Über NetScaler Gateway
NetScaler Gateway ist einfach bereitzustellen und einfach zu verwalten. Die typischste Bereitstellungskonfiguration besteht darin, das NetScaler Gateway-Gerät in die DMZ zu platzieren. Sie können mehrere NetScaler Gateway-Appliances für komplexere Bereitstellungen im Netzwerk installieren.
Wenn Sie NetScaler Gateway zum ersten Mal starten, können Sie die Erstkonfiguration mithilfe einer seriellen Konsole, des Setup-Assistenten im Konfigurationsdienstprogramm oder dem Dynamic Host Configuration Protocol (DHCP) durchführen. Auf der MPX-Einheit können Sie die LCD-Tastatur an der Vorderseite des Geräts verwenden, um die Erstkonfiguration durchzuführen. Sie können grundlegende Einstellungen konfigurieren, die für Ihr internes Netzwerk spezifisch sind, z. B. die IP-Adresse, die Subnetzmaske, die Standard-Gateway-IP-Adresse und die Domain Name System (DNS) -Adresse. Nachdem Sie die grundlegenden Netzwerkeinstellungen konfiguriert haben, konfigurieren Sie dann die für den NetScaler Gateway-Vorgang spezifischen Einstellungen, z. B. die Optionen für Authentifizierung, Autorisierung, Netzwerkressourcen, virtuelle Server, Sitzungsrichtlinien und Endpunktrichtlinien.
Bevor Sie NetScaler Gateway installieren und konfigurieren, lesen Sie die Themen in diesem Abschnitt, um Informationen zur Planung Ihrer Bereitstellung zu erhalten. Die Bereitstellungsplanung kann die Festlegung, wo die Appliance installiert werden soll, das Verständnis der Installation mehrerer Appliances in der DMZ und die Lizenzanforderungen umfassen. Sie können NetScaler Gateway in jeder Netzwerkinfrastruktur installieren, ohne dass Änderungen an der vorhandenen Hardware oder Software erforderlich sind, die im sicheren Netzwerk ausgeführt wird. NetScaler Gateway unterstützt andere Netzwerkprodukte wie Server-Load-Balancer, Cache-Engines, Firewalls, Router und IEEE 802.11-Wireless-Geräte.
Sie können Ihre Einstellungen in die Checkliste vor der Installation schreiben, die Sie zur Hand haben müssen, bevor Sie NetScaler Gateway konfigurieren.
NetScaler Gateway-Geräte | Bietet Informationen zu NetScaler Gateway-Geräten und Installationsanweisungen für das Gerät. |
Checkliste vor der Installation | Bietet Planungsinformationen zur Überprüfung und eine Liste der Aufgaben, die vor der Installation von NetScaler Gateway in Ihrem Netzwerk ausgeführt werden müssen. |
Gemeinsame Bereitstellungen | Bietet Informationen zum Bereitstellen des NetScaler Gateway in der Netzwerk-DMZ, in einem sicheren Netzwerk ohne DMZ und mit anderen Appliances zur Unterstützung von Lastenausgleich und Failover. Bietet auch Informationen zum Bereitstellen von NetScaler Gateway mit Citrix Virtual Apps and Desktops. |
Licensing | Bietet Informationen zur Installation von Lizenzen auf der Appliance. Bietet auch Informationen zum Installieren von Lizenzen auf mehreren NetScaler Gateway-Appliances. |
NetScaler Gateway-Architektur
Die Kernkomponenten von NetScaler Gateway sind:
-
Virtuelle Server. Der virtuelle NetScaler Gateway-Server ist eine interne Entität, die für alle konfigurierten Dienste repräsentativ ist, die Benutzern zur Verfügung stehen. Der virtuelle Server ist auch der Zugangspunkt, über den Benutzer auf diese Dienste zugreifen. Sie können mehrere virtuelle Server auf einer einzelnen Appliance konfigurieren, sodass eine NetScaler Gateway-Appliance mehrere Benutzergemeinschaften mit unterschiedlichen Authentifizierungs- und Ressourcenzugriffsanforderungen bedienen kann.
- Authentifizierung, Autorisierung und Prüfung. Sie können Authentifizierung, Autorisierung und Buchhaltung so konfigurieren, dass Benutzer sich mit Anmeldeinformationen bei NetScaler Gateway anmelden können, die entweder NetScaler Gateway oder Authentifizierungsserver im sicheren Netzwerk wie LDAP oder RADIUS erkennen. Autorisierungsrichtlinien definieren Benutzerberechtigungen und legen fest, auf welche Ressourcen ein bestimmter Benutzer zugreifen darf. Weitere Informationen zur Authentifizierung und Autorisierung finden Sie unter Konfigurieren von Authentifizierung und Autorisierung. Audit-Server verwalten Daten über NetScaler Gateway-Aktivitäten, einschließlich Benutzeranmeldeereignisse, Instanzen des Ressourcenzugriffs und Betriebsfehler. Diese Informationen werden auf NetScaler Gateway oder auf einem externen Server gespeichert. Weitere Informationen zur Überwachung finden Sie unter Konfiguration der Überwachung auf NetScaler Gateway
-
Benutzerverbindungen. Benutzer können sich mithilfe der folgenden Zugriffsmethoden bei NetScaler Gateway anmelden:
-
Der Citrix Secure Access-Client für Windows ist eine Software, die auf einem Windows-basierten Computer installiert ist. Benutzer melden sich an, indem sie mit der rechten Maustaste auf ein Symbol im Infobereich eines Windows-basierten Computers klicken. Wenn Benutzer einen Computer verwenden, auf dem der Citrix Secure Access-Client nicht installiert ist, können sie sich mit einem Webbrowser anmelden, um das Plug-in herunterzuladen und zu installieren. Wenn Benutzer die Citrix Workspace-App installiert haben, melden sich Benutzer über die Citrix Workspace-App mit dem Citrix Secure Access-Client an. Wenn die Citrix Workspace-App und der Citrix Secure Access-Client auf dem Benutzergerät installiert sind, fügt die Citrix Workspace-App den Citrix Secure Access-Client automatisch hinzu.
-
Der Citrix Secure Access-Client für macOS X, mit dem sich Benutzer, die macOS X ausführen, anmelden können. Er hat dieselben Features und Funktionen wie der Citrix Secure Access Client für Windows. Sie können Endpoint Analysis-Unterstützung für diese Plug-In-Version bereitstellen, indem Sie NetScaler Gateway 10.1, Build 120.1316.e installieren.
-
Citrix Workspace-App, die Benutzerverbindungen zu veröffentlichten Anwendungen und virtuellen Desktops in einer Serverfarm mithilfe des Webinterface oder Citrix StoreFront ermöglicht.
-
Citrix Workspace-App, Secure Hub, WorxMail und WorxWeb, die Benutzern den Zugriff auf Web- und SaaS-Anwendungen, iOS- und Android-Mobilanwendungen sowie ShareFile-Daten ermöglichen, die in Citrix Endpoint Management gehostet werden.
-
Benutzer können von einem Android-Gerät aus eine Verbindung herstellen, das die NetScaler Gateway-Webadresse verwendet. Wenn Benutzer eine App starten, verwendet die Verbindung Micro VPN, um den Netzwerkverkehr an das interne Netzwerk weiterzuleiten. Wenn Benutzer von einem Android-Gerät aus eine Verbindung herstellen, müssen Sie DNS-Einstellungen auf NetScaler Gateway konfigurieren. Weitere Informationen finden Sie unter Unterstützung von DNS-Abfragen mithilfe von DNS-Suffixen für Android-Geräte.
-
Benutzer können von einem iOS-Gerät aus eine Verbindung herstellen, das die NetScaler Gateway-Webadresse verwendet. Sie konfigurieren Secure Browse entweder global oder in einem Sitzungsprofil. Wenn Benutzer eine App auf ihrem iOS-Gerät starten, wird eine VPN-Verbindung gestartet und die Verbindung wird über NetScaler Gateway geleitet.
-
Clientloser Zugriff, der Benutzern den Zugriff bietet, den sie benötigen, ohne Software auf dem Benutzergerät zu installieren.
Bei der Konfiguration von NetScaler Gateway können Sie Richtlinien erstellen, um zu konfigurieren, wie sich Benutzer anmelden. Sie können die Benutzeranmeldung auch einschränken, indem Sie Sitzungs- und Endpoint Analysis-Richtlinien erstellen.
-
-
Netzwerkressourcen. Dazu gehören alle Netzwerkdienste, auf die Benutzer über NetScaler Gateway zugreifen, wie Dateiserver, Anwendungen und Websites.
-
Virtueller Adapter. Der virtuelle NetScaler Gateway-Adapter unterstützt Anwendungen, die IP-Spoofing erfordern. Der virtuelle Adapter wird auf dem Benutzergerät installiert, wenn der Citrix Secure Access-Client installiert ist. Wenn Benutzer eine Verbindung zum internen Netzwerk herstellen, verwendet die ausgehende Verbindung zwischen NetScaler Gateway und internen Servern die Intranet-IP-Adresse als Quell-IP-Adresse. Der Citrix Secure Access-Client erhält diese IP-Adresse vom Server als Teil der Konfiguration.
Wenn Sie Split-Tunneling auf NetScaler Gateway aktivieren, wird der gesamte Intranet-Verkehr über den virtuellen Adapter geleitet. Beim Abfangen von intranetgebundenem Datenverkehr fängt der virtuelle Adapter DNS-Abfragen vom Typ A und AAAA ab, während alle anderen DNS-Abfragen intakt bleiben. Netzwerkverkehr, der nicht an das interne Netzwerk gebunden ist, wird über den auf dem Benutzergerät installierten Netzwerkadapter geleitet. Internet- und private LAN (LAN) -Verbindungen bleiben offen und verbunden. Wenn Sie das Split-Tunneling deaktivieren, werden alle Verbindungen über den virtuellen Adapter geroutet. Alle vorhandenen Verbindungen werden getrennt und der Benutzer muss die Sitzung erneut herstellen.
Wenn Sie eine Intranet-IP-Adresse konfigurieren, wird der Datenverkehr zum internen Netzwerk über den virtuellen Adapter mit der Intranet-IP-Adresse gefälscht.
So funktionieren Benutzerverbindungen
Benutzer können von einem Remote-Standort aus eine Verbindung zu ihren E-Mails, Dateifreigaben und anderen Netzwerkressourcen herstellen. Benutzer können mit der folgenden Software eine Verbindung zu internen Netzwerkressourcen herstellen:
- Citrix Secure Access-Client
- Citrix Workspace-App
- WorxMail und WorxWeb
- Android- und iOS-Mobilgeräte
Stellen Sie eine Verbindung zum Citrix Secure Access-Client her
Der Citrix Secure Access-Client ermöglicht Benutzern den Zugriff auf Ressourcen im internen Netzwerk mithilfe der folgenden Schritte:
- Ein Benutzer stellt zum ersten Mal eine Verbindung zu NetScaler Gateway her, indem er die Webadresse in einen Webbrowser eingibt. Die Anmeldeseite wird angezeigt und der Benutzer wird aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. Wenn externe Authentifizierungsserver konfiguriert sind, kontaktiert NetScaler Gateway den Server und die Authentifizierungsserver überprüfen die Anmeldeinformationen des Benutzers. Wenn die lokale Authentifizierung konfiguriert ist, führt NetScaler Gateway die Benutzerauthentifizierung durch.
- Wenn Sie eine Vorauthentifizierungsrichtlinie konfigurieren und der Benutzer die NetScaler Gateway-Webadresse in einem Webbrowser auf einem Windows-basierten Computer oder einem macOS X-Computer eingibt, prüft NetScaler Gateway, ob clientbasierte Sicherheitsrichtlinien vorhanden sind, bevor die Anmeldeseite angezeigt wird. Die Sicherheitsüberprüfungen stellen sicher, dass das Benutzergerät die sicherheitsrelevanten Bedingungen wie Betriebssystemupdates, Antivirenschutz und eine ordnungsgemäß konfigurierte Firewall erfüllt. Wenn das Benutzergerät die Sicherheitsüberprüfung nicht besteht, blockiert NetScaler Gateway den Benutzer an der Anmeldung. Ein Benutzer, der sich nicht anmelden kann, muss die erforderlichen Updates oder Pakete herunterladen und auf dem Benutzergerät installieren. Wenn das Benutzergerät die Vorauthentifizierungsrichtlinie übergibt, wird die Anmeldeseite angezeigt und der Benutzer kann die Anmeldedaten eingeben. Sie können Advanced Endpoint Analysis auf einem macOS X-Computer verwenden, wenn Sie NetScaler Gateway 10.1, Build 120.1316.e installieren.
- Wenn NetScaler Gateway den Benutzer erfolgreich authentifiziert, initiiert NetScaler Gateway den VPN-Tunnel. NetScaler Gateway fordert den Benutzer auf, den Citrix Secure Access Client für Windows oder den Citrix Secure Access Client für macOS X herunterzuladen und zu installieren.
- Wenn Sie einen Scan nach der Authentifizierung konfigurieren, durchsucht NetScaler Gateway nach der erfolgreichen Anmeldung eines Benutzers das Benutzergerät nach den erforderlichen Clientsicherheitsrichtlinien. Sie können dieselben sicherheitsrelevanten Bedingungen wie für eine Vorauthentifizierungsrichtlinie verlangen. Wenn das Benutzergerät den Scan nicht besteht, wird entweder die Richtlinie nicht angewendet oder der Benutzer wird in eine Quarantänegruppe versetzt und der Zugriff des Benutzers auf Netzwerkressourcen ist begrenzt.
- Wenn die Sitzung eingerichtet ist, wird der Benutzer zu einer NetScaler Gateway-Homepage weitergeleitet, auf der der Benutzer Ressourcen für den Zugriff auswählen kann. Die Homepage, die in NetScaler Gateway enthalten ist, wird Access Interface genannt. Wenn sich der Benutzer mit dem Citrix Secure Access-Client für Windows anmeldet, zeigt ein Symbol im Infobereich auf dem Windows-Desktop an, dass das Benutzergerät angeschlossen ist, und der Benutzer erhält eine Meldung, dass die Verbindung hergestellt wurde. Der Benutzer kann auch auf Ressourcen im Netzwerk zugreifen, ohne das Access Interface zu verwenden, z. B. das Öffnen von Microsoft Outlook und das Abrufen von E-Mails.
- Wenn die Benutzeranforderung sowohl Sicherheitschecks vor als auch nach der Authentifizierung besteht, kontaktiert NetScaler Gateway dann die angeforderte Ressource und stellt eine sichere Verbindung zwischen dem Benutzergerät und dieser Ressource her.
- Der Benutzer kann eine aktive Sitzung schließen, indem er im Infobereich eines Windows-basierten Computers mit der rechten Maustaste auf das NetScaler Gateway-Symbol klickt und dann auf Abmelden klickt. Die Sitzung kann auch aufgrund von Inaktivität ausfallen. Wenn die Sitzung geschlossen wird, wird der Tunnel heruntergefahren und der Benutzer hat keinen Zugriff mehr auf interne Ressourcen. Der Benutzer kann die NetScaler Gateway-Webadresse auch in einen Browser eingeben. Wenn der Benutzer die Eingabetaste drückt, wird das Access Interface angezeigt, von dem sich Benutzer abmelden können.
Hinweis: Wenn Sie Citrix Endpoint Management in Ihrem internen Netzwerk bereitstellen, muss ein Benutzer, der von außerhalb des internen Netzwerks eine Verbindung herstellt, zuerst eine Verbindung mit NetScaler Gateway herstellen. Wenn der Benutzer die Verbindung herstellt, kann der Benutzer auf Web- und SaaS-Anwendungen, Android- und iOS-Mobilanwendungen sowie ShareFile-Daten zugreifen, die auf Citrix Endpoint Management gehostet werden. Ein Benutzer kann über den clientlosen Zugriff oder mithilfe der Citrix Workspace-App oder Secure Hub eine Verbindung mit dem Citrix Secure Access-Client herstellen.
Verbinden Sie sich mit der Citrix Workspace-App
Benutzer können sich mit der Citrix Workspace-App verbinden, um auf ihre Windows-basierten Anwendungen und virtuellen Desktops zuzugreifen. Benutzer können auch von Endpoint Management aus auf Anwendungen zugreifen. Um von einem Remotestandort aus eine Verbindung herzustellen, installieren Benutzer auch den Citrix Secure Access-Client auf ihrem Gerät. Die Citrix Workspace-App fügt den Citrix Secure Access-Client automatisch zu ihrer Liste der Plug-ins hinzu. Wenn sich Benutzer bei der Citrix Workspace-App anmelden, können sie sich auch am Citrix Secure Access-Client anmelden. Sie können NetScaler Gateway auch so konfigurieren, dass Single Sign-On am Citrix Secure Access-Client ausgeführt wird, wenn sich Benutzer bei der Citrix Workspace-App anmelden.
Verbinden Sie sich mit iOS- und Android-Geräten
Benutzer können mithilfe von Secure Hub eine Verbindung von einem iOS- oder Android-Gerät herstellen. Benutzer können mithilfe von Secure Mail auf ihre E-Mails zugreifen und mit WorxWeb eine Verbindung zu Websites herstellen.
Wenn Benutzer über das mobile Gerät eine Verbindung herstellen, werden die Verbindungen über NetScaler Gateway geleitet, um auf interne Ressourcen zuzugreifen. Wenn Benutzer eine Verbindung mit iOS herstellen, aktivieren Sie Secure Browse als Teil des Sitzungsprofils. Wenn Benutzer eine Verbindung mit Android herstellen, verwendet die Verbindung das Micro-VPN automatisch. Darüber hinaus verwenden Secure Mail und WorxWeb Micro VPN, um Verbindungen über NetScaler Gateway herzustellen. Sie müssen Micro VPN nicht auf NetScaler Gateway konfigurieren.