Gateway

Häufige NetScaler Gateway-Bereitstellungen

Sie können NetScaler Gateway am Umfang des internen Netzwerks (oder Intranets) Ihrer Organisation bereitstellen, um einen sicheren zentralen Zugriffspunkt auf die Server, Anwendungen und andere Netzwerkressourcen bereitzustellen, die sich im internen Netzwerk befinden. Alle Remote-Benutzer müssen eine Verbindung zu NetScaler Gateway herstellen, bevor sie auf Ressourcen im internen Netzwerk zugreifen können.

NetScaler Gateway wird am häufigsten an den folgenden Speicherorten in einem Netzwerk installiert:

  • Im Netzwerk DMZ
  • In einem sicheren Netzwerk ohne DMZ

Sie können NetScaler Gateway auch mit Citrix Virtual Apps, Citrix Virtual Desktops, StoreFront und Citrix Endpoint Management bereitstellen, um Benutzern den Zugriff auf ihre Windows-, Web-, Mobil- und SaaS-Anwendungen zu ermöglichen. Wenn Ihre Bereitstellung Citrix Virtual Apps, StoreFront und Desktops 7 umfasst, können Sie NetScaler Gateway in einer Single-Hop- oder Double-Hop-DMZ-Konfiguration bereitstellen. Eine Double-Hop-Bereitstellung wird mit früheren Versionen von Citrix Virtual Desktops oder Citrix Endpoint Management nicht unterstützt.

Weitere Informationen zur Erweiterung Ihrer NetScaler Gateway-Installation mit diesen und anderen unterstützten NetScaler-Lösungen finden Sie im Thema Integration mit NetScaler-Produkten.

Bereitstellen von NetScaler Gateway in einer DMZ

Viele Unternehmen schützen ihr internes Netzwerk mit einer DMZ. Eine DMZ ist ein Subnetz, das zwischen dem sicheren internen Netzwerk einer Organisation und dem Internet (oder einem externen Netzwerk) liegt. Wenn Sie NetScaler Gateway in der DMZ bereitstellen, stellen Benutzer eine Verbindung mit der Citrix Secure Access für Windows- oder Citrix Workspace-App her.

Abbildung 1. NetScaler Gateway in der DMZ bereitgestellt

NetScaler Gateway in der DMZ bereitgestellt

In der in der vorhergehenden Abbildung gezeigten Konfiguration installieren Sie NetScaler Gateway in der DMZ und konfigurieren es so, dass eine Verbindung zum Internet und zum internen Netzwerk hergestellt wird.

NetScaler Gateway-Konnektivität in einer DMZ

Wenn Sie NetScaler Gateway in der DMZ bereitstellen, müssen Benutzerverbindungen die erste Firewall durchqueren, um eine Verbindung zu NetScaler Gateway herzustellen. Standardmäßig verwenden Benutzerverbindungen SSL an Port 443, um diese Verbindung herzustellen. Damit Benutzerverbindungen das interne Netzwerk erreichen können, müssen Sie SSL an Port 443 über die erste Firewall zulassen.

NetScaler Gateway entschlüsselt die SSL-Verbindungen vom Benutzergerät und stellt im Namen des Benutzers eine Verbindung zu den Netzwerkressourcen hinter der zweiten Firewall her. Die Ports, die durch die zweite Firewall geöffnet sein müssen, sind von den Netzwerkressourcen abhängig, auf die Sie externen Benutzern Zugriff gewähren.

Wenn Sie beispielsweise externen Benutzern den Zugriff auf einen Webserver im internen Netzwerk autorisieren und dieser Server auf HTTP-Verbindungen an Port 80 wartet, müssen Sie HTTP auf Port 80 über die zweite Firewall zulassen. NetScaler Gateway stellt die Verbindung über die zweite Firewall zum HTTP-Server im internen Netzwerk im Namen der externen Benutzergeräte her.

Bereitstellen von NetScaler Gateway in einem sicheren Netzwerk

Sie können NetScaler Gateway im sicheren Netzwerk installieren. In diesem Szenario steht eine Firewall zwischen dem Internet und dem sicheren Netzwerk. NetScaler Gateway ist in der Firewall, um den Zugriff auf die Netzwerkressourcen zu steuern.

Abbildung 1. NetScaler Gateway wird im sicheren Netzwerk bereitgestellt

Bereitstellen von NetScaler Gateway im sicheren Netzwerk

Wenn Sie NetScaler Gateway im sicheren Netzwerk bereitstellen, verbinden Sie eine Schnittstelle auf NetScaler Gateway mit dem Internet und die andere Schnittstelle mit Servern, die im sicheren Netzwerk ausgeführt werden. Das Einfügen von NetScaler Gateway in das sichere Netzwerk bietet lokalen und Remote-Benutzern Zugriff. Da diese Konfiguration nur über eine Firewall verfügt, ist die Bereitstellung für Benutzer, die sich von einem Remote-Standort aus verbinden, weniger sicher. Obwohl NetScaler Gateway Datenverkehr aus dem Internet abfängt, gelangt der Datenverkehr in das sichere Netzwerk, bevor Benutzer authentifiziert werden. Wenn NetScaler Gateway in einer DMZ bereitgestellt wird, werden Benutzer authentifiziert, bevor der Netzwerkverkehr das sichere Netzwerk erreicht.

Wenn NetScaler Gateway im sicheren Netzwerk bereitgestellt wird, müssen Verbindungen mit Citrix Secure Access für Windows die Firewall durchlaufen, um eine Verbindung zu NetScaler Gateway herzustellen. Standardmäßig verwenden Benutzerverbindungen das SSL-Protokoll an Port 443, um diese Verbindung herzustellen. Um diese Konnektivität zu unterstützen, müssen Sie Port 443 an der Firewall öffnen.

Häufige NetScaler Gateway-Bereitstellungen