用户如何连接Citrix网关插件
Citrix Gateway的操作步骤如下:
- 当用户通过VPN隧道访问网络资源时,Citrix Gateway插件会对所有流向组织内部网络的网络流量进行加密,并转发给Citrix Gateway。
- Citrix Gateway终止SSL隧道,接受任何到达私有网络的流量,并将流量转发到私有网络。Citrix网关通过安全隧道将流量发送回远程计算机。
当用户输入web地址时,他们会收到一个登录页面,在那里他们输入凭证并登录。如果凭据是正确的,Citrix Gateway将完成与用户设备的握手。
如果用户位于代理服务器之后,则用户可以指定代理服务器和身份验证凭据。有关更多信息,请参见为用户连接启用代理支持.
已在用户设备上安装“Citrix Gateway”插件。在第一次连接之后,如果用户使用基于windows的计算机登录,他们可以使用通知区域中的图标来建立连接。
建立安全隧道
当用户连接到Citrix Gateway插件、Secure Hub或Citrix Workspace应用程序时,客户端软件通过端口443(或Citrix Gateway上任何配置的端口)建立一个安全隧道,并发送身份验证信息。当隧道建立成功后,如果启用地址池,Citrix Gateway会将配置信息发送到Citrix Gateway插件、Secure Hub或Citrix Workspace应用程序中,描述需要安全的网络和包含IP地址的网络。
通过安全连接隧道专用网络流量
当Citrix Gateway插件启动并对用户进行身份验证时,将捕获指向指定专用网络的所有网络流量,并通过安全隧道重定向到Citrix Gateway。“Citrix Workspace”应用必须支持“Citrix Gateway”插件,用户登录时才能通过安全隧道建立连接。
Secure Hub、Secure Mail和WorxWeb通过Micro VPN为iOS和Android移动设备建立安全隧道。
Citrix Gateway拦截用户设备的所有网络连接,并通过安全套接字层(SSL)将它们多路复用到Citrix Gateway,在那里流量被解复用,连接被转发到正确的主机和端口组合。
连接受适用于单个应用程序、应用程序子集或整个内部网的管理安全策略的约束。指定远程用户通过VPN连接可以访问的资源(IP地址/子网对范围)。
Citrix Gateway插件为已定义的内网应用拦截和隧道以下协议:
- TCP(所有端口)
- UDP(所有端口)
- ICMP(类型8和0 - echo请求/应答)
从用户设备上的本地应用程序连接到Citrix网关是安全的,它重新建立到目标服务器的连接。目标服务器将连接视为来自私有网络上的本地Citrix Gateway,从而隐藏用户设备。这也称为反向网络地址转换(NAT)。隐藏IP地址增加了源位置的安全性。
在本地,在用户设备上,所有与连接相关的流量(如SYN-ACK、PUSH、ACK和FIN包)都由Citrix Gateway插件重新创建,以出现在私有服务器上。
通过防火墙和代理进行连接
Citrix Gateway插件的用户有时位于其他组织的防火墙内,如下图所示:
NAT防火墙维护一个表,允许它们将安全的数据包从Citrix Gateway路由回用户设备。对于面向电路的连接,Citrix Gateway维护一个端口映射的反向NAT转换表。通过反向NAT转换表,Citrix Gateway可以匹配连接,使用正确的端口号将报文通过隧道发送到用户设备,从而返回到正确的应用程序。
Citrix Gateway插件控制升级
当其版本与Citrix Gateway版本不匹配时,系统管理员控制Citrix ADC插件的执行方式。新的选项控制Mac、Windows或操作系统的插件升级行为。
对于VPN插件,可以在Citrix ADC设备用户界面的两个地方设置升级选项:
- 在全局设置
- 在会话配置文件级别
需求
Windows EPA和VPN插件版本必须大于11.0.0.0
Mac EPA插件版本必须大于3.0.0.31
Mac VPN插件版本必须大于3.1.4 (357)
注意:如果Citrix ADC设备升级到11.0版本,则所有以前的VPN(和EPA)插件都将升级到最新版本,而不考虑升级控制配置。对于后续升级,它们将尊重以前的升级控制配置。
插件的行为
对于每种客户端类型,Citrix Gateway允许以下三个选项来控制插件升级行为:
- 总是
只要最终用户的插件版本与Citrix ADC设备附带的插件不匹配,就会对插件进行升级。这是默认行为。如果您不想在企业中运行多个插件版本,请选择此选项。
- 至关重要的(安全)
插件只在认为有必要时进行升级。在以下两种情况下,升级是必要的
已安装的插件与当前Citrix ADC设备版本不兼容。
必须更新已安装的插件以获得必要的安全修复。
如果您希望最小化插件升级的数量,但又不想错过任何插件安全性更新,则选择此选项
- 从来没有
不升级插件。
用于控制VPN插件升级的CLI参数
Citrix Gateway支持两种插件(EPA和VPN),分别适用于Windows和Mac操作系统。为了支持会话级的VPN插件升级控制,Citrix网关支持两个会话配置文件参数:WindowsinPluginUpgrade和MacPluginUpgrade。
这些参数在全局级、虚拟服务器级、组级和用户级可用。每个参数都可以有Always、Essential或Never的值。有关这些参数的说明,请参见插件的行为.
控制EPA插件升级的CLI参数
Citrix Gateway支持Windows和Mac操作系统的EPA插件。为了在虚拟服务器级别支持EPA插件升级控制,Citrix Gateway支持两个虚拟服务器参数windowspapluginupgrade和macEPAPluginUpgrade。
这些参数在虚拟服务器级别可用。每个参数都可以有Always、Essential或Never的值。有关这些参数的说明,请参见插件的行为
VPN配置
执行以下步骤VPN配置Windows、Linux和Mac的插件。
去Citrix ADC > Policies > Session。
选择会话策略,单击编辑.
选择客户体验选项卡。
![客户体验选项卡设置]()
这些对话框选项会影响升级行为。
- 总是
- 至关重要的
- 默认值是Always。
选择每个选项右侧的复选框。选择应用升级行为的频率。
环境配置
按照以下步骤配置Windows、Linux和Apple插件的EPA。
去Citrix网关>虚拟服务器.
选择服务器,单击编辑按钮。
单击铅笔图标。
![点击铅笔图标]()
点击更多的
![更多的设置]()
出现的对话框会影响升级行为。可供选择的选项有:
- 总是
- 至关重要的
- 从来没有
![升级选项]()
