技术简介:Citrix网关和Citrix虚拟应用程序和桌面

概述

Citrix Gateway是Citrix Workspace的最佳安全远程访问解决方案。它提供了大量独特的集成，可增强安全性和用户体验。此外，Citrix Gateway通过单个URL整合了从任何设备对任何应用程序的访问。

Citrix Gateway支持对Citrix Workspace的加密和上下文访问(身份验证和授权)。它的Citrix adc负载均衡在Citrix虚拟应用程序和桌面服务器上分配用户流量。Citrix Gateway还可以加速、优化并提供对流量流的可见性，这有助于确保在Citrix虚拟应用程序和桌面部署中实现最佳的用户性能。

以下集成为Citrix Workspace部署增加了价值:

• 上下文身份验证——使用多因素(nFactor)身份验证验证用户和设备
• 上下文授权——基于用户、位置和设备属性限制应用程序和桌面可用性
• 上下文访问——通过修改Citrix HDX连接行为来限制对HDX功能的访问
• 端到端监控——识别影响用户性能的延迟和分类问题的来源
• 自适应网络传输——通过动态响应不断变化的网络条件，提供卓越的用户体验
• 最佳路由-通过始终从本地网关启动应用程序和桌面来确保更好的用户体验
• 自定义可用性监控器——对在StoreFront和交付控制器服务器上运行的后端服务提供深度应用程序运行状况监控

概念架构

Citrix Gateway是一个经过加固的设备(物理或虚拟)，使用基于标准的SSL/TLS加密代理和保护所有Citrix Workspace通信。最常见的部署配置是将Citrix Gateway设备放置在DMZ中。这将Citrix网关置于组织的安全内部网络和Internet(或任何外部网络)之间。

许多组织使用单个DMZ来保护其内部网络(图1)。然而，对于需要双跳DMZ的更复杂部署，可以部署多个Citrix Gateway设备(图2)。

图1:在单个DMZ中部署了Citrix Gateway的虚拟应用程序和桌面

一些组织使用多个防火墙或保护他们的内部网络。图2中的三个防火墙将DMZ划分为两个阶段(双跳)，为内部网络提供额外的安全层。

图2:在双跳DMZ中部署Citrix Gateway的虚拟应用程序和桌面

Citrix管理员可以在双跳DMZ中部署Citrix Gateway设备，以控制对运行Citrix虚拟应用程序和桌面的服务器的访问。在双跳部署中，安全功能被拆分到两个设备上。

第一个DMZ中的Citrix Gateway处理用户连接，并执行加密、身份验证和访问内部网络中的服务器等安全功能。

第二个DMZ中的Citrix Gateway充当Citrix Gateway代理设备。这个Citrix网关允许HDX流量通过第二个DMZ来完成到服务器场的用户连接。第一个DMZ中的Citrix网关与内部网络中的安全票据中心(STA)之间的通信也通过第二个DMZ中的Citrix网关进行代理。

在部署了多个StoreFront和Delivery Controllers服务器的企业中，Citrix建议通过使用Citrix ADC设备来平衡服务的负载。一个虚拟服务器负载平衡所有StoreFront服务器，另一个负载平衡所有Delivery Controller服务器。应用程序智能运行状况监视确保只有完全正常运行的服务器被标记为可接受用户请求。

配置为全局服务器负载平衡(GSLB)的Citrix ADC设备可以跨数据中心平衡Citrix Workspace负载。GLSB将用户请求定向到最近的或性能最好的数据中心，或者在发生停机时定向到幸存的数据中心。使用GSLB可以跨多个数据中心进行灾难恢复，并通过防止出现故障点来确保应用程序的持续可用性。

在图3中，adc使用度量交换协议(MEP)和DNS基础设施将用户连接到最符合管理员设置的标准的数据中心。这些标准可以指定负载最少、最近或最快的数据中心来响应请求。

图3:虚拟应用程序和桌面的全局服务器负载均衡

上下文身份验证(nFactor和EPA)

Citrix Gateway为所有应用程序整合了远程访问身份验证基础设施，无论是在数据中心、云中，还是在应用程序作为SaaS应用程序交付时。此外，Citrix Gateway提供:

• 对所有应用程序的单点访问
• 安全访问管理，对所有应用程序进行粒度和一致的访问控制
• 更好的用户体验，提高工作效率
• 多因素认证，提高安全性

图4:Citrix Gateway单点登录整合

Citrix Gateway身份验证为用户和组集成了本地和远程身份验证。Citrix Gateway包括对以下身份验证类型的支持。

• 当地的
• 轻量级目录访问协议(LDAP)
• 半径
• SAML
• TACACS +
• 客户端证书认证(包括智能卡认证)

Citrix Gateway还支持使用RADIUS服务器配置的多因素身份验证解决方案，如RSA SecurID、Gemalto Protiva (Thales)、Duo (Cisco)和SafeWord (Aladdin)。

图5:Citrix Gateway nFactor选项

nFactor身份验证

Citrix Gateway扩展了具有真正多因素功能的双因素身份验证，并为管理员提供了身份验证、授权和审计的灵活性。例如，通过使用nFactor身份验证，可以实现动态登录表单和故障时操作。管理员可以在Citrix Gateway上配置两种类型的多因素身份验证:

• 双因素身份验证，要求用户使用两种类型的身份验证登录
• 级联认证，设置认证优先级

当Citrix Gateway部署了多台认证服务器时，管理员可以设置认证策略的优先级。优先级级别决定身份验证服务器验证用户凭据的顺序。当管理员配置级联时，系统将遍历每个认证服务器以验证用户的凭据。

nFactor认证支持基于用户配置文件的动态认证流程。流可以很简单，也可以使用其他身份验证服务器与更复杂的安全需求相结合。以下是Citrix Gateway启用的一些用例:

1. 动态用户名和密码选择:传统上，Citrix客户端(包括浏览器和Workspace应用程序)使用Active Directory (AD)密码作为第一个密码字段。第二个密码为OTP (One-Time-Password)密码。但是，为了保护AD服务器不受暴力破解和锁定攻击，客户可以要求首先验证OTP等第二个因素。nFactor可以做到这一点，而不需要客户端修改。
2. 多租户身份验证端点:一些组织为证书用户和非证书用户使用不同的Citrix Gateway登录点。当用户使用自己的设备登录时，他们的访问级别可以根据所使用的设备在Citrix Gateway上有所不同。思杰网关可以在同一登录点上满足不同的身份验证需求，降低复杂度，提高用户体验。
3. 基于组成员身份验证:一些组织从AD服务器获取用户属性，以确定对不同用户的身份验证要求。例如，组提取可用于确定用户是雇员还是供应商，并提供适当的第二因素身份验证。

终点分析扫描

端点分析(EPA)扫描用于检查用户设备是否符合端点安全要求。它们是在Citrix Gateway设备上配置的基于策略的身份验证前和身份验证后扫描。如果端点的状态涉及身份验证策略，则EPA扫描是上下文身份验证的一部分。

当用户设备试图通过Citrix Gateway设备访问Citrix Workspace时，在授予该设备访问权限之前，将对该设备进行符合性扫描。例如，EPA可用于检查操作系统、防病毒、web浏览器、特定进程、文件系统或注册表项以及用户或设备证书等参数。

管理员可以配置两种类型的EPA扫描(使用OPSWAT EPA引擎扫描)和系统扫描(使用客户端安全引擎)。使用OPSWAT EPA引擎，管理员可以配置产品、供应商和通用扫描。这些检查分别查找特定供应商提供的特定产品、特定类别中的供应商或跨所有供应商和产品的类别。

系统扫描验证系统级属性，如MAC地址或设备证书。设备证书可以在nFactor中配置为EPA组件，管理员可以根据设备证书认证，有选择地允许或阻止用户访问企业内网资源。

上下文授权(SmartAccess)

SmartAccess使用EPA认证后策略来限制用户对应用程序和桌面的访问。例如，当用户分别从托管设备或非托管设备连接时，可以启用或禁用敏感的Human Resources应用程序。

使用SmartAccess策略，管理员可以根据每个用户和每个应用程序识别可用资源。使用最终用户、源IP范围、特定注册表项或用户端点上的文件等因素来确定是否满足遵从性。类似地，SmartAccess扫描可用于识别附加到计算机上的特定外设，并显示需要该设备的应用程序。

SmartAccess在Citrix Gateway和Citrix Studio内部都有配置。EPA扫描的结果与Citrix Studio中相应的访问策略相匹配。在图6中，用户使用托管设备通过Citrix Gateway登录到Citrix Workspace，并通过遵从性扫描。扫描通过后，关联的Citrix Gateway虚拟服务器和会话策略触发Citrix Studio策略以启用对应用程序的访问。

图6:EPA扫描与合规通行证和应用程序是允许的

在图7中，同一用户使用个人设备通过Citrix Gateway登录到Citrix Workspace，但未能通过遵从性扫描。相反，未能通过EPA扫描不会触发该用户和设备启用应用程序。

图7:EPA扫描合规失败，应用程序受限

上下文访问(SmartAccess和SmartControl)

Citrix管理员还可以根据用户连接到Citrix Gateway的方式修改Citrix HDX连接行为。一些例子包括禁用客户端驱动器映射，禁用对特定应用程序和桌面的访问，以及禁用对打印的访问。

在图8中，用户使用个人设备通过Citrix Gateway登录到Citrix Workspace，但合规扫描失败。由Citrix Gateway执行的EPA扫描结果与Citrix Workspace进行通信。通过SmartAccess，下发控制器强制扫描结果，并禁止剪贴板访问和客户端驱动器映射。

图8:EPA扫描合规失败

在图9中，相同的用户使用兼容设备连接到相同的Citrix Gateway。EPA结果现在允许剪贴板访问和客户端驱动器映射。

图9:EPA扫描合规通行证

SmartControl帮助客户满足安全要求，即在网络边缘评估访问条件。客户安全策略可能要求能够在用户访问公司网络之前阻止对资源的访问。SmartControl可用于在Citrix Gateway上阻止或允许某些组件，如打印机访问、音频重定向和客户端设备驱动器重定向。

SmartAccess和SmartControl类似，但是，SmartControl只在Citrix Gateway上配置，而SmartAccess需要在Citrix Gateway和Citrix Studio内部配置。当管理员想要为整个场制定访问策略决策时，他们可以使用Citrix Gateway上适用于整个场的SmartControl。不同之处在于，SmartAccess允许管理员控制已发布图标的可见性，而SmartControl不允许。图10比较了SmartAccess和SmartControl特性支持。

图10:SmartAccess和SmartControl特性比较

SmartControl策略被设计为如果在单个交付控制器级别被禁止，则不启用任何类型的访问。这些选项是默认为交付控制器级别的策略设置，或者禁止某些访问，即使在交付控制器上允许。SmartAccess策略和SmartControl策略可以同时定义，应用最严格的策略集。下面是SmartControl的设置列表:

• 连接客户端LPT端口-阻断用于打印机的LPT端口重定向
• 客户端音频重定向-将音频从VDA重定向到客户端设备
• 本地远程数据共享-允许或禁止使用接收器HTML5共享数据
• 客户端剪贴板重定向-重定向客户端剪贴板内容到VDA
• 客户端COM端口重定向-将COM(串口)端口从客户端重定向到VDA
• 客户端驱动器重定向-将客户端驱动器重定向到VDA
• 客户端打印机重定向-将客户端打印机从客户端重定向到VDA
• 多流-允许或禁用多流
• 客户端USB驱动器重定向-重定向USB驱动器从客户端到桌面VDA仅

自适应网络传输

Citrix HDX是一组技术，可确保在连接到远程Citrix资源时获得无与伦比的用户体验。借助Citrix Workspace应用程序中的HDX引擎和HDX协议，即使在具有挑战性的网络条件下，Citrix HDX也可以使用户与资源无缝交互。

最近对HDX的优化是Citrix基于udp的可靠传输协议，称为开明数据传输(EDT)。EDT速度更快，提高了应用程序的交互性，并且在具有挑战性的长途WAN和互联网连接上更具交互性。EDT通过动态响应不断变化的网络条件，同时保持较高的服务器可伸缩性和带宽的有效使用，提供了卓越的用户体验。

EDT构建在UDP之上，提高了所有ICA虚拟通道的数据吞吐量，包括Thinwire显示远程处理，文件传输(客户端驱动器映射)，打印，多媒体重定向。当EDT不可用时，EDT将智能切换到TCP ICA以提供最佳性能。Citrix Gateway支持EDT和数据报传输层安全(DTLS)，必须启用DTLS才能加密EDT使用的UDP连接。

图11:HDX自适应传输

观看此视频了解更多：

端到端监控(HDX Insight)

思杰HDX Insight为通过思杰网关的虚拟应用程序和台式机的HDX流量提供端到端可见性。使用Citrix应用程序交付管理(ADM)，管理员可以查看实时客户端和网络延迟指标、历史报告、端到端性能数据，并排除性能问题。

通过解析HDX流量，HDX Insight可以识别影响用户性能的延迟和分类问题的来源。例如，用户在访问Citrix虚拟应用程序和桌面时可能会遇到延迟。要找出问题的根本原因，管理员可以使用HDX Insight分析WAN延迟、数据中心延迟和主机延迟。使用HDX Insight有助于确定延迟是在服务器端、数据中心网络还是客户端网络端。

图12显示了一个示例，其中特定用户具有正常的WAN延迟，但数据中心延迟很高。这些信息对于帮助管理员判断性能问题至关重要。

图12:HDX Insight会话可见性

HDX Insight的一个重要功能是能够捕捉和显示第7层(L7)的延迟。L7延迟计算在HDX层完成，因此无论TCP代理是否存在，都可以提供端到端延迟检测。如图10所示，应用程序层的可见性可以帮助管理员诊断延迟，例如在服务器或后端过载的情况下，可以检测到延迟来自应用程序而不是网络。

L7延迟阈值主动检测应用程序中的端到端网络延迟问题。此功能与捕获第4层网络延迟形成对比，后者不需要HDX解析，但存在端到端延迟视图不完整的主要缺点。

HDX Insight提供了虚拟HDX应用程序和桌面的成功用户登录、延迟和应用程序级详细信息。Gateway Insight为用户提供端点分析(EPA)、身份验证、单点登录(SSO)和应用程序启动失败。

Gateway Insight还提供了虚拟应用程序启动失败原因的可见性。Gateway Insight增强了管理员排除任何类型的登录或应用程序启动失败问题的能力，还可以查看:

• 推出的应用程序数目
• 总会话数和活动会话数
• 应用程序消耗的总字节数和带宽
• 应用程序的用户、会话、带宽和启动错误的详细信息
• 网关数
• 活动会话数
• 在任何给定时间，与Citrix Gateway设备关联的所有网关所使用的总字节和带宽
• 与网关关联的所有用户及其登录活动的详细信息

图13:HDX Insight L7会话可见性

HDX最佳网关路由

思杰通过思杰工作区提供最佳的应用程序和桌面用户体验。在混合云部署中，客户可以使用全局服务器负载平衡(GSLB)简化用户体验。GSLB使用户可以轻松地访问应用程序、桌面和数据，而不管他们身在何处。但是对于多个Citrix gateway，客户会问:“我们如何将用户发送到用户唯一数据或后端应用程序依赖所在的特定数据中心?”

HDX最佳网关路由使管理员能够将Citrix网关连接指向区域。这确保Citrix Gateway选择管理员定义的通常具有最佳连接的区域。使用GSLB还可以根据用户的位置将用户路由到最佳的Citrix网关，并且该网关将连接到一个区域，以实现完整的最佳网关路由。

HDX最佳网关路由通过将认证网关与最佳启动网关分离，确保用户体验既简单又一致。这确保用户总是从本地网关启动他们的应用程序和桌面，从而确保在任何地方、任何设备上工作时都有更好的用户体验。

GSLB支持的区域首选项是一个与Workspace、StoreFront和ADC设备集成的特性，可以根据用户位置为用户提供对最优化的数据中心的访问。使用此功能，当HTTP请求到达Citrix Gateway设备时，将检查客户端IP地址，并使用真实的客户端IP地址创建转发到StoreFront的数据中心首选项列表。

如果将ADC配置为插入区域首选项标头，则StoreFront 3.5或更高版本可以使用设备提供的信息重新排序交付控制器列表，并连接到与客户端位于同一区域的最优交付控制器。StoreFront为所选数据中心区域选择最佳网关VPN虚拟服务器，将此信息添加到具有适当IP地址的ICA文件中，并将其发送给客户端。然后，StoreFront尝试启动托管在首选数据中心交付控制器上的应用程序，然后再尝试联系其他数据中心中的等效控制器。

图14:HDX Insight优化网关路由

自定义可用性监视器

与Citrix Workspace一起部署的Citrix Gateway确保了应用程序的高效交付。使用Citrix Gateway，来自Citrix Workspace应用程序的传入用户请求可以在服务器组中的多个StoreFront节点之间进行负载均衡。虽然其他一些解决方案利用简单的ICMP-Ping或TCP端口监视器，但Citrix Gateway对在StoreFront和交付控制器服务器上运行的后端服务进行了深入的应用程序运行状况监视。

通过探测在StoreFront服务器上运行的Windows服务来监视StoreFront服务。Citrix Service Monitor Windows服务没有其他服务依赖项，可以监视和报告以下关键服务的故障，StoreFront依赖这些服务进行正确操作:

• W3SVC (IIS)
• WAS (Windows进程激活服务)
• CitrixCredentialWallet
• CitrixDefaultDomainService

Citrix Gateway还具有自定义交付控制器监控器，以确保交付控制器处于活动状态，并在Citrix Gateway负载均衡到资源之前进行响应。监控器探测将验证用户的凭据并确认应用程序枚举，以确认XML服务是否在工作。这可以防止将请求发送到无响应服务器的黑洞场景。

总结

在所有HDX代理解决方案中，Citrix Gateway与Citrix Workspace的集成点最多。Citrix Gateway提供对Citrix虚拟应用程序和桌面的安全远程访问，并增强了可见性和优化功能，有助于确保最佳的用户性能。Citrix ADC提供智能全局服务器负载平衡，增强可用性和用户体验。增强安全性和用户体验的特性如下:

• 上下文身份验证——多因素(nFactor)身份验证，以验证用户和设备
• 上下文授权——基于用户、位置和设备属性限制应用程序和桌面可用性
• 上下文访问——通过修改Citrix HDX连接行为来限制对HDX功能的访问
• 端到端监控——识别影响用户性能的延迟和分类问题的来源
• 自适应网络传输-通过动态响应不断变化的网络条件提供卓越的用户体验
• 最佳路由-通过始终从本地网关启动应用程序和桌面来确保更好的用户体验
• 自定义可用性监控器——对在店面和交付控制器服务器上运行的后端服务进行深度应用程序运行状况监控