix Workspace 应用程序选择已发布的应用程序,在第一个 DMZ 中连接到 Citrix Gateway。
  • Citrix Workspace 应用程序将在用户设备上启动。用户连接到 Citrix Gateway 以访问安全网络中服务器场中运行的已发布应用程序。

    注意: 双跃点 DMZ 部署不支持 Secure Hub 和适用于 Windows 的 Citrix Secure Access 代理。只有 Citrix Workspace 应用程序用于用户连接。

  • 第一个 DMZ 中的 Citrix Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 Citrix Gateway 对用户连接进行加密,确定如何对用户进行身份验证,并控制对内部网络中服务器的访问。
  • 第二个 DMZ 中的 Citrix Gateway 用作 Citrix Gateway 代理设备。此 Citrix Gateway 使 ICA 流量能够遍历第二个 DMZ,从而完成用户与服务器场的连接。第一个 DMZ 中的 Citrix Gateway 与内部网络中的安全票证颁发机构 (STA) 之间的通信也可通过第二个 DMZ 中的 Citrix Gateway 进行代理。

Citrix Gateway 支持 IPv4 和 IPv6 连接。您可以使用配置实用程序配置 IPv6 地址。

下表建议了对各种 ICA 功能的双跃点部署支持:

ICA 功能 双跃点支持
SmartAccess
SmartControl
Enlightened Data Transport (EDT)
HDX Insight
ICA 会话可靠性(端口 2598)
ICA 会话迁移
ICA 会话超时
多流 ICA
Framehawk
UDP 音频

为双跃点 DMZ 部署做好准备

配置双跃点 DMZ 部署时,必须回答以下问题:

  • 我想支持负载平衡吗?
  • 我应该在防火墙上打开哪些端口?
  • 我需要多少个 SSL 证书?
  • 在开始部署之前,我需要哪些组件?

本节中的主题包含的信息可帮助您根据自己的环境回答这些问题。

开始部署所需的组件

在开始双跃点 DMZ 部署之前,请确保您具有以下组件:

  • 必须至少有两个 Citrix Gateway 设备可用(每个 DMZ 一个)。

  • 运行 Citrix Virtual Apps 的服务器必须安装并在内部网络中运行。

  • Web Interface 或 StoreFront 必须安装在第二个 DMZ 中,并配置为与内部网络中的服务器场一起运行。

  • 在第一个 DMZ 中,Citrix Gateway 上必须至少安装一个 SSL 服务器证书。此证书可确保 Web 浏览器和用户与 Citrix Gateway 的连接已加密。

    如果要加密双跃点 DMZ 部署中其他组件之间发生的连接,则需要额外的证书。

在双跃点 DMZ 中部署 Citrix Gateway