常见的Citrix网关部署
您可以在组织的内部网络(或内部网)的外围部署Citrix Gateway,以提供对驻留在内部网络中的服务器、应用程序和其他网络资源的安全单点访问。所有远程用户必须先连接到Citrix Gateway,才能访问内部网络中的任何资源。
Citrix Gateway通常安装在网络的以下位置:
- 在网络DMZ区域
- 在没有DMZ的安全网络中<
您还可以将Citrix Gateway与Citrix Virtual Apps、Citrix Virtual Desktops、StoreFront和Citrix Endpoint Management一起部署,以允许用户访问他们的Windows、web、移动和SaaS应用程序。如果您的部署包括Citrix Virtual Apps、StoreFront和Desktops 7,那么您可以在单跳或双跳DMZ配置中部署Citrix Gateway。Citrix Virtual Desktops或Citrix Endpoint Management较早版本不支持双跳部署。
有关使用这些和其他受支持的Citrix解决方案扩展Citrix Gateway安装的更多信息,请参见集成思杰产品的话题。
在DMZ中部署Citrix Gateway
许多组织使用DMZ来保护内部网络。DMZ是位于组织的安全内部网络和Internet(或任何外部网络)之间的子网。在DMZ中部署Citrix Gateway时,用户连接Citrix Gateway插件或Citrix Workspace应用程序。
图1所示。部署在DMZ中的Citrix Gateway
在上图所示的配置中,您将在DMZ中安装Citrix Gateway,并将其配置为连接Internet和内部网络。
DMZ中的Citrix网关连接
在DMZ中部署Citrix Gateway时,用户连接必须穿过第一个防火墙才能连接到Citrix Gateway。默认情况下,用户连接使用端口443上的SSL来建立该连接。要允许用户连接到内部网络,必须通过第一个防火墙在端口443上允许SSL。
Citrix Gateway对来自用户设备的SSL连接进行解密,并代表用户与第二防火墙后的网络资源建立连接。必须通过第二个防火墙开放的端口依赖于您授权外部用户访问的网络资源。
例如,授权外部用户访问内部网络的web服务器,该服务器监听80端口的HTTP连接,则需要通过第二防火墙允许80端口使用HTTP协议。Citrix Gateway代表外部用户设备通过第二防火墙与内部网络的HTTP服务器建立连接。
在安全网络中部署“Citrix Gateway”
您可以在安全网络中安装Citrix Gateway。在这种情况下,Internet和安全网络之间有一个防火墙。Citrix Gateway位于防火墙内部,用于控制对网络资源的访问。
图1所示。安全网络中部署Citrix网关
在安全网络中部署Citrix Gateway时,需要将一个接口连接到Internet,另一个接口连接到安全网络中运行的服务器。将Citrix Gateway置于安全网络中,可为本地和远程用户提供访问。因为这种配置只有一个防火墙,所以对于从远程位置连接的用户来说,部署的安全性较低。虽然Citrix Gateway会拦截来自Internet的流量,但是流量会在用户身份验证之前进入安全网络。在DMZ区域部署Citrix Gateway时,在网络流量到达安全网络之前对用户进行认证。
在安全网络中部署“Citrix Gateway”时,“Citrix Gateway”插件的连接需要穿越防火墙才能接入。默认情况下,用户连接使用端口443上的SSL协议来建立该连接。要支持这种连接,必须在防火墙上打开端口443。