使用Web界面部署Citrix网关
当您部署Citrix Gateway以提供对Citrix虚拟应用程序和桌面的安全远程访问时,Citrix Gateway与Web接口和安全票证授权(STA)兼容,以提供对托管在服务器场中的已发布应用程序和桌面的访问。
当Citrix Gateway与服务器场一起操作时,在DMZ中部署Citrix Gateway是最常见的配置。在这种配置中,Citrix网关为web浏览器和Citrix Workspace应用程序提供了一个安全的单点访问,通过web接口访问已发布的资源。本节介绍关于此部署选项的基本方面。
当Citrix Gateway与服务器场一起运行时,组织网络的配置决定了将其部署在何处。您有以下两个选项:
- 如果您的组织使用单个DMZ保护内部网络,请在DMZ中部署Citrix Gateway。
- 如果您的组织使用两个DMZ保护内部网络,那么可以在双跳DMZ配置的两个网段中分别部署一个Citrix Gateway。有关更多信息,请参见在双跳DMZ中部署Citrix网关。注意:您还可以使用安全网络中的第二个Citrix Gateway设备配置双跳DMZ。
当您在DMZ中部署Citrix Gateway以提供对服务器场的远程访问时,您可以实现以下三种部署选项之一:
- 将Web接口部署在Citrix网关后面的DMZ中。如下图所示,在此配置中,Citrix Gateway和Web Interface都部署在DMZ区域。初始用户连接到Citrix网关,然后被重定向到Web界面。图1所示。DMZ区Citrix网关后面的Web界面
![DMZ区Citrix网关后面的Web界面]()
- 将Citrix Gateway与DMZ中的Web接口并行部署。在此配置中,Citrix Gateway和Web Interface都部署在DMZ中,但是初始用户连接到Web Interface,而不是Citrix Gateway。
- 在DMZ部署Citrix Gateway,在内网部署Web Interface。在此配置中,Citrix网关在将用户请求转发到安全网络中的Web界面之前,需要对用户请求进行身份验证。Web Interface不进行身份验证,而是与STA进行交互,生成ICA文件,保证ICA流量通过Citrix Gateway路由到服务器场。
您部署Web界面的位置取决于各种因素,包括:
- 身份验证。当用户登录时,Citrix网关或Web界面可以验证用户的凭据。将Web界面放置在网络中的哪个位置,在一定程度上决定了用户身份验证的位置。
- 用户软件。用户可以通过Citrix Gateway插件或Citrix Workspace应用程序连接到Web界面。您可以仅使用Citrix Workspace应用程序限制用户可以访问的资源,也可以使用Citrix Gateway插件为用户提供更大的网络访问权限。用户连接的方式以及允许用户连接的资源可以帮助确定在网络中部署Web界面的位置。
将Web界面部署在安全的网络环境中
在这种部署中,Web界面位于安全的内部网络中。Citrix Gateway位于DMZ中。Citrix网关在将用户请求发送到Web界面之前对其进行身份验证。
在安全网络环境中部署Web界面时,需要在Citrix网关侧配置认证。
如果Web界面部署在Citrix虚拟应用和桌面系统中,则默认部署在安全网络中。安装桌面交付控制器时,还会安装自定义版本的Web界面。
重要的:当Web界面处于安全网络中时,需要开启Citrix网关的鉴权功能。用户连接到Citrix网关,输入他们的凭据,然后连接到Web界面。关闭认证功能后,未经认证的HTTP请求将直接发送到运行Web接口的服务器。只有当Web接口位于DMZ区域,且用户直接连接到Web接口时,才建议禁用Citrix网关的认证功能。
图1所示。Web接口位于安全网络内
在DMZ中部署与Citrix网关并行的Web接口
在此部署中,Web接口和Citrix网关都位于DMZ中。用户通过Web浏览器或Citrix Workspace应用程序直接连接到Web界面。用户连接首先发送到Web界面进行身份验证。认证完成后,连接将通过Citrix Gateway路由。用户成功登录到Web界面后,就可以访问服务器场中发布的应用程序或桌面。当用户启动应用程序或桌面时,Web界面将发送ICA文件,其中包含ICA流量通过Citrix网关的路由说明,就像运行安全网关的服务器一样。Web接口传递的ICA文件包括一个由安全票证颁发机构(STA)生成的会话票证。
当Citrix Workspace应用程序连接到Citrix Gateway时,就会显示该票据。Citrix Gateway联系STA验证会话票证。如果票证仍然有效,则将用户的ICA流量中继到服务器场中的服务器。下图显示了此部署。
图1所示。Web接口与Citrix网关并行安装
当Web Interface在DMZ区与Citrix Gateway并行运行时,不需要在Citrix Gateway上配置认证。Web接口对用户进行认证。
将Web接口部署在Citrix网关后面的DMZ中
在此配置中,Citrix Gateway和Web Interface都部署在DMZ中。当用户使用Citrix Workspace应用程序登录时,初始用户连接将转到Citrix Gateway,然后重定向到Web界面。为了通过单个外部端口路由所有HTTPS和ICA流量并要求使用单个SSL证书,Citrix网关充当web接口的反向web代理。
图1所示。Web界面位于Citrix网关后面
当Web界面部署在DMZ中的Citrix Gateway后面时,您可以在设备上配置身份验证,但这不是必需的。您可以让Citrix Gateway或Web Interface对用户进行身份验证,因为两者都位于DMZ中。