ユーザーがNetScaler Gateway プラグインを使用して接続する方法
NetScaler Gateway は以下のように動作する:
- ユーザーがVPNトンネルを介してネットワークリソースにアクセスしようとすると、NetScaler Gateway プラグインは組織の内部ネットワーク宛てのすべてのネットワークトラフィックを暗号化し、パケットをNetScaler Gateway に転送します。
- NetScaler Gateway は、SSLトンネルを終了し、プライベートネットワーク宛ての着信トラフィックを受け入れ、そのトラフィックをプライベートネットワークに転送します。NetScaler Gateway は、セキュリティで保護されたトンネルを介してリモートコンピューターにトラフィックを戻します。
ユーザーが Web アドレスを入力すると、ログオンページが表示され、そこで資格情報を入力してログオンします。資格情報が正しい場合、NetScaler Gateway はユーザーデバイスとのハンドシェイクを終了します。
ユーザーとAccess Gatewayの間にプロキシサーバーがある場合は、プロキシサーバーと認証のための資格情報を指定できます。詳細については、「 ユーザー接続のプロキシサポートの有効化」を参照してください。
NetScaler Gateway プラグインがユーザーデバイスにインストールされます。最初の接続後、ユーザーが Windows ベースのコンピューターを使用してログオンした場合、通知領域のアイコンを使用して接続を確立できます。
セキュアトンネルの確立
ユーザーがNetScaler Gateway プラグイン、Secure Hub、またはCitrix Workspace アプリで接続すると、クライアントソフトウェアはポート443(またはNetScaler Gateway の構成済みポート)を介して安全なトンネルを確立し、認証情報を送信します。トンネルが確立されると、NetScaler Gateway は、NetScaler Gateway プラグイン、Secure Hub、またはCitrix Workspace アプリに構成情報を送信します。アドレスプールを有効にすると、セキュリティで保護されるネットワークを記述し、IPアドレスを含みます。
セキュアな接続を介してプライベートネットワークトラフィックをトンネルする
NetScaler Gateway プラグインが起動し、ユーザーが認証されると、指定されたプライベートネットワークを宛先とするすべてのネットワークトラフィックがキャプチャされ、安全なトンネルを介してNetScaler Gateway にリダイレクトされます。Citrix Workspace アプリは、NetScaler Gateway プラグインをサポートして、ユーザーのログオン時に安全なトンネルを介して接続を確立する必要があります。
Secure Hub、Secure Mail、WorxWebは、マイクロVPNを使用して、iOSおよびAndroidモバイルデバイス用のセキュアなトンネルを確立します。
NetScaler Gatewayは、ユーザーデバイスが確立するすべてのネットワーク接続をインターセプトし、SSL(Secure Sockets Layer)を介してNetScaler Gatewaysに多重化します。NetScaler Gatewayでは、トラフィックが逆多重化され、接続が正しいホストとポートの組み合わせに転送されます。
接続は、単一のアプリケーション、アプリケーションのサブセット、またはイントラネット全体に適用される管理セキュリティポリシーの対象となります。リモートユーザが VPN 接続を介してアクセスできるリソース(IP アドレス/サブネットペアの範囲)を指定します。
NetScaler Gateway プラグインは、定義されたイントラネットアプリケーションの次のプロトコルをインターセプトしてトンネリングします。
- TCP (すべてのポート)
- UDP (すべてのポート)
- ICMP(タイプ 8 および 0-エコー要求/応答)
ユーザーデバイス上のローカルアプリケーションからの接続は、NetScaler Gateway に安全にトンネリングされ、NetScaler Gateway はターゲットサーバーへの接続を再確立します。ターゲットサーバーは、プライベートネットワーク上のローカルNetScaler Gateway からの接続として認識し、ユーザーデバイスを隠します。これは、リバースネットワークアドレス変換 (NAT) とも呼ばれます。IP アドレスを非表示にすると、送信元の場所にセキュリティが追加されます。
ローカルでは、ユーザーデバイス上で、SYN-ACK、PUSH、ACK、FINパケットなどの接続関連トラフィックはすべて、NetScaler Gateway プラグインによって再作成され、プライベートサーバーから表示されます。
ファイアウォールとプロキシ経由で接続する
NetScaler Gateway プラグインのユーザーは、次の図に示すように、別の組織のファイアウォール内に配置されることがあります:
NATファイアウォールは、NetScaler Gateway からユーザーデバイスに安全なパケットをルーティングできるようにするテーブルを保持します。回線指向接続の場合、NetScaler Gateway はポートマップされたリバースNAT変換テーブルを保持します。リバースNAT変換テーブルを使用すると、NetScaler Gateway は接続を照合し、正しいポート番号を持つユーザーデバイスにパケットをトンネル経由で送信し、パケットが正しいアプリケーションに返されるようにします。
NetScaler Gateway プラグインのアップグレードを制御する
システム管理者は、NetScaler ADCプラグインのバージョンがNetScaler Gateway リビジョンと一致しない場合のNetScaler ADCプラグインの実行方法を制御します。新しいオプションは、Mac、Windows、またはオペレーティングシステムのプラグインのアップグレード動作を制御します。
VPNプラグインの場合、NetScaler ADCアプライアンスのユーザーインターフェイスの2つの場所でアップグレードオプションを設定できます。
- グローバル設定で
- セッションプロファイルレベル
要件
-
Windows EPA および VPN プラグインのバージョンは 11.0.0.0 より大きくなければなりません
-
Mac EPA プラグインのバージョンは 3.0.0.31 より大きくなければなりません
-
Mac VPN プラグインのバージョンは 3.1.4 (357) より大きくなければなりません
注:
NetScaler ADCアプライアンスを11.0リリースにアップグレードすると、アップグレード制御構成に関係なく、以前のすべてのVPN(およびEPA)プラグインが最新バージョンにアップグレードされます。以降のアップグレードでは、以前のアップグレード制御設定が尊重されます。
プラグインビヘイビア
NetScaler Gateway では、クライアントの種類ごとに、次の3つのオプションを使用してプラグインのアップグレード動作を制御できます:
- いつも
エンドユーザーのプラグインのバージョンがNetScaler ADCアプライアンスに同梱されているプラグインと一致しない場合、プラグインは常にアップグレードされます。これはデフォルトの動作です。エンタープライズで複数のプラグインバージョンを実行したくない場合は、このオプションを選択します。
- 必須 (およびセキュリティ)
プラグインは、必要であると判断された場合にのみアップグレードされます。アップグレードは、次の 2 つの状況で必要であるとみなされます。
-
インストールされているプラグインは、現在のNetScaler ADCアプライアンスのバージョンと互換性がありません。
-
インストールされているプラグインは、必要なセキュリティ修正のために更新する必要があります。
プラグインのアップグレード回数を最小限にしたいが、プラグインのセキュリティアップデートを見逃したくない場合は、このオプションを選択します。
- 決して
プラグインはアップグレードされません。
VPN プラグインのアップグレードを制御するための CLI パラメータ
NetScaler Gateway は、WindowsおよびMacオペレーティングシステム用の2種類のプラグイン(EPAおよびVPN)をサポートしています。セッションレベルでVPNプラグインのアップグレード制御をサポートするために、NetScaler Gateway はwindowsInPluginUpgradeとmacPluginUpgradeという名前の2つのセッションプロファイルパラメーターをサポートしています。
これらのパラメータは、グローバル、仮想サーバ、グループ、およびユーザレベルで使用できます。各パラメータには、[常時]、[必須]、または [なし] の値を指定できます。これらのパラメータの詳細については、「 プラグインビヘイビア」を参照してください。
EPA プラグインのアップグレードを制御するための CLI パラメータ
NetScaler Gateway は、WindowsおよびMacオペレーティングシステム用のEPAプラグインをサポートしています。仮想サーバーレベルでEPAプラグインのアップグレード制御をサポートするために、NetScaler Gateway は windowsEpaPluginUpgrade および macePAPluginUpgrade という名前の2つの仮想サーバーパラメーターをサポートしています。
パラメータは、仮想サーバレベルで使用できます。各パラメータには、[常時]、[必須]、または [なし] の値を指定できます。これらのパラメータの詳細については、「 プラグインビヘイビア」を参照してください
VPN 構成
Windows、Linux、および Mac プラグインの VPN 構成については 、以下の手順に従ってください。
-
[ NetScaler ADC] > [ポリシー] > [セッション] に移動します。
-
目的のセッションポリシーを選択し、[ 編集] をクリックします。
-
[ クライアントエクスペリエンス ] タブを選択します。
-
これらのダイアログボックスのオプションは、アップグレードの動作に影響します。
- いつも
- エッセンシャル
- 決して
デフォルトは [常時] です。
-
各オプションの右側にあるチェックボックスをオンにします。アップグレード動作を適用する頻度を選択します。
EPA 構成
Windows、Linux、および Apple プラグインの EPA 構成については、以下の手順に従ってください。
-
[NetScaler Gateway]>[仮想サーバー]に移動します。
-
サーバを選択し、[ Edit ] ボタンをクリックします。
-
鉛筆アイコンをクリックします 。
-
[ 詳細] をクリックします
-
表示されるダイアログボックスは、アップグレードの動作に影響します。以下の種類から選択できます。
- いつも
- エッセンシャル
- 決して