Gateway

Déploiements courants de NetScaler Gateway

vous pouvez déployer NetScaler Gateway en périphérie du réseau interne de votre organisation (ou intranet) afin d’offrir un point d’accès unique et sécurisé aux serveurs, applications et autres ressources réseau hébergées sur votre réseau interne. Tous les utilisateurs distants doivent se connecter à NetScaler Gateway avant de pouvoir accéder aux ressources du réseau interne.

NetScaler Gateway est le plus souvent installé aux emplacements suivants d’un réseau :

  • Dans la zone démilitarisée du réseau
  • Réseau sécurisé dans DMZ

Vous pouvez également déployer NetScaler Gateway avec Citrix Virtual Apps, Citrix Virtual Desktops, StoreFront et Citrix Endpoint Management pour permettre aux utilisateurs d’accéder à leurs applications Windows, Web, mobiles et SaaS. Si votre déploiement inclut Citrix Virtual Apps, StoreFront et Desktops 7, vous pouvez déployer NetScaler Gateway dans une configuration DMZ à saut unique ou à double saut. Un déploiement à double saut n’est pas pris en charge avec les versions antérieures de Citrix Virtual Desktops ou de Citrix Endpoint Management.

Pour plus d’informations sur l’extension de votre installation NetScaler Gateway avec ces solutions et d’autres solutions NetScaler prises en charge, consultez la rubrique Intégration aux produits NetScaler.

Déployer NetScaler Gateway dans une zone démilitarisée

De nombreuses entreprises protègent leur réseau interne avec une zone démilitarisée. Une zone démilitarisée est un sous-réseau situé entre le réseau interne sécurisé d’une organisation et Internet (ou tout autre réseau externe). Lorsque vous déployez NetScaler Gateway dans la zone démilitarisée, les utilisateurs se connectent à l’application Citrix Secure Access pour Windows ou Citrix Workspace.

Figure 1. NetScaler Gateway déployé dans la zone démilitarisée

NetScaler Gateway déployé dans la zone démilitarisée

Dans la configuration présentée dans la figure précédente, vous installez NetScaler Gateway dans la zone démilitarisée et le configurez pour qu’il se connecte à la fois à Internet et au réseau interne.

Connectivité NetScaler Gateway dans une zone démilitarisée

Lorsque vous déployez NetScaler Gateway dans la zone démilitarisée, les connexions utilisateur doivent traverser le premier pare-feu pour se connecter à NetScaler Gateway. Par défaut, les connexions utilisateur utilisent SSL sur le port 443 pour établir cette connexion. Pour permettre aux connexions utilisateur d’atteindre le réseau interne, vous devez autoriser SSL sur le port 443 via le premier pare-feu.

NetScaler Gateway déchiffre les connexions SSL de la machine utilisateur et établit une connexion au nom de l’utilisateur aux ressources réseau situées derrière le second pare-feu. Les ports qui doivent être ouverts via le deuxième pare-feu dépendent des ressources réseau auxquelles vous autorisez les utilisateurs externes à accéder.

Par exemple, si vous autorisez des utilisateurs externes à accéder à un serveur Web du réseau interne et que ce serveur écoute les connexions HTTP sur le port 80, vous devez autoriser HTTP sur le port 80 via le deuxième pare-feu. NetScaler Gateway établit la connexion via le second pare-feu au serveur HTTP du réseau interne pour le compte des machines utilisateur externes.

Déployez NetScaler Gateway dans un réseau sécurisé

Vous pouvez installer NetScaler Gateway sur le réseau sécurisé. Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. NetScaler Gateway réside à l’intérieur du pare-feu pour contrôler l’accès aux ressources du réseau.

Figure 1. NetScaler Gateway déployé dans le réseau sécurisé

Déploiement de NetScaler Gateway dans un réseau sécurisé

Lorsque vous déployez NetScaler Gateway sur le réseau sécurisé, connectez une interface de NetScaler Gateway à Internet et l’autre interface aux serveurs s’exécutant sur le réseau sécurisé. L’intégration de NetScaler Gateway au réseau sécurisé permet aux utilisateurs locaux et distants d’y accéder. Comme cette configuration ne comporte qu’un seul pare-feu, le déploiement est moins sécurisé pour les utilisateurs qui se connectent depuis un emplacement distant. Bien que NetScaler Gateway intercepte le trafic en provenance d’Internet, celui-ci entre dans le réseau sécurisé avant que les utilisateurs ne soient authentifiés. Lorsque NetScaler Gateway est déployé dans une zone démilitarisée, les utilisateurs sont authentifiés avant que le trafic réseau n’atteigne le réseau sécurisé.

Lorsque NetScaler Gateway est déployé sur le réseau sécurisé, les connexions Citrix Secure Access pour Windows doivent traverser le pare-feu pour se connecter à NetScaler Gateway. Par défaut, les connexions utilisateur utilisent le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu.

Déploiements courants de NetScaler Gateway