Gateway

NetScaler Gateway in einer Double-Hop-DMZ bereitstellen

Einige Organisationen verwenden für den Schutz ihrer internen Netzwerke drei Firewalls. Diese drei Firewalls unterteilen die DMZ in zwei Stufen und bieten so zusätzliche Sicherheit für das interne Netzwerk. Diese Netzwerkkonfiguration nennt sich Double-Hop-DMZ.

Abbildung 1. NetScaler Gateway-Appliances werden in einer Double-Hop-DMZ bereitgestellt

Bereitstellen von NetScaler Gateway in einer Double-Hop-DMZ

Hinweis:

Zur Veranschaulichung beschreibt das vorangegangene Beispiel eine Double-Hop-Konfiguration mit drei Firewalls mit StoreFront, dem Webinterface und Citrix Virtual Apps. Sie können jedoch auch eine Double-Hop-DMZ mit einer Appliance in der DMZ und einer Appliance im sicheren Netzwerk haben. Wenn Sie eine Double-Hop-Konfiguration mit einer Appliance in der DMZ und einer im sicheren Netzwerk konfigurieren, können Sie die Anweisungen zum Öffnen von Ports an der dritten Firewall ignorieren.

Sie können eine Double-Hop-DMZ für die Unterstützung von Citrix StoreFront oder das parallel zum NetScaler Gateway-Proxy installierte Webinterface konfigurieren. Benutzer verbinden sich mithilfe der Citrix Workspace-App.

Hinweis:

Wenn Sie NetScaler Gateway in einer Double-Hop-DMZ mit StoreFront bereitstellen, funktioniert die E-Mail-basierte AutoDiscovery für Citrix Workspace-App nicht.

So funktioniert eine Double-Hop-Bereitstellung

Sie können NetScaler Gateway-Appliances in einer Double-Hop-DMZ bereitstellen, um den Zugriff auf Server zu steuern, auf denen Citrix Virtual Apps ausgeführt wird. Die Verbindungen in einer Double-Hop-Bereitstellung erfolgen wie folgt:

  • Benutzer stellen in der ersten DMZ eine Verbindung zu NetScaler Gateway her, indem sie einen Webbrowser verwenden und mithilfe der Citrix Workspace-App eine veröffentlichte Anwendung auswählen.
  • Die Citrix Workspace-App startet auf dem Benutzergerät. Der Benutzer stellt eine Verbindung zu NetScaler Gateway her, um auf die veröffentlichte Anwendung zuzugreifen, die in der Serverfarm im sicheren Netzwerk ausgeführt wird.

    Hinweis: Secure Hub und der Citrix Secure Access-Client für Windows werden in einer Double-Hop-DMZ-Bereitstellung nicht unterstützt. Nur die Citrix Workspace-App wird für Benutzerverbindungen verwendet.

  • NetScaler Gateway in der ersten DMZ verarbeitet Benutzerverbindungen und führt die Sicherheitsfunktionen eines SSL-VPN aus. Dieses NetScaler Gateway verschlüsselt Benutzerverbindungen, bestimmt, wie die Benutzer authentifiziert werden, und steuert den Zugriff auf die Server im internen Netzwerk.
  • NetScaler Gateway in der zweiten DMZ dient als NetScaler Gateway-Proxy-Gerät. Dieses NetScaler Gateway ermöglicht es dem ICA-Datenverkehr, die zweite DMZ zu durchlaufen, um Benutzerverbindungen zur Serverfarm herzustellen. Die Kommunikation zwischen NetScaler Gateway in der ersten DMZ und der Secure Ticket Authority (STA) im internen Netzwerk wird ebenfalls über NetScaler Gateway in der zweiten DMZ weitergeleitet.

NetScaler Gateway unterstützt IPv4- und IPv6-Verbindungen. Sie können das Konfigurationsdienstprogramm verwenden, um die IPv6-Adresse zu konfigurieren.

In der folgenden Tabelle wird die Unterstützung der Double-Hop-Bereitstellung für die verschiedenen ICA-Funktionen vorgeschlagen:

ICA-Funktion Double-Hop-Unterstützung
SmartAccess Ja
SmartControl Ja
Enlightened Data Transport (EDT) Ja
HDX Insight Ja
ICA-Sitzungszuverlässigkeit (Port 2598) Ja
ICA-Sitzungsmigration Ja
ICA-Sitzungszeitlimit Ja
Multistream-ICA Ja (nur TCP)
Framehawk Nein
UDP-Audio Nein

Bereiten Sie sich auf eine Double-Hop-DMZ-Bereitstellung vor

Beim Konfigurieren einer Double-Hop-DMZ-Bereitstellung müssen Sie die folgenden Fragen beantworten:

  • Möchte ich den Lastenausgleich unterstützen?
  • Welche Ports öffne ich an den Firewalls?
  • Wie viele SSL-Zertifikate brauche ich?
  • Welche Komponenten benötige ich, bevor ich mit der Bereitstellung beginne?

Die Themen in diesem Abschnitt enthalten Informationen, die Ihnen bei der Beantwortung dieser Fragen helfen, sofern dies für Ihre Umgebung angemessen ist.

Komponenten, die für den Beginn der Bereitstellung erforderlich sind

Bevor Sie mit einer Double-Hop-DMZ-Bereitstellung beginnen, stellen Sie sicher, dass Sie über die folgenden Komponenten verfügen:

  • Mindestens zwei NetScaler Gateway-Appliances müssen verfügbar sein (eine für jede DMZ).

  • Server, auf denen Citrix Virtual Apps ausgeführt werden, müssen im internen Netzwerk installiert und betriebsbereit sein.

  • Das Webinterface oder StoreFront muss in der zweiten DMZ installiert und für den Betrieb mit der Serverfarm im internen Netzwerk konfiguriert sein.

  • Mindestens ein SSL-Serverzertifikat muss auf NetScaler Gateway in der ersten DMZ installiert sein. Dieses Zertifikat stellt sicher, dass der Webbrowser und Benutzerverbindungen zu NetScaler Gateway verschlüsselt sind.

    Sie benötigen zusätzliche Zertifikate, wenn Sie Verbindungen verschlüsseln möchten, die zwischen den anderen Komponenten in einer Double-Hop-DMZ-Bereitstellung auftreten.

NetScaler Gateway in einer Double-Hop-DMZ bereitstellen