Gateway

Implementaciones comunes de NetScaler Gateway

Es posible implementar NetScaler Gateway en el perímetro de la red interna (o intranet) de la organización para proporcionar un único punto de acceso seguro a los servidores, las aplicaciones y otros recursos de red que residan en la red interna. Todos los usuarios remotos deben conectarse a NetScaler Gateway para poder acceder a los recursos de la red interna.

NetScaler Gateway suele instalarse en las siguientes ubicaciones de una red:

  • En la red DMZ
  • En una red segura que no tiene una DMZ

También puede implementar NetScaler Gateway con Citrix Virtual Apps, Citrix Virtual Desktops, StoreFront y Citrix Endpoint Management para permitir a los usuarios acceder a sus aplicaciones Windows, web, móviles y SaaS. Si su implementación incluye Citrix Virtual Apps, StoreFront y Desktops 7, puede implementar NetScaler Gateway en una configuración DMZ de salto único o doble salto. Las implementaciones de doble salto no son compatibles con versiones anteriores de Citrix Virtual Desktops ni Citrix Endpoint Management.

Para obtener más información sobre cómo ampliar la instalación de NetScaler Gateway con estas y otras soluciones de NetScaler compatibles, consulte el tema Integración con los productos de NetScaler.

Implementación de NetScaler Gateway en una DMZ

Muchas organizaciones protegen su red interna con una DMZ. Una DMZ es una subred que se encuentra entre la red interna segura de una organización e Internet (o cualquier red externa). Al implementar NetScaler Gateway en la DMZ, los usuarios se conectan con la aplicación Citrix Secure Access para Windows o Citrix Workspace.

Figura 1. NetScaler Gateway implementado en la DMZ

NetScaler Gateway implementado en la DMZ

En la configuración que se muestra en la ilustración anterior, se instala NetScaler Gateway en la DMZ y se configura para que se conecte tanto a Internet como a la red interna.

Conectividad de NetScaler Gateway en una DMZ

Al implementar NetScaler Gateway en la DMZ, las conexiones de usuario deben atravesar el primer firewall para conectarse a NetScaler Gateway. De forma predeterminada, las conexiones de usuario utilizan SSL en el puerto 443 para establecer esta conexión. Para permitir que las conexiones de usuario lleguen a la red interna, debe permitir SSL en el puerto 443 a través del primer firewall.

NetScaler Gateway descifra las conexiones SSL del dispositivo del usuario y establece una conexión en nombre del usuario con los recursos de red detrás del segundo firewall. Los puertos que deben abrirse a través del segundo firewall dependen de los recursos de red a los que autoriza el acceso de los usuarios externos.

Por ejemplo, si autoriza a los usuarios externos a acceder a un servidor web de la red interna y este servidor escucha conexiones HTTP en el puerto 80, debe permitir HTTP en el puerto 80 a través del segundo firewall. NetScaler Gateway establece la conexión a través del segundo firewall con el servidor HTTP de la red interna en nombre de los dispositivos de usuario externos.

Implementación de NetScaler Gateway en una red segura

Puede instalar NetScaler Gateway en la red segura. En este caso, un firewall se interpone entre Internet y la red segura. NetScaler Gateway reside en el firewall para controlar el acceso a los recursos de la red.

Figura 1. NetScaler Gateway implementado en la red segura

Implementación de NetScaler Gateway en Secure Network

Al implementar NetScaler Gateway en la red segura, conecte una interfaz de NetScaler Gateway a Internet y la otra interfaz a los servidores que se ejecutan en la red segura. La colocación de NetScaler Gateway en la red segura proporciona acceso a los usuarios locales y remotos. Debido a que esta configuración solo tiene un firewall, hace que la implementación sea menos segura para los usuarios que se conectan desde una ubicación remota. Aunque NetScaler Gateway intercepta el tráfico de Internet, el tráfico entra en la red segura antes de que los usuarios se autentiquen. Cuando NetScaler Gateway se implementa en una DMZ, los usuarios se autentican antes de que el tráfico de red llegue a la red segura.

Cuando NetScaler Gateway se implementa en la red segura, las conexiones de Citrix Secure Access para Windows deben atravesar el firewall para conectarse a NetScaler Gateway. De forma predeterminada, las conexiones de usuario utilizan el protocolo SSL del puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall.

Implementaciones comunes de NetScaler Gateway