Gateway

NetScaler Gateway をダブルホップDMZに展開する

内部ネットワークを保護するために、3つのファイアウォールを使用する場合があります。3つのファイアウォールは、DMZを2つの段階にわけて、内部ネットワークにさらなるセキュリティを提供します。このネットワーク構成を、ダブルホップDMZと呼びます。

図1:ダブルホップDMZに展開されたNetScaler Gateway アプライアンス

ダブルホップDMZでのNetScaler Gateway の展開

注:

説明のため、前の例では、StoreFront、Web Interface、およびCitrix Virtual Apps を備えた3つのファイアウォールを使用したダブルホップ構成について説明していますが、DMZに1つのアプライアンスとセキュリティで保護されたネットワーク内の1つのアプライアンスを持つダブルホップDMZを使用することもできます。DMZ に 1 つのアプライアンスとセキュアネットワークに 1 つのアプライアンスを持つダブルホップ構成を設定する場合、第 3 のファイアウォールでポートを開く手順は無視できます。

ダブルホップDMZを構成して、Citrix StoreFront またはNetScaler Gateway プロキシと並行してインストールされたWeb Interfaceをサポートできます。ユーザーはCitrix Workspace アプリを使用して接続します。

注:

StoreFront を使用してダブルホップDMZにNetScaler Gateway を展開すると、Citrix Workspace アプリ用の電子メールベースの自動検出は機能しません。

ダブルホップ展開の仕組み

NetScaler Gateway アプライアンスをダブルホップDMZに展開して、Citrix Virtual Apps を実行しているサーバーへのアクセスを制御できます。ダブルホップ展開の接続は、次のように発生します:

  • ユーザーは、Webブラウザーを使用し、Citrix Workspaceアプリを使用して公開アプリケーションを選択して、最初のDMZでNetScaler Gateway に接続します。
  • Citrix Workspace アプリがユーザーデバイスで起動します。ユーザーはNetScaler Gateway に接続して、セキュリティで保護されたネットワークのサーバーファームで実行されている公開アプリケーションにアクセスします。

    注: Secure HubとNetScaler Gateway プラグインは、ダブルホップDMZ展開ではサポートされていません。Citrix Workspace アプリのみがユーザー接続に使用されます。

  • 最初のDMZのNetScaler Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このNetScaler Gateway は、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワーク内のサーバーへのアクセスを制御します。
  • 2番目のDMZのNetScaler Gatewayは、NetScaler Gatewayプロキシデバイスとして機能します。このNetScaler Gateway により、ICAトラフィックが2番目のDMZを通過して、サーバーファームへのユーザー接続を完了できます。最初のDMZのNetScaler Gateway と内部ネットワークのSecure Ticket Authority(STA)間の通信も、2番目のDMZのNetScaler Gatewayを介してプロキシされます。

NetScaler Gateway は、IPv4接続とIPv6接続をサポートしています。構成ユーティリティを使用して IPv6 アドレスを構成できます。

次の表に、さまざまなICA機能のダブルホップ展開サポートを示します。

ICA機能 ダブルホップサポート
SmartAccess はい
SmartControl はい
Enlightened Data Transport(EDT) はい
HDX Insight はい
ICA セッション信頼性 (ポート 2598) はい
ICA セッションの移行 はい
ICA セッションタイムアウト はい
マルチストリームICA はい (TCP のみ)
Framehawk いいえ
UDP オーディオ いいえ

ダブルホップ DMZ 展開の準備

ダブルホップ DMZ 配置を設定するときに適切に準備し、不要な問題を回避するには、次の質問に答える必要があります:

  • 負荷分散をサポートしたいですか?
  • ファイアウォールではどのポートを開く必要がありますか。
  • SSL証明書はいくつ必要ですか?
  • 展開を開始する前に必要なコンポーネントは何ですか?

このセクションのトピックには、環境に応じてこれらの質問に答えるのに役立つ情報が含まれています。

展開を開始するために必要なコンポーネント

ダブルホップ DMZ 展開を開始する前に、次のコンポーネントがあることを確認します:

  • 少なくとも2つのNetScaler Gateway アプライアンス(DMZごとに1つ)が使用可能である必要があります。

  • Citrix Virtual Apps を実行するサーバーは、内部ネットワークにインストールされ、動作している必要があります。

  • Web InterfaceまたはStoreFront を2番目のDMZにインストールし、内部ネットワークのサーバーファームで動作するように構成する必要があります。

  • 少なくとも、最初のDMZのNetScaler Gateway に1つのSSLサーバー証明書がインストールされている必要があります。この証明書により、WebブラウザーとNetScaler Gateway へのユーザー接続が暗号化されます。

    ダブルホップ DMZ 展開内の他のコンポーネント間で発生する接続を暗号化する場合は、追加の証明書が必要です:

NetScaler Gateway をダブルホップDMZに展開する