Gateway

一般的なNetScaler Gatewayの展開

NetScaler Gateway を組織の内部ネットワーク(またはイントラネット)の境界に展開して、内部ネットワークに存在するサーバー、アプリケーション、およびその他のネットワークリソースへの安全な単一アクセスポイントを提供できます。すべてのリモートユーザーは、内部ネットワークのリソースにアクセスする前に、NetScaler Gateway に接続する必要があります。

NetScaler Gateway は、通常、ネットワーク内の次の場所にインストールされます。

  • ネットワークDMZで
  • DMZ を持たないセキュアなネットワーク内

また、Citrix Virtual Desktops、Citrix Virtual Desktops、StoreFront、およびCitrix Endpoint ManagementとともにNetScaler Gatewayを展開して、ユーザーがWindows、Web、モバイル、およびSaaSアプリケーションにアクセスできるようにすることもできます。展開環境にCitrix Virtual Apps、StoreFront、およびデスクトップ7が含まれている場合は、NetScaler Gateway をシングルホップまたはダブルホップDMZ構成で展開できます。ダブルホップ展開は、以前のバージョンのCitrix Virtual DesktopsまたはCitrix Endpoint Managementではサポートされていません。

NetScaler Gatewayインストールをこれらのソリューションやその他のサポートされているNetScalerソリューションで拡張する方法の詳細については、「 NetScaler製品との統合」トピックを参照してください

DMZにNetScaler Gateway を展開する

多くの組織は DMZ で内部ネットワークを保護しています。DMZ は、組織のセキュアな内部ネットワークとインターネット (または任意の外部ネットワーク) の間にあるサブネットです。DMZにCitrix Gateway を展開すると、ユーザーはWindows用のCitrix Secure Access またはCitrix Workspaceアプリに接続します。

図1:DMZに展開されたNetScaler Gateway

DMZに展開されたNetScaler Gateway

前の図に示す構成では、DMZにNetScaler Gateway をインストールし、インターネットと内部ネットワークの両方に接続するように構成します。

DMZでのNetScaler Gateway接続

DMZにNetScaler Gateway を展開する場合、ユーザー接続は最初のファイアウォールを通過してNetScaler Gateway に接続する必要があります。デフォルトでは、ユーザー接続はポート 443 で SSL を使用してこの接続を確立します。ユーザ接続が内部ネットワークに到達できるようにするには、最初のファイアウォールを介してポート 443 で SSL を許可する必要があります。

NetScaler Gateway は、ユーザーデバイスからのSSL接続を復号化し、ユーザーに代わって2番目のファイアウォールの背後にあるネットワークリソースへの接続を確立します。2 番目のファイアウォールを介して開く必要があるポートは、外部ユーザーにアクセスを許可するネットワークリソースによって異なります。

たとえば、外部ユーザに内部ネットワーク内の Web サーバへのアクセスを許可し、このサーバがポート 80 で HTTP 接続をリッスンする場合、ポート 80 で HTTP を 2 番目のファイアウォール経由で許可する必要があります。NetScaler Gateway は、外部ユーザーデバイスに代わって、第2のファイアウォールを介して、内部ネットワーク上のHTTPサーバーへの接続を確立します。

NetScaler Gateway を安全なネットワークに展開する

NetScaler Gateway はセキュリティで保護されたネットワークにインストールできます。このシナリオでは、1 つのファイアウォールがインターネットとセキュリティで保護されたネットワークの間に立っています。NetScaler Gateway は、ネットワークリソースへのアクセスを制御するために、ファイアウォールの内部に常駐します。

図1:セキュリティで保護されたネットワークに展開されたNetScaler Gateway

NetScaler Gateway をセキュアネットワークに展開する

NetScaler Gateway をセキュリティで保護されたネットワークに展開するときは、NetScaler Gateway の1つのインターフェイスをインターネットに接続し、もう1つのインターフェイスをセキュリティで保護されたネットワークで実行されているサーバーに接続します。NetScaler Gateway をセキュリティで保護されたネットワークに配置すると、ローカルユーザーおよびリモートユーザーにアクセスできます。この構成にはファイアウォールが 1 つしかないため、リモートロケーションから接続するユーザーの展開の安全性が低下します。NetScaler Gateway はインターネットからのトラフィックを傍受しますが、トラフィックはユーザーが認証される前に安全なネットワークに入ります。NetScaler Gateway をDMZに展開すると、ネットワークトラフィックがセキュリティで保護されたネットワークに到達する前にユーザーが認証されます。

NetScaler Gateway がセキュリティで保護されたネットワークに展開されている場合、Citrix Secure Access for Windows接続は、NetScaler Gateway に接続するためにファイアウォールを通過する必要があります。デフォルトでは、ユーザー接続はポート 443 で SSL プロトコルを使用してこの接続を確立します。この接続をサポートするには、ファイアウォールでポート 443 を開く必要があります。

一般的なNetScaler Gatewayの展開