ユーザーがCitrix Secure Accessクライアントに接続する方法
NetScaler Gateway は以下のように動作する。
- ユーザーがVPNトンネルを介してネットワークリソースにアクセスしようとすると、Citrix Secure Accessクライアントは組織の内部ネットワーク宛のすべてのネットワークトラフィックを暗号化し、パケットをNetScaler Gatewayに転送します。
- NetScaler Gateway は、SSLトンネルを終了し、プライベートネットワーク宛ての着信トラフィックを受け入れ、そのトラフィックをプライベートネットワークに転送します。NetScaler Gateway は、セキュリティで保護されたトンネルを介してリモートコンピューターにトラフィックを戻します。
ユーザーが Web アドレスを入力すると、ログオンページが表示され、そこで資格情報を入力してログオンします。資格情報が正しい場合、NetScaler Gateway はユーザーデバイスとのハンドシェイクを終了します。
ユーザーとAccess Gatewayの間にプロキシサーバーがある場合は、プロキシサーバーと認証のための資格情報を指定できます。詳細については、「 ユーザー接続のプロキシサポートの有効化」を参照してください。
Citrix Secure Accessクライアントがユーザーデバイスにインストールされます。最初の接続後、ユーザーが Windows ベースのコンピューターを使用してログオンした場合、通知領域のアイコンを使用して接続を確立できます。
セキュアトンネルの確立
ユーザーがCitrix Secure Accessクライアント、Secure Hub、またはCitrix Workspaceアプリに接続すると、クライアントソフトウェアはポート443(またはNetScaler Gatewayで構成されている任意のポート)を介して安全なトンネルを確立し、認証情報を送信します。トンネルが確立されると、NetScaler GatewayはCitrix Secure Accessクライアント、Secure Hub、またはCitrix Workspaceアプリに、保護するネットワークを説明し、アドレスプールを有効にしている場合はIPアドレスを含む構成情報を送信します。
セキュアな接続を介してプライベートネットワークトラフィックをトンネルする
Citrix Secure Accessクライアントが起動してユーザーが認証されると、指定されたプライベートネットワーク宛のすべてのネットワークトラフィックがキャプチャされ、安全なトンネルを介してNetScaler Gatewayにリダイレクトされます。ユーザーがログオンしたときにセキュアトンネルを介して接続を確立するには、Citrix WorkspaceアプリがCitrix Secure Accessクライアントをサポートしている必要があります。
Secure Hub、Secure Mail、WorxWebは、マイクロVPNを使用して、iOSおよびAndroidモバイルデバイス用のセキュアなトンネルを確立します。
NetScaler Gateway は、ユーザーデバイスが行うすべてのネットワーク接続をインターセプトし、Secure Sockets Layer(SSL)を介してNetScaler Gateway に多重化します。NetScaler Gateway では、トラフィックが逆多重化され、接続が正しいホストとポートの組み合わせに転送されます。
接続は、単一のアプリケーション、アプリケーションのサブセット、またはイントラネット全体に適用される管理セキュリティポリシーの対象となります。リモートユーザが VPN 接続を介してアクセスできるリソース(IP アドレス/サブネットペアの範囲)を指定します。
Citrix Secure Accessクライアントは、定義されたイントラネットアプリケーションの次のプロトコルをインターセプトしてトンネリングします。
- TCP (すべてのポート)
- UDP (すべてのポート)
- ICMP(タイプ 8 および 0-エコー要求/応答)
ユーザーデバイス上のローカルアプリケーションからの接続は、NetScaler Gateway に安全にトンネリングされ、NetScaler Gateway はターゲットサーバーへの接続を再確立します。ターゲットサーバーは、プライベートネットワーク上のローカルNetScaler Gateway からの接続として認識し、ユーザーデバイスを隠します。これは、リバースネットワークアドレス変換 (NAT) とも呼ばれます。IP アドレスを非表示にすると、送信元の場所にセキュリティが追加されます。
ローカルでは、SYN-ACK、PUSH、ACK、FINパケットなどのすべての接続関連トラフィックが、Citrix Secure Accessクライアントによってユーザーデバイス上で再作成され、プライベートサーバーから表示されます。
ファイアウォールとプロキシ経由で接続する
Citrix Secure Accessクライアントのユーザーは、次の図に示すように、別の組織のファイアウォールの内側にいる場合があります。
NATファイアウォールは、NetScaler Gateway からユーザーデバイスに安全なパケットをルーティングできるようにするテーブルを保持します。回線指向接続の場合、NetScaler Gateway はポートマップされたリバースNAT変換テーブルを保持します。リバースNAT変換テーブルを使用すると、NetScaler Gateway は接続を照合し、正しいポート番号を持つユーザーデバイスにパケットをトンネル経由で送信し、パケットが正しいアプリケーションに返されるようにします。
Citrix Secure Access クライアントのアップグレードを制御
システム管理者は、NetScaler ADCプラグインのバージョンがNetScaler Gateway リビジョンと一致しない場合のNetScaler ADCプラグインの実行方法を制御します。新しいオプションは、Mac、Windows、またはオペレーティングシステムのプラグインのアップグレード動作を制御します。
VPNプラグインの場合、NetScaler ADCアプライアンスのユーザーインターフェイスの2つの場所でアップグレードオプションを設定できます。
- グローバル設定で
- セッションプロファイルレベル
要件
-
Windows EPA および VPN プラグインのバージョンは 11.0.0.0 より大きくなければなりません
-
Mac EPA プラグインのバージョンは 3.0.0.31 より大きくなければなりません
-
Mac VPN プラグインのバージョンは 3.1.4 (357) より大きくなければなりません
注:
NetScaler ADCアプライアンスを11.0リリースにアップグレードすると、アップグレード制御構成に関係なく、以前のすべてのVPN(およびEPA)プラグインが最新バージョンにアップグレードされます。以降のアップグレードでは、以前のアップグレード制御設定が尊重されます。
プラグインビヘイビア
NetScaler Gateway では、クライアントの種類ごとに、次の3つのオプションを使用してプラグインのアップグレード動作を制御できます。
- いつも
エンドユーザーのプラグインのバージョンがNetScaler ADCアプライアンスに同梱されているプラグインと一致しない場合、プラグインは常にアップグレードされます。これはデフォルトの動作です。エンタープライズで複数のプラグインバージョンを実行したくない場合は、このオプションを選択します。
- 必須 (およびセキュリティ)
プラグインは、必要であると判断された場合にのみアップグレードされます。アップグレードは、次の 2 つの状況で必要であるとみなされます。
-
インストールされているプラグインは、現在のNetScaler ADCアプライアンスのバージョンと互換性がありません。
-
インストールされているプラグインは、必要なセキュリティ修正のために更新する必要があります。
プラグインのアップグレード回数を最小限にしたいが、プラグインのセキュリティアップデートを見逃したくない場合は、このオプションを選択します。
- 決して
プラグインはアップグレードされません。
VPN プラグインのアップグレードを制御するための CLI パラメータ
NetScaler Gateway は、WindowsおよびMacオペレーティングシステム用の2種類のプラグイン(EPAおよびVPN)をサポートしています。セッションレベルでVPNプラグインのアップグレード制御をサポートするために、NetScaler Gateway はwindowsInPluginUpgradeとmacPluginUpgradeという名前の2つのセッションプロファイルパラメーターをサポートしています。
これらのパラメータは、グローバル、仮想サーバ、グループ、およびユーザレベルで使用できます。各パラメータには、[常時]、[必須]、または [なし] の値を指定できます。これらのパラメータの詳細については、「 プラグインビヘイビア」を参照してください。
EPA プラグインのアップグレードを制御するための CLI パラメータ
NetScaler Gateway は、WindowsおよびMacオペレーティングシステム用のEPAプラグインをサポートしています。仮想サーバーレベルでEPAプラグインのアップグレード制御をサポートするために、NetScaler Gateway は windowsEpaPluginUpgrade および macePAPluginUpgrade という名前の2つの仮想サーバーパラメーターをサポートしています。
パラメータは、仮想サーバレベルで使用できます。各パラメータには、[常時]、[必須]、または [なし] の値を指定できます。これらのパラメータの詳細については、「 プラグインビヘイビア」を参照してください
VPN 構成
Windows、Linux、および Mac プラグインの VPN 構成については 、以下の手順に従ってください。
-
[ NetScaler] > [ポリシー] > [セッション] に移動します。
-
目的のセッションポリシーを選択し、[ 編集] をクリックします。
-
[ クライアントエクスペリエンス ] タブを選択します。
-
これらのダイアログボックスのオプションは、アップグレードの動作に影響します。
- いつも
- エッセンシャル
- 決して
デフォルトは [常時] です。
-
各オプションの右側にあるチェックボックスをオンにします。アップグレード動作を適用する頻度を選択します。
EPA 構成
Windows、Linux、および Apple プラグインの EPA 構成については、以下の手順に従ってください。
-
[NetScaler Gateway]>[仮想サーバー]に移動します。
-
サーバを選択し、[ Edit ] ボタンをクリックします。
-
鉛筆アイコンをクリックします 。
-
[ 詳細] をクリックします
-
表示されるダイアログボックスは、アップグレードの動作に影響します。以下の種類から選択できます。
- いつも
- エッセンシャル
- 決して