Gateway

开始之前的准备工作

在安装 NetScaler Gateway 之前,必须评估基础架构并收集信息,以规划满足组织特定需求的访问策略。在定义访问策略时,需要考虑安全影响并完成风险分析。您还需要确定允许用户连接的网络,并决定启用用户连接的策略。

除了规划可供用户使用的资源外,您还需要规划部署方案。NetScaler Gateway 与以下 NetScaler 产品兼容:

  • Citrix Endpoint Management
  • Citrix Virtual Apps
  • Citrix Virtual Desktops
  • StoreFront
  • Web Interface
  • Citrix SD-WAN

有关部署 NetScaler Gateway 的更多信息,请参阅 常见部署与 NetScaler 产品集成

在准备访问策略时,请采取以下初步步骤:

  • 识别资源。列出要为其提供访问权限的网络资源,例如 Web、SaaS、移动或已发布的应用程序、虚拟桌面、服务以及您在风险分析中定义的数据。
  • 开发访问方案。创建描述用户如何访问网络资源的访问方案。访问方案由用于访问网络的虚拟服务器、端点分析扫描结果、身份验证类型或两者的组合定义。您还可以定义用户登录网络的方式。
  • 识别客户端软件。您可以通过 Citrix Secure Access 客户端提供完整的 VPN 访问权限,要求用户使用 Citrix Workspace 应用程序、Secure Hub 或使用无客户端访问登录。您还可以限制对 Outlook Web App 或 WorxMail 的电子邮件访问权限。这些访问方案还决定了用户在获得访问权限时可以执行的操作。例如,您可以指定用户是可以使用已发布的应用程序还是通过连接到文件共享来修改文档。
  • 将策略与用户、组或虚拟服务器相关联。当个人或一组用户满足指定条件时,您在 NetScaler Gateway 上创建的策略将强制执行。您可以根据创建的访问方案来确定条件。然后,您可以通过控制用户可以访问的资源以及用户可以对这些资源执行的操作来创建扩展网络安全性的策略。您可以将策略与适当的用户、组、虚拟服务器或全局关联。

本部分包括以下主题,可帮助您规划访问策略:

  • 安全规划包括有关身份验证和证书的信息。
  • 定义您可能需要的网络硬件和软件的先决条件。
  • 在配置 NetScaler Gateway 之前,可用于记下设置的安装前清单。

安装 NetScaler Gateway 的先决条件

在 NetScaler Gateway 上配置设置之前,请查看以下先决条件:

  • NetScaler Gateway 实际安装在您的网络中,并且可以访问网络。NetScaler Gateway 部署在防火墙后面的 DMZ 或内部网络中。您还可以在双跃点 DMZ 中配置 NetScaler Gateway,并配置与服务器场的连接。Citrix 建议在 DMZ 中部署设备。
  • 您可以使用默认网关或指向内部网络的静态路由来配置 NetScaler Gateway,以便用户可以访问网络中的资源。默认情况下,NetScaler Gateway 配置为使用静态路由。
  • 用于身份验证和授权的外部服务器已配置并正在运行。有关详细信息,请参阅 身份验证和授权
  • 该网络具有用于名称解析的域名服务器 (DNS) 或 Windows 互联网命名服务 (WINS) 服务器,以提供正确的 NetScaler Gateway 用户功能。
  • 您从 Citrix 网站下载了用于用户与 Citrix Secure Access 客户端连接的通用许可证,许可证已准备好安装在 NetScaler Gateway 上。
  • NetScaler Gateway 具有由受信任的证书颁发机构 (CA) 签名的证书。有关详细信息,请参阅安装和管理证书

在安装 NetScaler Gateway 之前,请使用安装前清单记下您的设置。

安全规划

规划 NetScaler Gateway 部署时,必须了解与证书以及身份验证和授权相关的基本安全问题。

配置安全证书管理

默认情况下,NetScaler Gateway 包含一个自签名的安全套接字层 (SSL) 服务器证书,该证书使设备能够完成 SSL 握手。自签名证书足以用于测试或示例部署,但是 NetScaler 不建议将其用于生产环境。在生产环境中部署 NetScaler Gateway 之前,Citrix 建议您请求并接收来自已知证书颁发机构 (CA) 的签名 SSL 服务器证书,然后将其上载到 NetScaler Gateway。

如果在 NetScaler Gateway 必须作为 SSL 握手中的客户端运行的任何环境中部署 NetScaler Gateway(启动与另一台服务器的加密连接),则还必须在 NetScaler Gateway 上安装受信任的根证书。例如,如果您使用 Citrix Virtual Apps 和 Web Interface 部署 NetScaler Gateway,则可以使用 SSL 加密从 NetScaler Gateway 到 Web Interface 的连接。在此配置中,必须在 NetScaler Gateway 上安装受信任的根证书。

身份验证支持

您可以将 NetScaler Gateway 配置为对用户进行身份验证并控制用户对内部网络上的网络资源的访问权限(或授权)级别。

在部署 NetScaler Gateway 之前,您的网络环境必须具有支持以下身份验证类型之一的目录和身份验证服务器:

  • LDAP
  • RADIUS
  • TACACS+
  • 支持审核和智能卡的客户端证书
  • 具有 RADIUS 配置的 RSA
  • SAML 身份验证

如果您的环境不支持这些身份验证类型中的任何一种,或者您的远程用户人数较少,则可以在 NetScaler Gateway 上创建本地用户列表。然后,您可以配置 NetScaler Gateway 以根据此本地列表对用户进行身份验证。使用此配置,您无需在单独的外部目录中维护用户帐户。

保护 NetScaler Gateway 部署的安全

不同的部署可能需要考虑不同的安全注意事项。NetScaler 安全部署指南提供了一般性安全指导,帮助您根据特定的安全要求决定适当的安全部署。

有关详细信息,请参阅 NetScaler 安全部署准则

开始之前的准备工作