Citrix Gateway

开始之前的准备工作

在安装 Citrix Gateway 之前,必须评估您的基础结构并收集信息,以规划满足贵组织的特定需求的访问策略。在定义访问策略时,您需要考虑安全隐患并完成风险分析。还需要确定允许用户连接的网络,并决定启用用户连接的策略。

除了规划可供用户使用的资源外,您还需要规划部署方案。Citrix Gateway 兼容以下 Citrix 产品:

  • Citrix Endpoint Management
  • Citrix Virtual Apps
  • Citrix Virtual Desktops
  • StoreFront
  • Web Interface
  • Citrix SD-WAN

有关部署 Citrix Gateway 的详细信息,请参阅常见部署Integrating With Citrix Products(与 Citrix 产品集成)

在准备访问策略时,请执行以下初步步骤:

  • 识别资源。列出要为其提供访问权限的网络资源,例如 Web 应用程序、SaaS 应用程序、移动应用程序或已发布的应用程序、虚拟桌面、服务和您在风险分析中定义的数据。
  • 开发访问场景。创建描述用户如何访问网络资源的访问场景。访问场景由用于访问网络的虚拟服务器、端点分析扫描结果、身份验证类型或其组合定义。还可以定义用户登录网络的方式。
  • 识别客户端软件。可以使用 Citrix Secure Access 代理提供完全 VPN 访问权限,要求用户使用 Citrix Workspace 应用程序、Secure Hub 或使用无客户端访问登录。还可以限制对 Outlook Web App 或 WorxMail 的电子邮件访问。这些访问场景还决定了用户在获得访问权限时可以执行的操作。例如,您可以指定用户是否可以通过使用已发布的应用程序或通过连接到文件共享来修改文档。
  • 将策略与用户、组或虚拟服务器关联。当个人或一组用户满足指定的条件时,您在 Citrix Gateway 上创建的策略将强制执行。可以根据创建的访问场景来确定条件。然后,您可以创建策略,通过控制用户可以访问的资源以及用户可以对这些资源执行的操作来扩展网络的安全性。可以将策略与相应的用户、组、虚拟服务器关联,或者全局关联。

本部分内容含以下主题,以帮助您规划访问策略:

  • 安全规划包括有关身份验证和证书的信息。
  • 定义您可能需要的网络硬件和软件的必备条件。
  • 可用户在配置 Citrix Gateway 之前记下设置的预安装核对表。

安装 Citrix Gateway 的必备条件

在 Citrix Gateway 上配置设置之前,请查看以下必备条件:

  • Citrix Gateway 已实际安装在您的网络中,并且可以访问网络。Citrix Gateway 部署在 DMZ 或防火墙后面的内部网络中。还可以在双跃点 DMZ 中配置 Citrix Gateway 并配置与服务器场的连接。Citrix 建议在 DMZ 中部署设备。
  • 可以使用默认网关或到内部网络的静态路由配置 Citrix Gateway,以便用户可以访问网络中的资源。默认情况下,Citrix Gateway 配置为使用静态路由。
  • 用于身份验证和授权的外部服务器已配置并且正在运行。有关详细信息,请参阅身份验证和授权
  • 网络具有用于名称解析的域名服务器 (DNS) 或 Windows Internet 命名服务 (WINS) 服务器,以提供正确的 Citrix Gateway 用户功能。
  • 您从 Citrix Web 站点下载了用于用户与 Citrix Secure Access 代理进行连接的通用许可证,许可证已准备好安装在 Citrix Gateway 上。
  • Citrix Gateway 具有可信证书颁发机构 (CA) 签名的证书。有关详细信息,请参阅安装和管理证书

在安装 Citrix Gateway 之前,请使用预安装核对表记下您的设置。

规划安全性

规划 Citrix Gateway 部署时,必须了解与证书以及身份验证和授权关联的基本安全问题。

配置安全证书管理

默认情况下,Citrix Gateway 包含自签名安全套接字层 (SSL) 服务器证书,该证书使设备能够完成 SSL 握手。自签名证书足以用于测试或者示例部署,但 Citrix 不建议将其用于生产环境。在生产环境中部署 Citrix Gateway 之前,Citrix 建议您从已知的证书颁发机构 (CA) 请求并接收签名的 SSL 服务器证书,然后将其上载到 Citrix Gateway。

如果在 Citrix Gateway 必须在 SSL 握手中作为客户端运行的任何环境中部署 Citrix Gateway(启动与另一台服务器的加密连接),还必须在 Citrix Gateway 上安装可信根证书。例如,如果您使用 Citrix Virtual Apps 和 Web Interface 部署 Citrix Gateway,则可以使用 SSL 加密从 Citrix Gateway 到 Web Interface 的连接。在此配置中,必须在 Citrix Gateway 上安装可信根证书。

身份验证支持

可以将 Citrix Gateway 配置为对用户进行身份验证,并控制用户对内部网络中的网络资源的访问权限(或授权)级别。

在部署 Citrix Gateway 之前,您的网络环境必须具有支持下面其中一种身份验证类型的目录和身份验证服务器:

  • LDAP
  • RADIUS
  • TACACS+
  • 支持审核和智能卡的客户端证书
  • 使用 RADIUS 配置的 RSA
  • SAML 身份验证

如果您的环境不支持其中任何身份验证类型,或者您的远程用户数量较少,则可以在 Citrix Gateway 上创建本地用户的列表。然后,您可以将 Citrix Gateway 配置为根据这一本地列表对用户进行身份验证。使用此配置,您无需在单独的外部目录中维护用户帐户。

保护您的 Citrix Gateway 部署

不同的部署可能需要考虑不同的安全注意事项。Citrix ADC 安全部署指南提供了一般性安全指导,帮助您根据特定的安全要求决定适当的安全部署。

有关详细信息,请参阅 Citrix ADC 安全部署指南

开始之前的准备工作