Gateway

与服务器场建立安全连接

以下示例显示了部署在 DMZ 中的 Citrix Gateway 如何与 Web Interface 兼容,从而为安全企业网络中可用的已发布资源提供安全的单一访问点。

在此示例中,存在以下条件:

  • 来自互联网的用户设备使用 Citrix Receiver 连接到 Citrix Gateway。
  • Web Interface 位于安全网络中的 Citrix Gateway 后面。用户设备与 Citrix Gateway 建立初始连接,然后将连接传递到 Web Interface 。
  • 安全网络包含一个服务器场。此服务器场中的一台服务器运行 Secure Ticket Authority (STA) 和 Citrix XML 服务。STA 和 XML 服务可以在 Citrix Virtual Apps and Desktops 上运行。

进程概述:用户访问服务器场中的已发布资源

  1. 远程用户键入 Citrix Gateway 的地址;例如 https://www.ag.wxyco.com,在 Web 浏览器的地址字段中。用户设备在端口 443 上尝试此 SSL 连接,该端口必须通过防火墙打开才能成功连接。
  2. Citrix Gateway 会收到连接请求,系统会要求用户提供凭据。凭据将通过 Citrix Gateway 传回,对用户进行身份验证,然后将连接传递到 Web Interface 。
  3. Web Interface 会将用户凭据发送到服务器场中运行的 Citrix XML 服务。
  4. XML 服务对用户凭据进行身份验证,并向 Web Interface 发送用户有权访问的已发布应用程序或桌面的列表。
  5. Web Interface 使用用户有权访问的已发布资源(应用程序或桌面)的列表填充网页,然后将此网页发送到用户设备。
  6. 用户单击已发布的应用程序或桌面链接。一个 HTTP 请求将发送到 Web Interface,指出用户所单击的已发布资源。
  7. Web Interface 与 XML 服务进行交互,并收到一个表示运行已发布资源的服务器的票证。
  8. Web Interface 向 STA 发送会话票证请求。此请求指定运行已发布资源的服务器的 IP 地址。STA 会保存此 IP 地址并将请求的会话票证发送到 Web Interface 。
  9. Web Interface 会生成一个包含 STA 签发的票证的 ICA 文件,并将其发送到用户设备上的 Web 浏览器。Web Interface 生成的 ICA 文件包含 Citrix Gateway 的完全限定域名 (FQDN) 或域名系统 (DNS) 名称。运行所请求资源的服务器的 IP 地址永远不会泄露给用户。
  10. ICA 文件包含指示 Web 浏览器启动 Citrix Receiver 的数据。用户设备使用 ICA 文件中的 Citrix Gateway FQDN 或 DNS 名称连接到 Citrix Gateway。进行初始 SSL/TLS 握手是为了建立 Citrix Gateway 的身份。
  11. 用户设备将会话票证发送到 Citrix Gateway,然后 Citrix Gateway 联系 STA 进行票证验证。
  12. STA 将请求的应用程序所在的服务器的 IP 地址返回到 Citrix Gateway。
  13. Citrix Gateway 建立到服务器的 TCP 连接。
  14. Citrix Gateway 完成与用户设备的连接握手,并向用户设备指示已与服务器建立连接。用户设备和服务器之间的所有进一步流量都通过 Citrix Gateway 进行代理。用户设备与 Citrix Gateway 之间的流量已加密。Citrix Gateway 与服务器之间的流量可以独立加密,但默认情况下不会加密。
与服务器场建立安全连接