Gateway

Implementación de NetScaler Gateway en una DMZ de doble salto

Algunas empresas usan tres firewalls para proteger sus redes internas. Esos tres firewalls dividen la zona desmilitarizada en dos niveles para ofrecer una capa extra de seguridad a la red interna. Esa configuración de red se llama “zona desmilitarizada de doble salto”.

Figura 1. Dispositivos NetScaler Gateway implementados en una DMZ de doble salto

Implementación de NetScaler Gateway en una DMZ de doble salto

Nota:

Con fines ilustrativos, el ejemplo anterior describe una configuración de doble salto que utiliza tres firewalls con StoreFront, la Interfaz Web y Citrix Virtual Apps. Sin embargo, también puede tener una DMZ de doble salto con un dispositivo en la DMZ y un dispositivo en la red segura. Si configura una configuración de doble salto con un dispositivo en la DMZ y otro en la red segura, puede ignorar las instrucciones para abrir puertos en el tercer firewall.

Puede configurar una DMZ de doble salto para admitir Citrix StoreFront o la Interfaz Web instalada en paralelo al proxy de NetScaler Gateway. Los usuarios se conectan mediante la aplicación Citrix Workspace.

Nota:

Si implementa NetScaler Gateway en una DMZ de doble salto con StoreFront, la aplicación AutoDiscovery para Citrix Workspace basada en correo electrónico no funciona.

Cómo funciona una implementación de doble salto

Puede implementar dispositivos NetScaler Gateway en una DMZ de doble salto para controlar el acceso a los servidores que ejecutan Citrix Virtual Apps. Las conexiones de una implementación de doble salto se producen de la siguiente manera:

  • Los usuarios se conectan a NetScaler Gateway en la primera DMZ mediante un explorador web y mediante la aplicación Citrix Workspace para seleccionar una aplicación publicada.
  • La aplicación Citrix Workspace se inicia en el dispositivo del usuario. El usuario se conecta a NetScaler Gateway para acceder a la aplicación publicada que se ejecuta en la comunidad de servidores en la red segura.

    Nota: Secure Hub y el cliente Citrix Secure Access para Windows no se admiten en una implementación de DMZ de doble salto. Solo se utiliza la aplicación Citrix Workspace para las conexiones de usuario.

  • NetScaler Gateway en la primera DMZ gestiona las conexiones de los usuarios y realiza las funciones de seguridad de una VPN SSL. Este NetScaler Gateway cifra las conexiones de los usuarios, determina cómo se autentican los usuarios y controla el acceso a los servidores de la red interna.
  • NetScaler Gateway en la segunda DMZ funciona como dispositivo proxy de NetScaler Gateway. Este NetScaler Gateway permite que el tráfico ICA atraviese la segunda DMZ para completar las conexiones de usuario a la comunidad de servidores. Las comunicaciones entre NetScaler Gateway en la primera DMZ y Secure Ticket Authority (STA) en la red interna también se realizan mediante proxy a través de NetScaler Gateway en la segunda DMZ.

NetScaler Gateway admite conexiones IPv4 e IPv6. Puede utilizar la utilidad de configuración para configurar la dirección IPv6.

En la tabla siguiente se sugiere la compatibilidad con la implementación de doble salto para las distintas funciones ICA:

Función ICA Soporte de doble salto
SmartAccess
SmartControl
Enlightened Data Transport (EDT)
HDX Insight
Fiabilidad de la sesión ICA (puerto 2598)
Migración de sesiones ICA
Tiempo de espera de sesión ICA
ICA de multisecuencia Sí (solo TCP)
Framehawk No
Audio UDP No

Prepárese para una implementación DMZ de doble salto

Al configurar una implementación de DMZ de doble salto, debe responder a las siguientes preguntas:

  • ¿Quiero admitir el equilibrio de cargas?
  • ¿Qué puertos se abren en los firewalls?
  • ¿Cuántos certificados SSL necesito?
  • ¿Qué componentes necesito antes de comenzar la implementación?

Los temas de esta sección contienen información que le ayudará a responder a estas preguntas según corresponda a su entorno.

Componentes necesarios para iniciar la implementación

Antes de comenzar una implementación de DMZ de doble salto, asegúrese de que dispone de los siguientes componentes:

  • Como mínimo, deben estar disponibles dos dispositivos NetScaler Gateway (uno para cada DMZ).

  • Los servidores que ejecutan Citrix Virtual Apps deben estar instalados y operativos en la red interna.

  • La Interfaz Web o StoreFront deben instalarse en la segunda DMZ y configurarse para funcionar con el conjunto de servidores de la red interna.

  • Como mínimo, se debe instalar un certificado de servidor SSL en NetScaler Gateway en la primera DMZ. Este certificado garantiza que el explorador web y las conexiones de usuario a NetScaler Gateway estén cifradas.

    Necesita certificados adicionales si quiere cifrar las conexiones que se producen entre los demás componentes de una implementación DMZ de doble salto.

Implementación de NetScaler Gateway en una DMZ de doble salto