Citrix Gateway

配置客户端拦截

您可以使用 Intranet 应用程序为 Citrix Gateway 上的用户连接配置拦截规则。默认情况下,当您在设备上配置系统 IP 地址、映射的 IP 地址或子网 IP 地址时,将基于这些 IP 地址创建子网路由。Intranet 应用程序是根据这些路由自动创建的,并且可以绑定到虚拟服务器。如果启用拆分隧道,则必须定义 Intranet 应用程序才能进行客户端拦截。

您可以使用配置实用程序配置 Intranet 应用程序。您可以将 Intranet 应用程序绑定到用户、组或虚拟服务器。

如果启用拆分隧道并且用户使用 WorxWeb 或 WorxMail 进行连接,则在配置客户端拦截时,必须为 Citrix Endpoint Management 和 Exchange 服务器添加 IP 地址。如果不启用拆分隧道,则无需在 Intranet 应用程序中配置 Endpoint Management 和 Exchange IP 地址。

为 Citrix Secure Access 代理配置 Intranet 应用程序

您可以通过定义以下内容来创建用于用户访问资源的 Intranet 应用程序:

  • 一个 IP 地址
  • 一系列 IP 地址
  • 一个主机名

在 Citrix Gateway 上定义 Intranet 应用程序时,适用于 Windows 的 Citrix Secure Access 代理会拦截发往资源的用户流量,并通过 Citrix Gateway 发送流量。

配置 Intranet 应用程序时,请考虑以下事项:

  • 如果满足以下条件,则无需定义 Intranet 应用程序:
    • 拦截模式设置为透明
    • 用户正在使用适用于 Windows 的 Citrix Secure Access 代理连接到 Citrix Gateway
    • 拆分隧道功能已禁用
  • 如果用户使用适用于 Java 的 Citrix Secure Access 代理连接到 Citrix Gateway,则必须定义内联网应用程序。适用于 Java 的 Citrix Secure Access 代理仅拦截流向 Intranet 应用程序定义的网络资源的流量。如果用户使用此插件连接,请将拦截模式设置为代理。

配置 Intranet 应用程序时,必须选择与用于建立连接的插件软件类型相对应的拦截模式。

注意:不能同时为代理和透明拦截配置 Intranet 应用程序。要配置网络资源以供适用于 Windows 的 Citrix Secure Access 代理和适用于 Java 的 Citrix Secure Access 代理使用,请配置两个 Intranet 应用程序策略,然后将策略绑定到用户、组、虚拟服务器或 Citrix Gateway 全局。

为一个 IP 地址创建 Intranet 应用程序

  1. 在配置选项卡的导航窗格中,展开 Citrix Gateway 资源 ,然后单击 Intranet 应用程序。
  2. 在详细信息窗格中,单击 添加。
  3. 在名称中,键入配置文件的名称。
  4. 在 “ 创建 Intranet 应用程序 ” 对话框中,选择 “ 透明”。
  5. 在 “ 目标类型” 中,选择 “ IP 地址 和子 网掩码”。
  6. 在协议中,选择适用于网络资源的协议。
  7. IP 地址中,键入 IP 地址。
  8. Netmask中,键入子网掩码,单击 创建 ,然后单击 关闭。

配置 IP 地址范围

如果您的网络中有多台服务器,例如 Web、电子邮件和文件共享,则可以配置包含网络资源 IP 范围的网络资源。此设置允许用户访问 IP 地址范围中包含的网络资源。

  1. 配置 选项卡的导航窗格中,展开 Citrix Gateway 资源 ,然后单击 Intranet 应用程序。
  2. 在详细信息窗格中,单击 添加。
  3. 名称中,键入配置文件的名称。
  4. 在协议中,选择适用于网络资源的协议。
  5. 在 “ 创建 Intranet 应用程序 ” 对话框中,选择 “ 透明”。
  6. 目标类型中,选择 IP 地址范围。
  7. 在 “ IP 开始” 中,键入起始 IP 地址,然后在 “IP 结束” 中键入结束 IP 地址,单击 “ 创建 ”,然后单击 “ 关闭”。

为主机名创建 Intranet 应用程序

  1. 在配置选项卡的导航窗格中,展开 Citrix Gateway 资源 ,然后单击 Intranet 应用程序。
  2. 在详细信息窗格中,单击 添加。
  3. 在名称中,键入配置文件的名称。
  4. 在 “ 创建 Intranet 应用程序 ” 对话框中,选择 “ 透明”。
  5. 目标类型中,选择 主机名
  6. 在协议中,选择 任意,单击 创建, 然后单击 关闭。

重要:

  • 从 13.0 版本 36.27 及更高版本开始,Windows VPN 插件支持基于主机名 (FQDN) 的拆分隧道规则。您必须同时升级 Citrix ADC 设备和 Windows VPN 插件才能发布 13.0 版本 36.27 或更高版本。
  • 还支持通配符主机名。例如,如果配置了主机名为 “*.example.com” 的 Intranet 应用程序 a1.example.comb2.example.com,则会通过隧道传输、等。
  • 基于主机名的 Intranet 应用程序仅在将拆分隧道设置为开时才起作用。
  • 反向拆分隧道不支持基于主机名的规则。
配置客户端拦截