À propos de NetScaler Gateway
NetScaler Gateway est facile à déployer et à administrer. La configuration de déploiement la plus courante consiste à localiser l’appliance NetScaler Gateway dans la zone démilitarisée. Vous pouvez installer plusieurs appliances NetScaler Gateway sur le réseau pour des déploiements plus complexes.
La première fois que vous démarrez NetScaler Gateway, vous pouvez effectuer la configuration initiale à l’aide d’une console série, de l’assistant de configuration de l’utilitaire de configuration ou du protocole DHCP (Dynamic Host Configuration Protocol). Sur l’appliance MPX, vous pouvez utiliser le clavier LCD situé sur le panneau avant de l’appliance pour effectuer la configuration initiale. Vous pouvez configurer des paramètres de base spécifiques à votre réseau interne, tels que l’adresse IP, le masque de sous-réseau, l’adresse IP de la passerelle par défaut et l’adresse DNS (Domain Name System). Après avoir configuré les paramètres réseau de base, vous configurez les paramètres spécifiques au fonctionnement de NetScaler Gateway, tels que les options d’authentification, d’autorisation, de ressources réseau, de serveurs virtuels, de stratégies de session et de stratégies de point de terminaison.
Avant d’installer et de configurer NetScaler Gateway, consultez les rubriques de cette section pour obtenir des informations sur la planification de votre déploiement. La planification du déploiement peut inclure la détermination de l’emplacement d’installation de l’appliance, la compréhension de la procédure d’installation de plusieurs appliances dans la zone démilitarisée et les exigences de licence. Vous pouvez installer NetScaler Gateway dans n’importe quelle infrastructure réseau sans modifier le matériel ou les logiciels existants exécutés sur le réseau sécurisé. NetScaler Gateway prend en charge d’autres produits réseau, tels que les équilibreurs de charge pour serveurs, les moteurs de cache, les pare-feux, les routeurs et les périphériques sans fil IEEE 802.11.
Vous pouvez écrire vos paramètres dans la liste de contrôle de pré-installation à avoir sous la main avant de configurer NetScaler Gateway.
Appliances NetScaler Gateway | Fournit des informations sur les appliances NetScaler Gateway et les instructions d’installation des appliances. |
Check-list d’installation | Fournit des informations de planification à consulter et une liste des tâches à effectuer avant d’installer NetScaler Gateway sur votre réseau. |
Déploiements courants | Fournit des informations sur le déploiement de NetScaler Gateway dans la zone démilitarisée du réseau, dans un réseau sécurisé sans zone démilitarisée et avec d’autres appliances pour prendre en charge l’équilibrage de charge et le basculement. Fournit également des informations sur le déploiement de NetScaler Gateway avec Citrix Virtual Apps and Desktops. |
Licensing | Fournit des informations sur l’installation des licences sur l’appliance. Fournit également des informations sur l’installation de licences sur plusieurs appliances NetScaler Gateway. |
Architecture NetScaler Gateway
Les principaux composants de NetScaler Gateway sont les suivants :
-
Serveursvirtuels. Le serveur virtuel NetScaler Gateway est une entité interne représentative de tous les services configurés disponibles pour les utilisateurs. Le serveur virtuel est également le point d’accès par lequel les utilisateurs accèdent à ces services. Vous pouvez configurer plusieurs serveurs virtuels sur une seule appliance, ce qui permet à une appliance NetScaler Gateway de servir plusieurs communautés d’utilisateurs ayant des exigences d’authentification et d’accès aux ressources différentes.
- Authentification, autorisation et audit. Vous pouvez configurer l’authentification, l’autorisation et la comptabilité pour permettre aux utilisateurs de se connecter à NetScaler Gateway avec des informations d’identification reconnues par NetScaler Gateway ou par des serveurs d’authentification situés sur le réseau sécurisé, tels que LDAP ou RADIUS. Les stratégies d’autorisation définissent les autorisations des utilisateurs, déterminant les ressources auxquelles un utilisateur donné est autorisé à accéder. Pour plus d’informations sur l’authentification et l’autorisation, consultez Configuration de l’authentification et de l’autorisation. Les serveurs d’audit conservent les données relatives à l’activité de NetScaler Gateway, notamment les événements de connexion des utilisateurs, les instances d’accès aux ressources et les erreurs opérationnelles. Ces informations sont stockées sur NetScaler Gateway ou sur un serveur externe. Pour plus d’informations sur l’audit, voir Configuration de l’audit sur NetScaler Gateway
-
Connexions utilisateur. Les utilisateurs peuvent se connecter à NetScaler Gateway en utilisant les méthodes d’accès suivantes :
-
Le client Citrix Secure Access pour Windows est un logiciel installé sur un ordinateur Windows. Les utilisateurs ouvrent une session en cliquant avec le bouton droit de la souris sur une icône dans la zone de notification d’un ordinateur Windows. Si les utilisateurs utilisent un ordinateur sur lequel le client Citrix Secure Access n’est pas installé, ils peuvent se connecter à l’aide d’un navigateur Web pour télécharger et installer le plug-in. Si l’application Citrix Workspace est installée sur les utilisateurs, ils ouvrent une session avec le client Citrix Secure Access à partir de l’application Citrix Workspace. Lorsque l’application Citrix Workspace et le client Citrix Secure Access sont installés sur la machine utilisateur, l’application Citrix Workspace ajoute automatiquement le client Citrix Secure Access.
-
Le client Citrix Secure Access pour macOS X qui permet aux utilisateurs exécutant macOS X de se connecter. Il possède les mêmes caractéristiques et fonctions que le client Citrix Secure Access pour Windows. Vous pouvez fournir un support d’analyse des points de terminaison pour cette version du plug-in en installant NetScaler Gateway 10.1, Build 120.1316.e.
-
Application Citrix Workspace qui permet aux utilisateurs de se connecter aux applications publiées et aux bureaux virtuels dans une batterie de serveurs à l’aide de l’interface Web ou de Citrix StoreFront.
-
Application Citrix Workspace, Secure Hub, WorxMail et WorxWeb qui permettent aux utilisateurs d’accéder aux applications Web et SaaS, aux applications mobiles iOS et Android et aux données ShareFile hébergées dans Citrix Endpoint Management.
-
Les utilisateurs peuvent se connecter à partir d’un appareil Android qui utilise l’adresse Web de NetScaler Gateway. Lorsque les utilisateurs démarrent une application, la connexion utilise Micro VPN pour acheminer le trafic réseau vers le réseau interne. Si les utilisateurs se connectent depuis un appareil Android, vous devez configurer les paramètres DNS sur NetScaler Gateway. Pour plus d’informations, consultez Prise en charge des requêtes DNS à l’aide de suffixes DNS pour les appareils Android.
-
Les utilisateurs peuvent se connecter à partir d’un appareil iOS qui utilise l’adresse Web de NetScaler Gateway. Vous configurez la Secure Browse soit globalement, soit dans un profil de session. Lorsque les utilisateurs démarrent une application sur leur appareil iOS, une connexion VPN démarre et la connexion est acheminée via NetScaler Gateway.
-
Accès sans client qui fournit aux utilisateurs l’accès dont ils ont besoin sans installer de logiciel sur la machine utilisateur.
Lors de la configuration de NetScaler Gateway, vous pouvez créer des stratégies pour configurer la manière dont les utilisateurs se connectent. Vous pouvez également restreindre l’ouverture de session des utilisateurs en créant des stratégies d’analyse de session et de point de terminaison.
-
-
Ressources réseau. Il s’agit notamment de tous les services réseau auxquels les utilisateurs accèdent via NetScaler Gateway, tels que les serveurs de fichiers, les applications et les sites Web.
-
Adaptateurvirtuel. L’adaptateur virtuel NetScaler Gateway prend en charge les applications qui nécessitent une usurpation d’adresse IP. L’adaptateur virtuel est installé sur la machine utilisateur lorsque le client Citrix Secure Access est installé. Lorsque les utilisateurs se connectent au réseau interne, la connexion sortante entre NetScaler Gateway et les serveurs internes utilise l’adresse IP de l’intranet comme adresse IP source. Le client Citrix Secure Access reçoit cette adresse IP du serveur dans le cadre de la configuration.
Si vous activez le split tunneling sur NetScaler Gateway, tout le trafic intranet est acheminé via l’adaptateur virtuel. Lors de l’interception du trafic lié à l’intranet, la carte virtuelle intercepte les requêtes DNS de type d’enregistrement A et AAAA tout en laissant toutes les autres requêtes DNS intactes. Le trafic réseau qui n’est pas lié au réseau interne est acheminé via la carte réseau installée sur la machine utilisateur. Les connexions Internet et LAN privé (LAN) restent ouvertes et connectées. Si vous désactivez le split tunneling, toutes les connexions sont routées via l’adaptateur virtuel. Toutes les connexions existantes sont déconnectées et l’utilisateur doit rétablir la session.
Si vous configurez une adresse IP intranet, le trafic vers le réseau interne est falsifié avec l’adresse IP intranet via la carte virtuelle.
Fonctionnent des connexions utilisateur
Les utilisateurs peuvent se connecter à leurs e-mails, partages de fichiers et autres ressources réseau à partir d’un emplacement distant. Les utilisateurs peuvent se connecter aux ressources réseau internes à l’aide des logiciels suivants :
- Client Citrix Secure Access
- Application Citrix Workspace
- WorxMail et WorxWeb
- Appareils mobiles Android et iOS
Connectez-vous au client Citrix Secure Access
Le client Citrix Secure Access permet aux utilisateurs d’accéder aux ressources du réseau interne en procédant comme suit :
- Un utilisateur se connecte à NetScaler Gateway pour la première fois en saisissant l’adresse Web dans un navigateur Web. La page de connexion apparaît et l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe. Si des serveurs d’authentification externes sont configurés, NetScaler Gateway contacte le serveur et les serveurs d’authentification vérifient les informations d’identification de l’utilisateur. Si l’authentification locale est configurée, NetScaler Gateway procède à l’authentification de l’utilisateur.
- Si vous configurez une stratégie de préauthentification, lorsque l’utilisateur saisit l’adresse Web de NetScaler Gateway dans un navigateur Web sur un ordinateur Windows ou macOS X, NetScaler Gateway vérifie si des stratégies de sécurité basées sur le client sont en place avant l’affichage de la page de connexion. Les vérifications de sécurité vérifient que la machine utilisateur répond aux conditions de sécurité, telles que les mises à jour du système d’exploitation, la protection antivirus et un pare-feu correctement configuré. Si la machine utilisateur échoue au contrôle de sécurité, NetScaler Gateway empêche l’utilisateur de se connecter. Un utilisateur qui ne peut pas ouvrir de session doit télécharger les mises à jour ou packages nécessaires et les installer sur la machine utilisateur. Lorsque la machine utilisateur passe la stratégie de pré-authentification, la page d’ouverture de session s’affiche et l’utilisateur peut entrer les informations d’identification de connexion. Vous pouvez utiliser Advanced Endpoint Analysis sur un ordinateur macOS X si vous installez NetScaler Gateway 10.1, build 120.1316.e.
- Lorsque NetScaler Gateway authentifie correctement l’utilisateur, NetScaler Gateway lance le tunnel VPN. NetScaler Gateway invite l’utilisateur à télécharger et à installer le client Citrix Secure Access pour Windows ou le client Citrix Secure Access pour macOS X.
- Si vous configurez un scan post-authentification, une fois qu’un utilisateur s’est connecté avec succès, NetScaler Gateway analyse la machine utilisateur à la recherche des stratégies de sécurité client requises. Vous pouvez exiger les mêmes conditions de sécurité que pour une stratégie de pré-authentification. Si la machine utilisateur échoue à l’analyse, la stratégie n’est pas appliquée ou l’utilisateur est placé dans un groupe de quarantaine et l’accès de l’utilisateur aux ressources réseau est limité.
- Lorsque la session est établie, l’utilisateur est dirigé vers une page d’accueil de NetScaler Gateway où il peut sélectionner les ressources auxquelles il souhaite accéder. La page d’accueil incluse dans NetScaler Gateway s’appelle l’interface d’accès. Si l’utilisateur ouvre une session à l’aide du client Citrix Secure Access pour Windows, une icône dans la zone de notification sur le bureau Windows indique que la machine utilisateur est connectée et que l’utilisateur reçoit un message indiquant que la connexion est établie. L’utilisateur peut également accéder aux ressources du réseau sans utiliser l’interface d’accès, par exemple en ouvrant Microsoft Outlook et en récupérant des e-mails.
- Si la demande de l’utilisateur passe les contrôles de sécurité avant et après authentification, NetScaler Gateway contacte alors la ressource demandée et établit une connexion sécurisée entre la machine utilisateur et cette ressource.
- L’utilisateur peut fermer une session active en cliquant avec le bouton droit sur l’icône NetScaler Gateway dans la zone de notification d’un ordinateur Windows, puis en cliquant sur Déconnexion. La session peut également être dépassé en raison d’une inactivité. Lorsque la session est fermée, le tunnel est arrêté et l’utilisateur n’a plus accès aux ressources internes. L’utilisateur peut également saisir l’adresse Web de NetScaler Gateway dans un navigateur. Lorsque l’utilisateur appuie sur Entrée, l’interface d’accès apparaît à partir de laquelle les utilisateurs peuvent se déconnecter.
Remarque : si vous déployez Citrix Endpoint Management sur votre réseau interne, un utilisateur qui se connecte depuis l’extérieur du réseau interne doit d’abord se connecter à NetScaler Gateway. Lorsque l’utilisateur établit la connexion, il peut accéder aux applications Web et SaaS, aux applications mobiles Android et iOS et aux données ShareFile hébergées sur Citrix Endpoint Management. Un utilisateur peut se connecter au client Citrix Secure Access via un accès sans client ou à l’aide de l’application Citrix Workspace ou de Secure Hub.
Connectez-vous avec l’application Citrix Workspace
Les utilisateurs peuvent se connecter à l’application Citrix Workspace pour accéder à leurs applications Windows et à leurs bureaux virtuels. Les utilisateurs peuvent également accéder aux applications depuis Endpoint Management. Pour se connecter à distance, les utilisateurs installent également le client Citrix Secure Access sur leur appareil. L’application Citrix Workspace ajoute automatiquement le client Citrix Secure Access à sa liste de plug-ins. Lorsque les utilisateurs se connectent à l’application Citrix Workspace, ils peuvent également se connecter au client Citrix Secure Access. Vous pouvez également configurer NetScaler Gateway pour effectuer une authentification unique au client Citrix Secure Access lorsque les utilisateurs se connectent à l’application Citrix Workspace.
Connectez-vous avec des appareils iOS et Android
Les utilisateurs peuvent se connecter à partir d’un appareil iOS ou Android à l’aide de Secure Hub. Les utilisateurs peuvent accéder à leur messagerie en utilisant Secure Mail et se connecter à des sites Web avec WorxWeb.
Lorsque les utilisateurs se connectent depuis l’appareil mobile, les connexions passent par NetScaler Gateway pour accéder aux ressources internes. Si les utilisateurs se connectent à iOS, vous activez la Secure Browse dans le cadre du profil de session. Si les utilisateurs se connectent à Android, la connexion utilise automatiquement le Micro VPN. De plus, Secure Mail et WorxWeb utilisent Micro VPN pour établir des connexions via NetScaler Gateway. Il n’est pas nécessaire de configurer Micro VPN sur NetScaler Gateway.