关于思杰网关
Citrix Gateway易于部署和管理。最典型的部署配置是在DMZ中定位Citrix Gateway设备。您可以在网络中安装多个Citrix Gateway设备,以进行更复杂的部署。
第一次启动Citrix Gateway时,可以使用串行控制台、配置实用程序中的安装向导或动态主机配置协议(DHCP)进行初始配置。在MPX设备上,您可以使用设备前面板上的LCD键盘来执行初始配置。您可以配置内部网络的基本配置,如IP地址、子网掩码、默认网关、DNS地址等。在配置基本网络设置之后,您可以配置特定于Citrix Gateway操作的设置,例如身份验证、授权、网络资源、虚拟服务器、会话策略和端点策略的选项。
在安装和配置Citrix Gateway之前,请查看本节中的主题,了解有关规划部署的信息。部署规划可以包括确定设备的安装位置、了解如何在DMZ中安装多个设备以及许可要求。您可以在任何网络基础结构中安装Citrix Gateway,而不需要更改在安全网络中运行的现有硬件或软件。Citrix Gateway支持其他组网产品,如服务器负载均衡器、缓存引擎、防火墙、路由器、IEEE 802.11无线设备等。
在配置Citrix Gateway之前,您可以在预安装检查表中编写您的设置。
| 思杰网关设备 | 提供有关Citrix Gateway设备和设备安装说明的信息。 |
| 安装前检查表 | 提供在网络中安装Citrix Gateway之前要查看的规划信息和要完成的任务列表。 |
| 常见的部署 | 提供有关在网络DMZ中、在没有DMZ的安全网络中以及与其他设备一起部署Citrix Gateway以支持负载平衡和故障转移的信息。还提供了有关在Citrix虚拟应用程序和桌面中部署Citrix网关的信息。 |
| 许可 | 提供有关在设备上安装许可证的信息。还提供有关在多个Citrix Gateway设备上安装许可证的信息。 |
Citrix网关架构
思杰网关的核心组件有:
虚拟服务器。Citrix Gateway虚拟服务器是一个内部实体,代表用户可用的所有已配置服务。虚拟服务器也是用户访问这些服务的接入点。您可以在单个设备上配置多个虚拟服务器,从而允许一个Citrix Gateway设备为具有不同身份验证和资源访问需求的多个用户社区提供服务。
- 身份验证、授权和记帐。您可以配置身份验证、授权和计费,以允许用户使用Citrix Gateway或位于安全网络中的身份验证服务器(如LDAP或RADIUS)识别的凭据登录到Citrix Gateway。授权策略定义用户权限,确定给定用户有权访问哪些资源。有关身份验证和授权的详细信息,请参见配置认证授权。会计服务器维护有关Citrix Gateway活动的数据,包括用户登录事件、资源访问实例和操作错误。此信息存储在Citrix Gateway或外部服务器上。有关会计的更多信息,请参见配置Citrix网关审计
用户连接。用户可通过以下方式登录Citrix网关:
Citrix Gateway for Windows插件是安装在Windows计算机上的软件。用户通过右键单击windows计算机上通知区域中的图标来登录。如果用户使用的计算机没有安装Citrix Gateway插件,则可以通过浏览器登录并下载并安装该插件。如果用户已经安装了“Citrix Workspace”应用程序,则在“Citrix Workspace”应用程序中使用“Citrix Gateway”插件登录。当用户设备上同时安装了“Citrix Workspace”应用程序和“Citrix Gateway”插件时,“Citrix Workspace”应用程序会自动添加“Citrix Gateway”插件。
用于macOS X的Citrix网关插件,允许运行macOS X的用户登录。它具有与Windows上的Citrix Gateway插件相同的特性和功能。通过安装Citrix ADC Gateway 10.1, Build 120.1316.e,您可以为这个插件版本提供端点分析支持。
Citrix Gateway Java插件,使macOS X、Linux(可选)和Windows用户能够通过web浏览器登录。
Citrix Workspace应用程序,允许用户通过使用Web界面或Citrix StoreFront连接到服务器场中发布的应用程序和虚拟桌面。
Citrix Workspace应用程序、Secure Hub、WorxMail和WorxWeb,允许用户访问web和SaaS应用程序、iOS和Android移动应用程序以及托管在Citrix Endpoint Management中的ShareFile数据。
用户可以在Android设备上使用Citrix网关的web地址进行连接。当用户启动应用程序时,该连接使用Micro VPN将网络流量路由到内部网络。如果用户使用Android设备连接,则需要在Citrix Gateway上配置DNS。有关更多信息,请参见Android设备支持DNS后缀查询。
用户可以在iOS设备上使用Citrix网关的web地址进行连接。您可以全局或在会话配置文件中配置安全浏览。当用户在iOS设备上启动应用程序时,会启动一个VPN连接,该VPN连接路由经过思杰网关。
无客户端访问,无需在用户设备上安装软件即可为用户提供所需的访问。
在配置Citrix Gateway时,可以创建策略来配置用户的登录方式。您还可以通过创建会话和端点分析策略来限制用户登录。
网络资源。包括用户通过Citrix Gateway访问的所有网络服务,如文件服务器、应用程序、网站等。
虚拟适配器。Citrix Gateway虚拟适配器支持需要IP欺骗的应用程序。在安装Citrix Gateway插件时,用户设备上安装了虚拟适配器。用户访问内部网络时,Citrix网关与内部服务器的出接口使用内网IP地址作为源IP地址。Citrix Gateway插件从服务器接收这个IP地址,作为配置的一部分。
如果在Citrix网关上启用分裂隧道功能,则所有内网流量都将通过虚拟适配器路由。当拦截内网绑定流量时,虚拟适配器将拦截A和AAAA记录类型的DNS查询,而保留所有其他DNS查询。未绑定到内部网络的网络流量通过安装在用户设备上的网卡路由。Internet和私有局域网(LAN)连接保持打开和连接。如果禁用分割隧道,所有连接都将通过虚拟适配器路由。所有现有的连接都被断开,用户必须重新建立会话。
如果配置了内网IP地址,则通过虚拟适配器将内网IP地址欺骗到内网的流量。
用户连接如何工作
用户可以从远程位置连接到他们的电子邮件、文件共享和其他网络资源。用户可以使用以下软件连接内部网络资源:
- Citrix网关插件
- Citrix Workspace应用程序
- WorxMail和WorxWeb
- Android和iOS移动设备
连接Citrix Gateway插件
Citrix Gateway插件允许用户通过以下步骤访问内部网络中的资源:
- 用户在浏览器中输入浏览器地址,首次连接到Citrix网关。将出现登录页面,并提示用户输入用户名和密码。如果配置了外部认证服务器,则Citrix Gateway与服务器联系,由认证服务器验证用户的凭据。如果配置了本地认证,则由Citrix Gateway进行用户认证。
- 如果配置了预认证策略,则当用户在windows计算机或macOS X计算机的web浏览器中输入Citrix网关的web地址时,Citrix网关会在出现登录页面之前检查是否有基于客户端的安全策略。安全检查主要检查用户设备是否满足安全相关条件,如操作系统更新、防病毒防护、防火墙配置是否正确等。如果用户设备安全检查不通过,Citrix网关将阻止该用户登录。无法登录的用户必须下载必要的更新或软件包并将其安装到用户设备上。当用户设备通过预认证策略时,将出现登录页面,用户可以输入登录凭据。如果您安装了Citrix Gateway 10.1, Build 120.1316.e,则可以在macOS X计算机上使用高级端点分析。
- 当用户认证通过后,Citrix网关发起VPN隧道。Citrix Gateway会提示用户下载并安装Windows版本的Citrix Gateway插件或macOS x版本的Citrix Gateway插件。如果您使用的是Java版本的Network Gateway插件,则用户设备也会初始化为预配置的资源IP地址和端口号列表。
- 如果配置认证后扫描,则用户成功登录后,Citrix网关会对用户设备进行扫描,查找所需的客户端安全策略。您可以要求与预认证策略相同的安全相关条件。如果用户设备扫描失败,则不应用策略或将用户置于隔离组中,并且限制用户对网络资源的访问。
- 会话建立后,用户将被引导到Citrix Gateway主页,用户可以在主页上选择要访问的资源。Citrix网关包含的主页称为访问接口。如果用户使用Windows版本的Citrix Gateway插件登录,则Windows桌面的通知区域会显示用户设备已连接,并且用户会收到连接成功的消息。用户也可以在不使用access Interface的情况下访问网络中的资源,如打开Microsoft Outlook、检索电子邮件等。
- 如果用户请求通过了认证前和认证后的安全检查,Citrix网关就会联系所请求的资源,并在用户设备和该资源之间发起安全连接。
- 用户可以通过右键单击windows计算机的通知区域中的Citrix Gateway图标,然后单击Logoff来关闭活动会话。会话也可能由于不活动而超时。会话关闭时,隧道关闭,用户不再能够访问内部资源。用户也可以在浏览器中输入Citrix网关的网址。当用户按下Enter键时,将出现访问界面,用户可以从该界面注销。
注意:如果您在内部网络中部署了Citrix Endpoint Management,则从内部网络外部连接的用户必须先连接到Citrix Gateway。用户建立连接后,可以访问web和SaaS应用、Android和iOS移动应用、Citrix Endpoint Management托管的ShareFile数据。用户可以通过无客户端访问或使用Citrix Workspace应用程序或Secure Hub连接Citrix Gateway插件。
连接到Citrix工作空间应用程序
用户可以连接到Citrix Workspace应用程序来访问基于windows的应用程序和虚拟桌面。用户还可以从端点管理访问应用程序。要从远程位置进行连接,用户还需要在其设备上安装Citrix Gateway插件。Citrix Workspace应用程序自动将Citrix Gateway插件添加到其插件列表中。当用户登录到Citrix Workspace应用程序时,他们也可以登录到Citrix Gateway插件。您也可以将Citrix Gateway配置为在用户登录到Citrix Workspace应用程序时执行单点登录到Citrix Gateway插件。
连接iOS和Android设备
用户可以通过安全集线器连接iOS或Android设备。用户可以通过使用安全邮件访问他们的电子邮件,并通过WorxWeb连接到网站。
当用户从移动设备连接时,连接路由经过Citrix网关访问内部资源。如果用户连接到iOS,则将安全浏览作为会话配置文件的一部分启用。当用户连接Android设备时,会自动使用Micro VPN。另外,Secure Mail和WorxWeb使用Micro VPN通过Citrix Gateway建立连接。您不需要在Citrix Gateway上配置Micro VPN。