Citrix Gateway

用户如何与 Citrix Secure Access 代理连接

Citrix Gateway 的运行方式如下:

  • 当用户尝试通过 VPN 通道访问网络资源时,Citrix Secure Access 代理会加密发往组织内部网络的所有网络流量,并将数据包转发给 Citrix Gateway。
  • Citrix Gateway 终止 SSL 隧道,接受任何目的地为专用网络的传入流量,然后将流量转发到专用网络。Citrix Gateway 通过安全隧道将流量发送回远程计算机。

当用户键入网址时,他们会收到一个登录页面,他们可以在其中输入凭据并登录。如果凭据正确,Citrix Gateway 将完成与用户设备的握手。

如果用户在代理服务器后面,用户可以指定代理服务器和身份验证凭据。有关详细信息,请参阅 为用户连接启用代理支持

Citrix Secure Access 代理安装在用户设备上。第一次连接后,如果用户使用基于 Windows 的计算机登录,则可以使用通知区域中的图标建立连接。

建立安全隧道

当用户连接到 Citrix Secure Access 代理、Secure Hub 或 Citrix Workspace 应用程序时,客户端软件会在端口 443(或 Citrix Gateway 上配置的任何端口)上建立安全通道并发送身份验证信息。建立隧道后,Citrix Gateway 会向 Citrix Secure Access 代理、Secure Hub 或 Citrix Workspace 应用程序发送配置信息,描述要保护的网络,并在启用地址池时包含 IP 地址。

通过安全连接建立隧道专用网络流

当 Citrix Secure Access 代理启动并对用户进行身份验证时,所有发往指定专用网络的网络流量都将被捕获并通过安全通道重定向到 Citrix Gateway。Citrix Workspace 应用程序必须支持 Citrix Secure Access 代理才能在用户登录时通过安全通道建立连接。

Secure Hub、Secure Mail 和 WorxWeb 使用 Micro VPN 为 iOS 和 Android 移动设备建立安全通道。

Citrix Gateway 会拦截用户设备建立的所有网络连接,并通过安全套接字层 (SSL) 将这些连接复用到 Citrix Gateway,在这里,流量将被解复用,并将连接转发到正确的主机和端口组合。

连接受适用于单个应用程序、应用程序子集或整个 Intranet 的管理安全策略的约束。您可以指定远程用户可以通过 VPN 连接访问的资源(IP 地址/子网对的范围)。

Citrix Secure Access 代理为定义的 Intranet 应用程序拦截和通道传输以下协议:

  • TCP(所有端口)
  • UDP(所有端口)
  • ICMP(类型 8 和 0-回应请求/回复)

来自用户设备上本地应用程序的连接会安全地通过隧道传输到 Citrix Gateway,从而重新建立与目标服务器的连接。目标服务器将连接视为源自专用网络上的本地 Citrix Gateway,因此隐藏了用户设备。这也称为反向网络地址转换 (NAT)。隐藏 IP 地址可以增加源位置的安全性。

在本地用户设备上,所有与连接相关的流量(例如 SYN-ACK、PUSH、ACK 和 FIN 数据包)都由 Citrix Secure Access 代理重新创建,以便从专用服务器上显示。

通过防火墙和代理进行连接

Citrix Secure Access 代理的用户有时位于其他组织的防火墙内,如下图所示:

用户通过两个内部防火墙进行连接

NAT 防火墙维护一个表,允许它们将安全数据包从 Citrix Gateway 路由回用户设备。对于面向电路的连接,Citrix Gateway 维护一个端口映射的反向 NAT 转换表。反向 NAT 转换表使 Citrix Gateway 能够匹配连接并通过隧道将数据包发回具有正确端口号的用户设备,以便数据包返回到正确的应用程序。

控制 Citrix Secure Access 代理的升级

当 Citrix ADC 插件的版本与 Citrix Gateway 修订版本不匹配时,系统管理员控制其执行方式。新选项控制 Mac、Windows 或操作系统的插件升级行为。

对于 VPN 插件,可以在 Citrix ADC 设备用户界面的两个位置设置升级选项:

  • 在全局设置
  • 在会话配置文件级别

要求

  • Windows EPA 和 VPN 插件版本必须大于 11.0.0.0

  • Mac EPA 插件版本必须大于 3.0.0.31

  • Mac VPN 插件版本必须大于 3.1.4 (357)

注意:

如果 Citrix ADC 设备升级到 11.0 版本,则无论升级控制配置如何,所有以前的 VPN(和 EPA)插件都会升级到最新版本。对于后续升级,它们遵循以前的升级控制配置。

插件行为

对于每种客户端类型,Citrix Gateway 允许使用以下三个选项来控制插件升级行为:

  • 总是

只要最终用户的插件版本与 Citrix ADC 设备随附的插件不匹配,插件就会始终升级。这是默认行为。如果您不想在企业中运行多个插件版本,请选择此选项。

  • 基本 (和安全性)

插件仅在认为必要时才进行升级。在以下两种情况下,必须进行升级

  • 已安装的插件与当前的 Citrix ADC 设备版本不兼容。

  • 必须更新已安装的插件才能进行必要的安全修复。

如果要尽量减少插件升级次数,但又不想错过任何插件安全更新,请选择此选项

  • 从不

插件没有升级。

用于控制 VPN 插件升级的 CLI 参数

Citrix Gateway 支持适用于 Windows 和 Mac 操作系统的两种类型的插件(EPA 和 VPN)。为了在会话级别支持 VPN 插件升级控制,Citrix Gateway 支持两个名为 WindowsInPluginUpgrade 和 MacPluginUpgrade 的会话配置文件参数。

这些参数可在全局、虚拟服务器、组和用户级别使用。每个参数的值可以为 “始终”、“基本” 或 “从不”。有关这些参数的说明,请参阅 插件行为

用于控制 EPA 插件升级的 CLI 参数

Citrix Gateway 支持适用于 Windows 和 Mac 操作系统的 EPA 插件。为了在虚拟服务器级别支持 EPA 插件升级控制,Citrix Gateway 支持两个名为 WindowSEpaPluginUpgrade 和 macepaPluginUpgrade 的虚拟服务器参数。

这些参数在虚拟服务器级别可用。每个参数的值可以为 “始终”、“基本” 或 “从不”。有关这些参数的说明,请参阅 插件行为

VPN 配置

请按照以下步骤进 行 Windows、Linux 和 Mac 插件的 VPN 配置

  1. 转到 Citrix ADC > 策略 > 会话。

  2. 选择所需的会话策略,然后单击 编辑

  3. 选择 “ 客户体验 ” 选项卡。

    客户体验选项卡设置

  4. 这些对话框选项会影响升级行为。

    • 总是
    • 基本
    • 从不默 认值为 “始终”。
  5. 选中每个选项右侧的复选框。选择应用升级行为的频率。

升级选项

EPA 配置

对于 Windows、Linux 和苹果插件的 EPA 配置,请按照以下步骤操作。

  1. 转到 Citrix Gateway > 虚拟服务器

  2. 选择一个服务器,然后单击 编辑 按钮。

  3. 单击 铅笔 图标。

    点击铅笔图标

  4. 点击 更多

    更多设置

  5. 出现的对话框会影响升级行为。可用选项如下:

    • 总是
    • 基本
    • 从不

    升级选项

用户如何与 Citrix Secure Access 代理连接