Product Documentation

XenApp 和 Secure Gateway

Dec 10, 2015

Secure Gateway for Windows 可帮助您安全访问运行 Citrix XenApp 的企业网络计算机,并且可以在 Citrix XenApp 与用户设备之间提供一个安全的 Internet 网关。 Secure Gateway 以透明方式加密和验证所有用户连接,从而有助于防止数据篡改和被盗。 远程工作站与 Secure Gateway 之间进行 Internet 遍历的所有数据均使用安全套接字层 (SSL) 或传输层安全性 (TLS) 协议进行加密。

Secure Gateway 是以服务方式在部署到隔离区 (DMZ) 中的服务器上运行的应用程序。 运行 Secure Gateway 的服务器代表安全的企业网络的单一访问点。 Secure Gateway 充当通过 Internet 向企业网络发出的每个连接请求的通信中介。 为增强安全性,在双跃点 DMZ 部署中将 Secure Gateway 与 Secure Gateway 代理一起使用。 Secure Gateway 安装在第一个 DMZ 中,而 Secure Gateway 代理安装在第二个 DMZ 中。 Secure Gateway 代理充当从 Secure Gateway 到安全网络中的服务器以及从安全网络中的服务器到 Secure Gateway 的流量传输导线。

您的企业网络可以包含一台或多台运行 Citrix XenApp 的服务器。 服务器场用于托管用户能够通过网络访问的已发布资源。

Secure Gateway 与 Citrix XenApp 的以下组件共同用于登录和身份验证:

Citrix Web Interface
向用户提供从 Web 浏览器访问服务器场中的已发布资源的权限。 Web Interface 与 Secure Gateway 结合使用来提供登录界面,并帮助对发送到服务器场的连接请求进行身份验证和授权。
Secure Ticket Authority (STA)
在对 Citrix XenApp 上已发布资源的连接请求做出响应时,STA 负责颁发会话票证。 这些会话票证构成了对访问已发布资源的权限进行身份验证和授权的基础。 安装 Citrix XenApp 过程中,STA 将自动安装。 不需要再为 STA 单独预留一台服务器。
Citrix XML Service
Secure Gateway 提供对服务器场中可用的已发布资源的安全访问权限,系统将联系 Citrix XML Service 以获取已发布资源的可用性和位置。 Citrix XML Service 是服务器场的联系点,向用户设备提供 HTTP 接口。 它使用的是 TCP 协议(而不是 UDP),这样连接便可跨越大多数防火墙。 Citrix XML Service 的默认端口为 80。 请确保此端口已配置、能够正确发挥作用并且可以通过安全网络前端的防火墙进行访问。
Citrix Receiver Web
您可以使用 Citrix Receiver Web 来访问可从 Web Interface 获得的资源,以及访问通过传统的应用程序启动和嵌入 (Application Launching and Embedding, ALE) 而发布的资源。
重要:Secure Gateway 和 Secure Gateway Proxy 在使用 NetScaler Gateway 和高级访问控制的环境中不受支持。

规划 Secure Gateway 部署

Secure Gateway 的部署取决于多种因素,包括您的企业网络中的 Citrix 组件。 Secure Gateway 与 Citrix XenApp 结合使用。

如果您的企业网络中包含一个服务器场,则可以部署 Secure Gateway 以提供对已发布资源的安全 Internet 访问。 在此类部署中,Secure Gateway 与 Web Interface 共同提供身份验证、授权和重定向到 Citrix XenApp 服务器上托管的已发布资源。

要确保不危及 Secure Gateway 的安全性,Citrix 建议预留服务器专供 Secure Gateway 使用。

注意:Citrix 建议先在测试环境中设置 Secure Gateway,然后在生产环境中实施,以确保所有功能正常运行。

请将 Secure Gateway 置于两个防火墙之间的 DMZ 中以提供最大保护。 此外,请通过物理方式确保 DMZ 的安全,以阻止访问 DMZ 中的防火墙和服务器。 破坏 DMZ 服务器最多可能会在您从安全漏洞恢复时造成停机形式的干扰。

重要:Citrix 建议您配置防火墙以将访问限制到仅特定的 TCP 端口。 如果您将防火墙配置为允许访问 TCP 端口而非用于 HTTP、ICA、SSL 和 XML 数据的端口,您可能会允许用户获取对服务器上未授权端口的访问权限。

安装 Secure Ticket Authority

安装 Citrix XenApp 时,将自动安装并配置 Secure Ticket Authority (STA)。

STA 不需要 Microsoft’s Internet Information Services (IIS)。 STA 只能由 Citrix XML Service 托管。 如果 STA 由 Citrix XML Service 托管,请配置 Citrix SSL Relay。

安装 Secure Gateway 期间,请输入运行 Citrix XenApp 的服务器的 FQDN。 如果您在 Secure Gateway 与 STA 之间使用启用了 SSL 的连接,请务必从证书颁发机构安装正确的证书。

规划 Secure Gateway 部署

Secure Gateway 的部署取决于多种因素,包括您的企业网络中的 Citrix 组件。 Secure Gateway 与 Citrix XenApp 结合使用。

如果您的企业网络中包含一个服务器场,则可以部署 Secure Gateway 以提供对已发布资源的安全 Internet 访问。 在此类部署中,Secure Gateway 与 Web Interface 共同提供身份验证、授权和重定向到 Citrix XenApp 服务器上托管的已发布资源。

要确保不危及 Secure Gateway 的安全性,Citrix 建议预留服务器专供 Secure Gateway 使用。

注意:Citrix 建议先在测试环境中设置 Secure Gateway,然后在生产环境中实施,以确保所有功能正常运行。

请将 Secure Gateway 置于两个防火墙之间的 DMZ 中以提供最大保护。 此外,请通过物理方式确保 DMZ 的安全,以阻止访问 DMZ 中的防火墙和服务器。 破坏 DMZ 服务器最多可能会在您从安全漏洞恢复时造成停机形式的干扰。

重要:Citrix 建议您配置防火墙以将访问限制到仅特定的 TCP 端口。 如果您将防火墙配置为允许访问 TCP 端口而非用于 HTTP、ICA、SSL 和 XML 数据的端口,您可能会允许用户获取对服务器上未授权端口的访问权限。

Secure Gateway 功能

内置安全性
Secure Gateway 提供与 Microsoft 的最佳实践一致的身份验证、授权和加密功能以确保软件安全。
支持网络协议
Secure Gateway 支持 TCP/IP 协议,例如 FTP、HTTP 和 Telnet。
支持 IPv4 和 IPv6 协议
可以将 Secure Gateway 配置为接受来自使用 IPv4 和 IPv6 地址的客户端的入站连接。
支持安全套接字层
Secure Gateway 提供 SSL 支持以确保客户端与 Secure Gateway 组件之间的通信安全。
简单部署
Citrix XenApp 包括 Secure Ticket Authority (STA),并且合并到一个 Windows Installer 软件包中,使得部署更加高效。 STA 自动部署在与 Citrix XenApp 相同的计算机上,降低了基本部署所需的计算机数量。安装 STA 不再需要 Internet Information Server。支持在安装 Citrix XenApp 过程中安装 STA Internet Information Server 部署。
证书管理
Secure Gateway 配置向导阻止选择没有私钥的证书,并验证是否在本地计算机证书存储中安装了恰当的证书。 支持通配符证书 可以在 Secure Gateway、Secure Gateway Proxy 以及 Citrix XenApp 托管 STA 的计算机上部署通配符证书。
负载平衡
Secure Gateway 为 Secure Gateway Proxy 提供负载平衡。 IP 地址将使用域名从 DNS 中检索,或者单独列出。
日志记录
Secure Gateway 使用 Apache 标准访问日志文件,并且支持对访问日志文件使用日志轮换功能。 访问日志文件向 Secure Gateway 或 Secure Gateway Proxy 提供连接信息。
检测
Secure Gateway 包括一组新的性能计数器以分析 Secure Gateway 上的使用率和负载。
基于 Apache 技术
Secure Gateway 的构建基础为基于 Apache 技术的软件代码。
遵从第 508 节
Secure Gateway 遵从 1973 年颁布的《美国劳动力康复法案》第 508 节。
会话可靠性
会话可靠性改进功能能够在网络连接断开时保持移动用户和本地用户的工作项处于打开状态,然后在连接恢复时无缝还原,从而使这些用户获益。 此功能对于使用无线连接但中断或掉线的移动用户尤为有用。 会话连接中断时,所有打开的已发布资源窗口仍可见,同时在后台自动尝试重新连接。
中继模式
可以在中继模式下安装 Secure Gateway 以进行内部安全通信。 可以在安全的企业环境(例如 Intranet、LAN 和 WAN)中使用中继模式。 不建议对从 Internet 到服务器场或服务器访问场的外部连接使用中继模式。
支持单跳或双跳 DMZ 部署
可以安装 Secure Gateway 以跨越单跳或双跳 DMZ。 如果您的 DMZ 划分到两个阶段中,请在每个 DMZ 段中安装恰当的 Secure Gateway 组件,以将 HTTP/S 和 ICA 流量安全地传入和传出安全网络。
支持在 Secure Gateway 组件之间进行安全通信
Secure Gateway 组件支持使用数字证书以及在组件之间使用 SSL/TLS 执行确保链接安全的任务。
配置、管理和诊断工具
Secure Gateway 管理控制台属于 Microsoft 管理控制台 (MMC) 管理单元,可用于管理和分析 Secure Gateway 部署以及对 Secure Gateway 部署进行故障排除。 Secure Gateway 管理控制台中提供的 Secure Gateway 诊断工具报告配置值、证书详细信息以及每个已配置的组件的状态。
最低客户端配置
用户设备不需要预安装软件以确保安全。 远程安全访问可轻松实现,只需 IT 员工稍微设置一下即可。
基于证书的安全性
Secure Gateway 使用标准公钥基础结构 (PKI) 技术提供框架和信任基础结构来实现身份验证和授权。
标准加密协议
Secure Gateway 使用行业标准的 SSL 或 TLS 加密技术来确保客户端与服务器之间的 Web 和应用程序流量的安全。 客户端与 Secure Gateway 之间的连接使用 SSL 或 TLS 协议加密。 可以通过强制 Secure Gateway 限制使用普通密码集以及通过联邦信息处理标准 (FIPS) 140 要求认证的商业或政府密码集来进一步增强安全性。
身份验证和授权
Secure Gateway 与 Web Interface 配合使用,简化了尝试与服务器场建立连接的用户的身份验证过程。 当 Secure Gateway 确认用户已通过企业网络进行身份验证后,则会进行授权。 授权过程对用户而言完全透明。
单入口点
不再需要发布每个 Citrix XenApp 服务器的地址,简化了服务器证书的管理。 Secure Gateway 允许使用单点加密以及访问运行 Citrix XenApp 的计算机。
防火墙遍历
来自客户端的连接使用通常在企业防火墙上打开的端口通过标准协议确保安全。 这允许您轻松遍历防火墙,而不需要进行自定义配置。
轻松安装和管理
向现有服务器场添加 Secure Gateway 相对而言更加简单快速,要求的配置最低,大大缩短了时间、降低了管理成本。
可靠性和容错
此解决方案允许实施重复的组件以启用冗余系统。 可以使用行业标准的 SSL 负载平衡系统构建大型阵列以实现可扩展性。 即使硬件出现故障,服务器场仍受到保护。
可扩展的解决方案
运行 Secure Gateway 的单台服务器可以支持由几百个用户组成的小型企业站点。 可以支持中到大型站点,以满足连接到运行 Secure Gateway 的负载平衡服务器阵列的用户的需求。 Secure Gateway 组件不需要特殊硬件设备或网络设备升级。
事件和审核日志记录
严重系统事件和致命系统事件将记录到 Secure Gateway 应用程序日志中,以便管理员能够帮助诊断系统问题。 日志记录级别是可配置的,可以从用户界面进行设置。 可以检索尝试通过网络连接到 Secure Gateway 的完整记录,具体取决于配置的日志记录级别。 还可以将 Secure Gateway 配置为忽略来自网络设备(例如负载平衡器)的投票的日志条目。