使用Web界面部署Citrix网关
当您部署Citrix Gateway以提供对Citrix虚拟应用程序和桌面的安全远程访问时,Citrix Gateway与Web接口和安全Ticket Authority (STA)兼容,以提供对服务器群中托管的发布应用程序和桌面的访问。
当Citrix网关与服务器场一起运行时,在DMZ中部署Citrix网关是最常见的配置。在此配置中,Citrix网关为通过web界面访问已发布资源的web浏览器和Citrix Workspace应用程序提供了安全的单点访问。本节介绍有关此部署选项的基本方面。
组织网络的配置决定了在Citrix Gateway与服务器群一起运行时将其部署在何处。您有以下两种选择:
- 如果您的组织使用单个DMZ保护内部网络,请在DMZ中部署Citrix Gateway。
- 如果您的组织使用两个DMZ保护内部网络,则在双跳DMZ配置的两个网段中分别部署一个Citrix Gateway。有关更多信息,请参见在双跳DMZ中部署Citrix网关.注意:您还可以使用安全网络中的第二个Citrix Gateway设备配置一个双跳DMZ。
当您在DMZ中部署Citrix Gateway以提供对服务器场的远程访问时,您可以实现以下三个部署选项之一:
- 在DMZ中,在Citrix Gateway后面部署Web接口。在此配置中,如下图所示,Citrix Gateway和Web Interface都部署在DMZ中。初始用户连接到Citrix Gateway,然后重定向到Web界面。图1所示。DMZ中Citrix网关后的Web界面
![DMZ中Citrix网关后的Web界面]()
- 在DMZ中将Citrix Gateway与Web接口并行部署。在这个配置中,在DMZ中部署了Citrix Gateway和Web Interface,但是初始用户连接到Web Interface而不是Citrix Gateway。
- 在DMZ部署Citrix Gateway,在内网部署Web Interface。在此配置中,Citrix Gateway在将用户请求转发到安全网络中的Web接口之前,会对用户请求进行身份验证。Web Interface不进行身份验证,但与STA进行交互并生成ICA文件,以确保ICA流量通过Citrix Gateway路由到服务器群。
您部署Web界面的位置取决于各种因素,包括:
- 身份验证。当用户登录时,Citrix Gateway或Web Interface都可以验证用户凭据。将Web界面放置在网络的哪个位置是决定用户身份验证位置的一个因素。
- 用户软件。用户可以使用Citrix Gateway插件或Citrix Workspace应用程序连接Web界面。您可以仅使用Citrix Workspace应用程序限制用户可以访问的资源,或使用Citrix Gateway插件为用户提供更大的网络访问权限。用户连接的方式以及允许用户连接到的资源可以帮助确定Web Interface在网络中的部署位置。
将Web接口部署在安全的网络中
在这种部署中,Web接口驻留在安全的内部网络中。Citrix Gateway位于DMZ。在将用户请求发送到Web Interface之前,Citrix Gateway对用户请求进行身份验证。
在安全网络中部署Web Interface时,需要在Citrix Gateway上配置认证。
如果使用Citrix虚拟应用程序和台式机部署Web界面,则在安全网络中部署Web界面是默认部署方案。安装Desktop Delivery Controller时,还将安装自定义版本的Web界面。
重要的:当Web Interface处于安全网络时,必须在Citrix Gateway上启用认证功能。用户连接到Citrix Gateway,输入他们的凭证,然后连接到Web界面。当禁用身份验证时,未经身份验证的HTTP请求将直接发送到运行Web Interface的服务器。仅当Web Interface位于DMZ区域,且用户直接连接Web Interface时,建议禁用“Citrix Gateway”认证功能。
图1.位于安全网络内的Web界面
在DMZ中将Web接口与Citrix Gateway并行部署
在这种部署中,Web Interface和Citrix Gateway都位于DMZ中。用户通过Web浏览器或Citrix Workspace应用程序直接连接到Web界面。用户连接首先被发送到Web界面进行身份验证。验证完成后,连接将通过Citrix Gateway路由。用户成功登录到Web Interface后,就可以访问服务器群中发布的应用程序或桌面。当用户启动应用程序或桌面时,Web Interface发送一个ICA文件,其中包含将ICA流量路由到Citrix Gateway的指令,就好像它是运行安全网关的服务器一样。Web Interface下发的ICA文件中包含STA (Secure ticket Authority)生成的会话票据。
当Citrix Workspace应用程序连接到Citrix网关时,将显示票据。Citrix网关联系STA以验证会话票证。如果票证仍然有效,则用户的ICA流量将中继到服务器场中的服务器。下图显示了此部署。
图1所示。与Citrix网关并行安装的Web界面
当Web界面与DMZ中的Citrix网关并行运行时,您不需要在Citrix网关上配置身份验证。Web界面对用户进行身份验证。
将Web接口部署在Citrix Gateway后面的DMZ中
在此配置中,Citrix Gateway和Web界面都部署在DMZ中。当用户使用Citrix Workspace应用程序登录时,初始用户连接进入Citrix Gateway,然后重定向到Web界面。要通过单个外部端口路由所有HTTP和ICA流量,并要求使用单个SSL证书,Citrix Gateway充当Web界面的反向Web代理。
图1所示。位于Citrix网关后面的Web界面
当Web界面部署在DMZ中的Citrix网关后面,您可以在设备上配置身份验证,但不需要它。您可以拥有Citrix Gateway或Web界面验证用户,因为都驻留在DMZ中。