在开始之前
在安装Citrix Gateway之前,必须评估基础设施并收集信息,以规划满足组织特定需求的访问策略。在定义访问策略时,需要考虑安全性影响并完成风险分析。您还需要确定允许用户连接到哪些网络,并确定启用用户连接的策略。
除了规划用户可用的资源外,还需要规划部署场景。Citrix网关与以下Citrix产品兼容:
- Citrix端点管理
- Citrix虚拟应用程序
- Citrix虚拟桌面
- 店面
- Web界面
- Citrix SD-WAN
有关部署Citrix Gateway的详细信息,请参见通用部署和集成思杰产品
在准备访问策略时,请采取以下初步步骤:
- 识别资源。列出您希望提供访问的网络资源,如Web、SaaS、移动或发布的应用程序、虚拟桌面、服务和风险分析中定义的数据。
- 开发访问场景。创建描述用户如何访问网络资源的访问场景。接入场景由接入网络的虚拟服务器、端点分析扫描结果、认证类型或其组合定义。您还可以定义用户如何登录到网络。
- 识别客户端软件。您可以使用Citrix Gateway插件提供完全的VPN访问,要求用户使用Citrix Workspace应用程序、Secure Hub或使用无客户端访问登录。你还可以限制Outlook Web App或WorxMail的电子邮件访问。这些访问场景还决定了用户在获得访问时可以执行的操作。例如,您可以指定用户是可以通过使用已发布的应用程序还是通过连接到文件共享来修改文档。
- 关联策略与用户、组或虚拟服务器。在Citrix Gateway上创建的策略在个人或一组用户满足指定条件时执行。您可以根据创建的访问场景确定条件。然后创建策略,通过控制用户可以访问的资源和用户可以对这些资源执行的操作来扩展网络的安全性。您可以将策略与适当的用户、组、虚拟服务器或全局关联。
本节包括以下主题,以帮助您规划访问策略:
- 安全规划包括有关身份验证和证书的信息。
- 定义您可能需要的网络硬件和软件的先决条件。
- 在配置Citrix Gateway之前,您可以使用安装前检查表来记录您的设置。
前提条件Citrix Gateway安装
配置Citrix网关前,请先了解以下前提条件:
- Citrix Gateway物理安装在您的网络中,可以访问网络。Citrix Gateway部署在防火墙后的DMZ或内部网络中。您还可以在双跳DMZ中配置Citrix Gateway,并配置到服务器场的连接。Citrix建议在DMZ中部署该设备。
- 您可以为“Citrix Gateway”配置到内部网络的默认网关或静态路由,以便用户访问内部网络中的资源。“Citrix Gateway”默认配置为使用静态路由。
- 用于身份验证和授权的外部服务器已配置并正在运行。有关详细信息,请参阅认证和授权.
- 网络中存在DNS (domain name server)或WINS (Windows Internet Naming Service)服务器进行域名解析,以提供正确的Citrix Gateway用户功能。
- 您已经从Citrix网站下载了用于用户连接Citrix Gateway插件的Universal许可证,该许可证已准备好安装在Citrix Gateway上。
- Citrix Gateway拥有由受信任的证书颁发机构(CA)签署的证书。有关更多信息,请参见安装和管理证书.
在安装Citrix Gateway之前,请使用安装前检查表记录您的设置。
规划安全
在规划Citrix Gateway部署时,必须了解与证书、身份验证和授权相关的基本安全问题。
配置安全证书管理
默认情况下,Citrix Gateway包括一个自签名安全套接字层(SSL)服务器证书,该证书允许设备完成SSL握手。自签名证书足以用于测试或示例部署,但Citrix不建议在生产环境中使用它们。在生产环境中部署Citrix Gateway之前,Citrix建议您从已知的证书颁发机构(CA)请求并接收已签名的SSL服务器证书,并将其上传到Citrix Gateway。
如果将Citrix Gateway部署在任何环境中,其中Citrix Gateway必须作为客户端进行SSL握手(启动与另一个服务器的加密连接),则还必须在Citrix Gateway上安装受信任的根证书。例如,如果您使用Citrix虚拟应用程序和Web界面部署Citrix网关,您可以使用SSL加密从Citrix网关到Web界面的连接。在此配置中,必须在Citrix Gateway上安装受信任根证书。
认证支持
通过配置Citrix Gateway,可以对用户进行认证,并控制用户对内部网络资源的访问(或授权)级别。
在部署Citrix Gateway之前,您的网络环境必须有目录和身份验证服务器,以支持以下身份验证类型之一:
- LDAP
- 半径
- TACACS +
- 支持审计和智能卡的客户端证书
- 配置RADIUS的RSA
- SAML验证
如果您的环境不支持这些身份验证类型中的任何一种,或者您的远程用户数量很少,您可以在Citrix Gateway上创建一个本地用户列表。然后可以配置Citrix Gateway以根据此本地列表对用户进行身份验证。使用这种配置,您不需要在单独的外部目录中维护用户帐户。
确保您的Citrix网关部署
不同的部署可能需要不同的安全考虑。Citrix ADC安全部署指南提供一般的安全指导,帮助您根据特定的安全需求决定适当的安全部署。
有关详细信息,请参见Citrix ADC安全部署指南.