开始之前
在安装Citrix Gateway之前,必须评估基础结构并收集信息,以规划满足组织特定需求的访问策略。在定义访问策略时,需要考虑安全含义并完成风险分析。您还需要确定允许用户连接的网络,并决定启用用户连接的策略。
除了规划用户可用的资源外,还需要规划部署场景。Citrix Gateway兼容以下Citrix产品:
- Citrix端点管理
- Citrix虚拟应用程序
- Citrix虚拟桌面
- 店面
- Web界面
- Citrix SD-WAN
有关部署Citrix Gateway的详细信息,请参见常见的部署和与思杰产品集成
在准备访问策略时,请采取以下初步步骤:
- 识别资源。列出您希望为其提供访问权限的网络资源,例如Web、SaaS、移动或发布的应用程序、虚拟桌面、服务和您在风险分析中定义的数据。
- 开发接入场景。创建访问场景,描述用户如何访问网络资源。访问场景由用于访问网络的虚拟服务器、端点分析扫描结果、认证类型或它们的组合来定义。您还可以定义用户如何登录到网络。
- 识别客户端软件。您可以使用Citrix Gateway插件提供完整的VPN访问,要求用户使用Citrix Workspace应用程序、Secure Hub或使用无客户端访问登录。你也可以限制邮件访问到Outlook Web App或WorxMail。这些访问场景还决定了用户在获得访问权限时可以执行的操作。例如,您可以指定用户是否可以通过使用已发布的应用程序或连接到文件共享来修改文档。
- 将策略与用户、组或虚拟服务器关联。当单个或一组用户满足指定条件时,在Citrix Gateway上创建的策略就会执行。根据您创建的访问场景来确定条件。然后创建策略,通过控制用户可以访问的资源和用户可以对这些资源执行的操作来扩展网络的安全性。您将策略与适当的用户、组、虚拟服务器或全局关联。
本节包括以下主题,以帮助您规划访问策略:
- 安全规划包括认证信息和证书信息。
- 定义您可能需要的网络硬件和软件的先决条件。
- 安装前检查表,您可以使用它在配置Citrix Gateway之前写下您的设置。
安装Citrix Gateway的前提条件
在Citrix Gateway上配置设置之前,请检查以下先决条件:
- Citrix网关物理安装在您的网络中,并具有访问网络的权限。Citrix网关部署在防火墙后面的DMZ或内部网络中。您还可以在双跳DMZ中配置Citrix Gateway,并配置到服务器场的连接。Citrix建议在DMZ中部署设备。
- 您可以为Citrix Gateway配置默认网关或到内部网络的静态路由,以便用户可以访问网络中的资源。Citrix网关默认配置为静态路由。
- 用于身份验证和授权的外部服务器已配置并运行。有关更多信息,请参见身份验证和授权.
- 网络中有DNS (domain name server)或WINS (Windows Internet Naming Service)服务器进行域名解析,以提供正确的Citrix Gateway用户功能。
- 您已经从Citrix网站下载了用于用户与Citrix Gateway插件连接的通用许可证,这些许可证已经准备好安装在Citrix Gateway上。
- Citrix Gateway具有由受信任的证书颁发机构(CA)签名的证书。有关更多信息,请参见安装和管理证书.
在安装Citrix Gateway之前,请使用“安装前检查表”记录您的设置。
安全规划
在规划Citrix Gateway部署时,必须了解与证书、身份验证和授权相关的基本安全问题。
配置安全证书管理
默认情况下,Citrix Gateway包含一个自签名的安全套接字层(SSL)服务器证书,该证书使设备能够完成SSL握手。自签名证书足以用于测试或示例部署,但Citrix不建议在生产环境中使用它们。在将Citrix Gateway部署到生产环境之前,Citrix建议您从已知的证书颁发机构(CA)请求并接收已签名的SSL服务器证书,并将其上传到Citrix Gateway。
如果您将Citrix Gateway部署在任何环境中,其中Citrix Gateway必须在SSL握手中作为客户端操作(与其他服务器发起加密连接),则还必须在Citrix Gateway上安装受信任的根证书。例如,如果将Citrix网关与Citrix Virtual Apps和Web界面一起部署,则可以使用SSL对Citrix网关到Web界面的连接进行加密。在此配置中,您必须在Citrix Gateway上安装受信任的根证书。
认证支持
通过配置Citrix Gateway,可以对内部网络中的用户进行身份验证,并控制用户对网络资源的访问(或授权)级别。
在部署Citrix Gateway之前,您的网络环境必须具备支持以下身份验证类型之一的目录和身份验证服务器:
- LDAP
- 半径
- TACACS +
- 具有审计和智能卡支持的客户端证书
- 带RADIUS配置的RSA
- SAML验证
如果您的环境不支持这些身份验证类型中的任何一种,或者您的远程用户数量很少,那么您可以在Citrix Gateway上创建一个本地用户列表。然后,您可以配置Citrix Gateway,根据此本地列表对用户进行身份验证。通过这种配置,您不需要在单独的外部目录中维护用户帐户。
保护您的Citrix网关部署
不同的部署可能需要不同的安全考虑。Citrix ADC安全部署指南提供了一般的安全指导,可帮助您根据特定的安全需求决定适当的安全部署。
有关详情,请参阅Citrix ADC安全部署指南.