Citrix Gateway 和 Citrix Virtual Apps and Desktops

概述

Citrix Gateway 是 Citrix Workspace 的最佳安全远程访问解决方案。它提供了无数独特的集成,可增强安全性和用户体验。此外,Citrix Gateway 通过单个 URL 整合了从任何设备对任何应用程序的访问。

Citrix Gateway 支持对 Citrix Workspace 的加密和上下文访问(身份验证和授权)。其 Citrix ADC 支持的负载均衡可在 Citrix Virtual Apps and Desktops 服务器之间分配用户流量。Citrix Gateway 还可加速、优化流量并提供对流量的可见性,这对于确保 Citrix Virtual Apps and Desktops 部署中的最佳用户性能非常有用。

以下集成为 Citrix Workspace 部署增加了价值:

  • 上下文身份验证 — 使用多因素 (nFactor) 身份验证验证用户和设备
  • 上下文授权-根据用户、位置和设备属性限制应用程序和桌面的可用性
  • 上下文访问 - 通过修改 Citrix HDX 连接行为限制对 HDX 功能的访问
  • 端到端监控 — 确定影响用户绩效的延迟和分类问题的根源
  • 自适应网络传输 — 动态响应不断变化的网络状况,提供卓越的用户体验
  • 最佳路由 — 始终从本地网关启动应用程序和桌面,确保更好的用户体验
  • 自定义可用性监视器 — 对 StoreFront 和 Delivery Controller 服务器上运行的后端服务提供深入的应用程

概念架构

Citrix Gateway 是一种强化设备(物理或虚拟),它使用基于标准的 SSL/TLS 加密代理和保护所有 Citrix Workspace 流量。最常见的部署配置是将 Citrix Gateway 设备放置在 DMZ 中。这将 Citrix Gateway 置于组织的安全内部网络和 Internet(或任何外部网络)之间。

许多组织使用单个 DMZ 来保护其内部网络(图 1)。但是,可以为需要双跳 DMZ 的更复杂的部署部署多个 Citrix Gateway 设备(图 2)。

单跳 DMZ 图

图 1:在单个 DMZ 中部署了 Citrix Gateway 的虚拟应用程序和桌面

一些组织使用多个防火墙或保护其内部网络。图 2 中的三个防火墙将 DMZ 划分为两个阶段(双跳),为内部网络提供额外的安全保护层。

双跳 DMZ 图

图 2:在双跳 DMZ 中部署了 Citrix Gateway 的 Virtual Apps and Desktops

Citrix 管理员可以在双跳 DMZ 中部署 Citrix Gateway 设备,以控制对运行 Citrix Virtual Apps and Desktops 的服务器的访问。在双跳部署中,安全功能在两台设备之间拆分。

第一个 DMZ 中的 Citrix Gateway 处理用户连接并执行安全功能,例如加密、身份验证和访问内部网络中的服务器。

第二个 DMZ 中的 Citrix Gateway 充当 Citrix Gateway 代理设备。此 Citrix Gateway 使 HDX 流量能够遍历第二个 DMZ 以完成用户与服务器场的连接。第一个 DMZ 中的 Citrix Gateway 与内部网络中的安全票证颁发机构 (STA) 之间的通信也可通过第二个 DMZ 中的 Citrix Gateway 进行代理。

在部署了多个 StoreFront 和交付控制器服务器的企业中,Citrix 建议使用 Citrix ADC 设备对服务进行负载平衡。一台虚拟服务器对所有 StoreFront 服务器进行负载平衡,另一台虚拟 Delivery Controller 对应用程序智能运行状况监控可确保只有完全正常运行的服务器才会被标记为可

为全局服务器负载平衡 (GSLB) 配置的 Citrix ADC 设备可以在数据中心之间平衡 Citrix Workspace 负载。GLSB 会将用户请求定向到最近或性能最佳的数据中心,或者在出现中断时将用户请求引导到仍然存在的数据中心。使用 GSLB 提供跨多个数据中心的灾难恢复,并通过防范故障点来确保应用程序的持续可用性。

在图 3 中,ADC 使用指标交换协议 (MEP) 和 DNS 基础架构将用户连接到最符合管理员设定的条件的数据中心。这些条件可以指定负载最少、最近或最快的数据中心来响应请求。

适用于 Citrix Virtual Apps and Desktops 的 GSLB

图 3:Virtual Apps and Desktops 的全局服务器负载平衡

上下文身份验证(nFactor 和 EPA)

Citrix Gateway 为所有应用程序整合了远程访问身份验证基础架构,无论是在数据中心、云中还是应用程序作为 SaaS 应用程序交付。此外,Citrix Gateway 还提供:

  • 访问所有应用程序的单点
  • 所有应用程序的安全访问管理、精细且一致的访问控制
  • 提高工作效率的更好的用户体验
  • 提高安全性的多重身份验证

Citrix Gateway 单点登录整合

图 4:Citrix Gateway 单点登录整合

Citrix Gateway 身份验证整合了用户和组的本地和远程身份验Citrix Gateway 包括对以下身份验证类型的支持。

  • 本地
  • 轻量级目录访问协议 (LDAP)
  • RADIUS
  • SAML
  • TACACS+
  • 客户端证书身份验证(包括智能卡身份验证)

Citrix Gateway 还支持使用 RADIUS 服务器配置的多因素身份验证解决方案,如 RSA SecurID、金雅拓 Protiva(泰雷兹)、双核(思科)和 SafeWord(阿拉丁)。

Citrix Gateway nFactor 选项

图 5:Citrix Gateway nFactor 选项

nFactor 身份验证

Citrix Gateway 通过真正的多因素功能扩展了双因素身份验证,并为管理员提供了进行身份验证、授权和审例如,使用 nFactor 身份验证可以动态登录表单和失败时的操作。管理员可在 Citrix Gateway 上配置两种类型的多重身份验证:

  • 双重身份验证,要求用户通过使用两种类型的身份验证登录
  • 设置身份验证优先级级别的级联身份验证

如果 Citrix Gateway 部署具有多个身份验证服务器,则管理员可以设置身份验证策略的优先级。优先级决定了身份验证服务器验证用户凭据的顺序。管理员配置级联时,系统会遍历每个身份验证服务器以验证用户的凭据。

nFactor 身份验证启用基于用户配置文件的动态身份验证流。这些流程可能很简单,也可以使用其他身份验证服务器与更复杂的安全要求相结合。以下是 Citrix Gateway 启用的一些用例:

  1. 动态用户名和密码选择:传统上,Citrix 客户端(包括浏览器和 Workspace 应用程序)使用 Active Directory (AD) 密码作为第一个密码字段。第二个密码保留给一次性密码 (OTP)。但是,为了保护 AD 服务器免受暴力攻击和锁定攻击,客户可以要求首先验证第二个因素(例如 OTP)。nFactor 可以在不需要修改客户端的情况下完成此操作。
  2. 多租户身份验证终端节点:一些组织对证书和非证书用户使用不同的 Citrix Gateway 登录点用户使用自己的设备登录时,他们的访问级别可能因 Citrix Gateway 而异,具体取决于所使用的设备。Citrix Gateway 可以满足同一登录点上的不同身份验证需求,从而降低复杂性并改善用户体验。
  3. 基于组成员资格的身份验证:某些组织从 AD 服务器获取用户属性,以确定身份验证要求,这些要求可能因个例如,组提取可用于确定用户是员工还是供应商,并提供适当的第二因素身份验证。

端点分析扫描

端点分析 (EPA) 扫描用于检查用户设备是否符合终端安全要求。它们是 Citrix Gateway 设备上配置的基于策略的预身份验证和身份验证后扫描。如果身份验证策略涉及终端的状态,则 EPA 扫描将是上下文身份验证的一部分。

当用户设备尝试通过 Citrix Gateway 设备访问 Citrix Workspace 时,会在授予访问权限之前对设备进行扫描以确保合规性。例如,EPA 可用于检查操作系统、防病毒、Web 浏览器、特定进程、文件系统或注册表项以及用户或设备证书等参数。

管理员可以使用 OPSWAT EPA 引擎扫描和使用客户端安全引擎进行系统扫描来配置两种类型的 EPA 扫描。使用 OPSWAT EPA 引擎,管理员可以配置产品、供应商扫描和通用扫描。这些检查分别查找特定供应商提供的特定产品、特定类别中的供应商或所有供应商和产品的某个类别。

系统扫描验证系统级属性,例如 MAC 地址或设备证书。设备证书可以在 nFactor 中配置为 EPA 组件,管理员可以根据设备证书身份验证有选择地允许或阻止对公司 Intranet 资源的访问。

上下文授权(SmartAccess)

SmartAccess 使用 EPA 身份验证后策略来限制用户对应用程序和桌面的访问。例如,当用户从受管或非受管设备进行连接时,可以分别启用或禁用敏感的人力资源应用程序。

使用 SmartAccess 策略,管理员可以根据每个用户和每个应用程序确定可用的资源。使用诸如最终用户、源 IP 范围、特定注册表项或用户终端节点上的文件等因素来确定是否符合合规性。同样,SmartAccess 扫描可用于识别连接到计算机的特定外围设备,并显示需要该设备的应用程序。

SmartAccess 已在 Citrix 网关和 Citrix Studio 内部进行配置。EPA 扫描的结果与 Citrix Studio 中的相应访问策略匹配。在图 6 中,用户使用受管设备通过 Citrix Gateway 登录 Citrix Workspace 并通过合规性扫描。自扫描通过以来,关联的 Citrix Gateway 虚拟服务器和会话策略将触发 Citrix Studio 策略以启用对应用程序的访问。

符合规性的 EPA 扫描失败

图 6:允许使用合规性通行证和应用程序进行 EPA 扫描

在图 7 中,同一用户使用个人设备通过 Citrix Gateway 登录到 Citrix Workspace,但无法通过合规性扫描。相反,EPA 扫描失败不会触发为此用户和设备启用应用程序。

符合规性的 EPA 扫描失败

图 7:EPA 扫描符合性失败且应用程序受到限制

上下文访问(SmartAccess 和 SmartControl)

Citrix 管理员还可以根据用户连接到 Citrix Gateway 的方式修改 Citrix HDX 连接行为。一些示例包括禁用客户端驱动器映射、禁用对特定应用程序和桌面的访问以及禁用打印访问权限。

在图 8 中,用户使用个人设备通过 Citrix Gateway 登录到 Citrix Workspace,但未通过合规性扫描。Citrix Gateway 执行的 EPA 扫描结果将与 Citrix Workspace 进行通信。使用 SmartAccess,Delivery Controller 强制执行扫描结果并禁止剪贴板访问和客户端驱动器映射。

符合规性的 EPA 扫描失败

图 8:EPA 扫描符合性失败

在图 9 中,同一用户使用合规设备连接到同一 Citrix Gateway。EPA 结果现在允许访问剪贴板和客户端驱动器映射。

带合规性通行证的 EPA 扫描

图 9:使用合规性通行证进行 EPA 扫描

SmartControl 可帮助客户满足安全要求,这些要求规定在网络边缘评估访问条件。客户安全策略可能要求甚至在用户获得公司网络访问权限之前阻止对资源的访问。SmartControl 可用于在 Citrix Gateway 上阻止或允许某些组件,例如打印机访问、音频重定向和客户端设备驱动器重定向。

SmartAccess 和 SmartControl 相似,但是,SmartControl 仅在 Citrix Gateway 上进行配置,而 SmartAccess 则需要在 Citrix Gateway 和 Citrix Studio 内部进行配置。当管理员想要为整个场做出访问策略决策时,他们可以在 Citrix Gateway 上使用适用于整个场的 SmartControl。一个区别是,SmartAccess 允许管理员控制已发布图标的可见性,而 SmartControl 则不能。图 10 比较了 SmartAccess 和 SmartControl 功能支持。

SmartAccess 和 SmartControl 功能比较

图 10:SmartAccess 和 SmartControl 功能比较

SmartControl 策略旨在不启用任何类型的访问,如果个别 Delivery Controller 级别禁止访问。这些选项是默认使用 Delivery Controller 级别的策略设置或禁止某个访问,即使 Delivery Controller 允许访问也是如此。SmartAccess 和 SmartControl 策略可以同时定义,并应用限制性最强的策略集。以下是 SmartControl 设置的列表:

  • 连接客户端 LPT 端口 — 阻止用于打印机的 LPT 端口重定向
  • 客户端音频重定向 — 将音频从 VDA 重定向到客户端设备
  • 本地远程数据共享 — 允许或禁止使用 Receiver HTML5 进行数据共享
  • 客户端剪贴板重定向 — 将客户端剪贴板内容重定向到 VDA
  • 客户端 COM 端口重定向 — 将 COM(串行)端口从客户端重定向到 VDA
  • 客户端驱动器重定向 — 将客户端驱动器从客户端重定向到 VDA
  • 客户端打印机重定向 — 将客户端打印机从客户端重定向到 VDA
  • 多流 — 允许或禁用多流
  • 客户端 USB 驱动器重定向 — 仅将 USB 驱动器从客户端重定向到桌面 VDA

自适应网络传输 (EDT)

Citrix HDX 是一组技术,可确保在连接到远程 Citrix 资源时获得无与伦比的用户体验。借助 Citrix Workspace 应用程序中的 HDX 引擎和 HDX 协议,Citrix HDX 允许用户即使在具有挑战性的网络条件下也能与资源进行无缝交互。

最近对 HDX 的优化是基于 Citrix UDP 的可靠传输协议,称为 “Enlightened Data Transport (EDT)”。EDT 速度更快,改善了应用程序交互性,并且在具有挑战性的长途广域网和互联网连接中更具互动性。EDT 通过动态响应不断变化的网络状况,同时保持高服务器可扩展性和高效利用带宽,提供卓越的用户体验

EDT 建立在 UDP 之上,可提高所有 ICA 虚拟通道的数据吞吐量,包括 Thinwire 显示远程处理、文件传输(客户端驱动器映射)、打印和多媒体重定向。当 EDT 不可用时,EDT 会智能地切换到 TCP ICA 以提供最佳性能。Citrix Gateway 支持 EDT 和数据报传输层安全性 (DTLS),必须启用该安全性才能加密 EDT 使用的 UDP 连接。

HDX 自适应传输

图 11:HDX 自适应传输

观看此视频了解更多:

端到端监控(HDX Insight)

Citrix HDX Insight 为通过 Citrix Gateway 的 Virtual Apps and Desktops 的 HDX 流量提供端到端的可见性。使用 Citrix Application Delivery Management (ADM),管理员可以查看实时客户端和网络延迟指标、历史报告、端到端性能数据,并排查性能问题。

通过解析 HDX 流量,HDX Insight 可以识别影响用户性能的延迟和分类问题的来源。例如,用户在访问 Citrix Virtual Apps and Desktops 时可能会遇到延迟。为了确定问题的根本原因,管理员可以使用 HDX Insight 来分析 WAN 延迟、数据中心延迟和主机延迟。使用 HDX Insight 有助于确定延迟是在服务器、数据中心网络还是客户端网络端。

图 12 显示了特定用户具有正常 WAN 延迟但数据中心延迟较高的示例。此信息对于帮助管理员对性能问题进行分类至关重要。

HDX Insight 会话可见性

图 12:HDX Insight 会话可见性

HDX Insight 的一项重要功能是能够捕获和显示第 7 层 (L7) 的延迟。L7 延迟计算是在 HDX 层完成的,因此无论 TCP 代理是否存在,都能提供端到端延迟检测。查看图 10,对应用程序层的可见性有助于管理员通过检测延迟来自应用程序而不是网络(例如,在服务器或后端过载的情况下)来诊断延迟。

L7 延迟阈值可主动检测应用程序中的端到端网络延迟问题。此功能与捕获第 4 层网络延迟形成鲜明对比,后者不需要 HDX 解析,但存在着端到端延迟视图不完整的主要缺陷。

HDX Insight 提供虚拟 HDX 应用程序和桌面的成功用户登录、延迟和应用程序级详细信息。Gateway Insight 提供了用户的端点分析 (EPA)、身份验证、单点登录 (SSO) 和应用程序启动失败。

通过 Gateway Insight 还可以查看虚拟应用程序的应用程序启动失败的原因。Gateway Insight 增强了管理员对任何类型的登录或应用程序启动失败问题进行故障排除的能力,还能查看:

  • 启动的应用程序数量
  • 会话总数和活动会话数
  • 应用程序消耗的总字节数和带宽
  • 应用程序的用户、会话、带宽和启动错误的详细信息
  • 网关数
  • 活动会话数
  • 与 Citrix Gateway 设备关联的所有网关在任何给定时间使用的总字节数和带宽
  • 与网关关联的所有用户的详细信息及其登录活动

HDX Insight L7 会话可见性

图 13:HDX Insight L7 会话可见性

HDX 最佳网关路由

Citrix 通过 Citrix Workspace 提供最佳的应用和桌面用户体验。在混合云部署中,客户可以使用全局服务器负载平衡 (GSLB) 简化用户体验。GSLB 使用户可以轻松访问应用程序、桌面和数据,无论其位置如何。但是,对于多个 Citrix Gateways,客户会问:“我们如何将用户发送到用户唯一数据或后端应用程序依赖关系所在的特定数据中心?”

HDX 最佳网关路由使管理员能够将 Citrix Gateway 连接指向区域。这可以确保 Citrix Gateway 选择它通常具有管理员定义的最佳连接的区域。使用 GSLB 还会根据用户的位置将用户路由到最佳 Citrix Gateway,并且该网关将连接到区域以实现完整的最佳网关路由。

HDX Optimal Gateway 路由通过将身份验证网关与最佳启动网关分离,确保用户体验既简单又一致。这可确保用户始终从本地网关启动应用程序和桌面,从而确保在任何地方、任何设备上工作时都能获得更好的用户体验。

GSLB 供电的区域首选项是一项与 Workspace、StoreFront 和 ADC 设备集成的功能,可根据用户位置为用户提供对最优化的数据中心的访问权限。使用此功能,当 HTTP 请求到达 Citrix Gateway 设备时,将检查客户端 IP 地址,并使用真实的客户端 IP 地址创建转发到 StoreFront 的数据中心首选项列表。

如果 ADC 配置为插入区域首选项标头,StoreFront 3.5 或更高版本可以使用设备提供的信息对交付控制器列表重新排序,然后连接到与客户端相同区域中的最佳交付控制器。StoreFront 为所选数据中心区域选择最佳网关 VPN 虚拟服务器,将此信息添加到具有相应 IP 地址的 ICA 文件中,然后将其发送到客户端。然后,StoreFront 会尝试启动托管在首选数据中心的交付控制器上托管的应用程序,然后再尝试联系其他数据中心的

HDX Insight 优化的网关路由

图 14:HDX Insight 优化的网关路由

定制可用性监控

与 Citrix Workspace 一起部署的 Citrix Gateway 可确保高效交付应用使用 Citrix Gateway,来自 Citrix Workspace 应用程序的传入用户请求可以在服务器组中的多个 StoreFront 节点之间进尽管其他一些解决方案使用简单的 ICMP Ping 或 TCP 端口监视器,Citrix Gateway 对在 StoreFront 和 Delivery Controller 服务器上运行的后端服务进行了深入的应用程

StoreFront 服务是通过探测在 StoreFront 服务器上运行的 Windows 服务来监控的。Citrix 服务监视器 Windows 服务没有其他服务依赖关系,可以监视和报告 StoreFront 所依赖的以下关键服务的故障:

  • W3SVC (IIS)
  • WAS(Windows 进程激活服务)
  • CitrixCredentialWallet
  • CitrixDefaultDomainService

Citrix Gateway 还具有自定义 Delivery Controller 监视器,以确保在 Citrix Gateway 对资源进行负载平衡之前,交付控制器处于活动状态并监视器探测将验证用户的凭据并确认应用程序枚举以确认 XML 服务是否正常工作。这可以防止可能会将请求发送到无响应的服务器的黑洞情况。

摘要

在任何 HDX 代理解决方案中,Citrix Gateway 与 Citrix Workspace 的集成点最多。Citrix Gateway 提供对 Citrix Virtual Apps and Desktops 的安全远程访问,并通过可见性和优化功能进行了增强,这些功能对确保最佳用户性Citrix ADC 提供智能全局服务器负载平衡,可增强可用性和用户体验。以下功能增强了安全性和用户体验:

  • 上下文身份验证 — 用于验证用户和设备的多因素 (nFactor) 身份验证
  • 上下文授权-根据用户、位置和设备属性限制应用程序和桌面的可用性
  • 上下文访问 - 通过修改 Citrix HDX 连接行为限制对 HDX 功能的访问
  • 端到端监控-确定影响用户绩效的延迟和分类问题的根源
  • 自适应网络传输 — 动态响应不断变化的网络状况,提供卓越的用户体验
  • 最佳路由 — 始终从本地网关启动应用程序和桌面,确保更好的用户体验
  • 自定义可用性监视器 — 对 StoreFront 和 Delivery Controller 服务器上运行的后端服务进行深度应用
Citrix Gateway 和 Citrix Virtual Apps and Desktops