Gateway

NetScaler Gateway をダブルホップDMZに展開する

内部ネットワークを保護するために、3つのファイアウォールを使用する場合があります。3つのファイアウォールは、DMZを2つの段階にわけて、内部ネットワークにさらなるセキュリティを提供します。このネットワーク構成を、ダブルホップDMZと呼びます。

図1:ダブルホップDMZに展開されたNetScaler Gateway アプライアンス

ダブルホップDMZでのNetScaler Gateway の展開

注:

上記の例では、説明のために、StoreFront、Web Interface、Citrix Virtual Appsで3つのファイアウォールを使用するダブルホップ構成について説明しています。ただし、DMZ に 1 つのアプライアンス、セキュアネットワークに 1 つのアプライアンスがあるダブルホップ DMZ を使用することもできます。DMZ に 1 つのアプライアンスとセキュアネットワークに 1 つのアプライアンスを持つダブルホップ構成を設定する場合、第 3 のファイアウォールでポートを開く手順は無視できます。

ダブルホップDMZを構成して、Citrix StoreFront またはNetScaler Gateway プロキシと並行してインストールされたWeb Interfaceをサポートできます。ユーザーはCitrix Workspace アプリを使用して接続します。

注:

StoreFront を使用してダブルホップDMZにNetScaler Gateway を展開すると、Citrix Workspace アプリ用の電子メールベースの自動検出は機能しません。

ダブルホップ展開の仕組み

NetScaler Gateway アプライアンスをダブルホップDMZに展開して、Citrix Virtual Apps を実行しているサーバーへのアクセスを制御できます。ダブルホップ展開の接続は、次のように発生します:

  • ユーザーは、Webブラウザーを使用し、Citrix Workspaceアプリを使用して公開アプリケーションを選択して、最初のDMZでNetScaler Gateway に接続します。
  • Citrix Workspace アプリがユーザーデバイスで起動します。ユーザーはNetScaler Gateway に接続して、セキュリティで保護されたネットワークのサーバーファームで実行されている公開アプリケーションにアクセスします。

    注: Secure Hub とWindows向けCitrix Secure Accessクライアントは、ダブルホップDMZ展開ではサポートされません。Citrix Workspace アプリのみがユーザー接続に使用されます。

  • 最初のDMZのNetScaler Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このNetScaler Gatewayは、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワークのサーバーへのアクセスを制御します。
  • 2番目のDMZのNetScaler Gatewayは、NetScaler Gatewayプロキシデバイスとして機能します。このNetScaler Gatewayを使用すると、ICAトラフィックが2番目のDMZを通過してサーバーファームへのユーザー接続を完了できます。最初のDMZのNetScaler Gateway と内部ネットワークのSecure Ticket Authority(STA)間の通信も、2番目のDMZのNetScaler Gatewayを介してプロキシされます。

NetScaler Gateway は、IPv4接続とIPv6接続をサポートしています。構成ユーティリティを使用して IPv6 アドレスを構成できます。

次の表に、さまざまなICA機能のダブルホップ展開サポートを示します。

ICA機能 ダブルホップサポート
SmartAccess はい
SmartControl はい
Enlightened Data Transport(EDT) はい
HDX Insight はい
ICA セッション信頼性 (ポート 2598) はい
ICA セッションの移行 はい
ICA セッションタイムアウト はい
マルチストリームICA はい (TCP のみ)
Framehawk いいえ
UDP オーディオ いいえ

ダブルホップ DMZ 展開の準備

ダブルホップ DMZ 展開を設定する場合は、次の質問に答える必要があります。

  • 負荷分散をサポートしたいですか?
  • ファイアウォールではどのポートを開けますか?
  • SSL証明書はいくつ必要ですか?
  • 展開を開始する前に必要なコンポーネントは何ですか?

このセクションのトピックには、環境に応じてこれらの質問に答えるのに役立つ情報が含まれています。

展開を開始するために必要なコンポーネント

ダブルホップ DMZ 展開を開始する前に、次のコンポーネントがあることを確認します:

  • 少なくとも2つのNetScaler Gateway アプライアンス(DMZごとに1つ)が使用可能である必要があります。

  • Citrix Virtual Apps を実行するサーバーは、内部ネットワークにインストールされ、動作している必要があります。

  • Web InterfaceまたはStoreFront を2番目のDMZにインストールし、内部ネットワークのサーバーファームで動作するように構成する必要があります。

  • 少なくとも、最初のDMZのNetScaler Gateway に1つのSSLサーバー証明書がインストールされている必要があります。この証明書により、WebブラウザーとNetScaler Gateway へのユーザー接続が暗号化されます。

    ダブルホップ DMZ 展開内の他のコンポーネント間で発生する接続を暗号化する場合は、追加の証明書が必要です:

NetScaler Gateway をダブルホップDMZに展開する