Gateway

配置客户端拦截

您可以使用 Intranet 应用程序为 NetScaler Gateway 上的用户连接配置拦截规则。默认情况下,当您在设备上配置系统 IP 地址、映射的 IP 地址或子网 IP 地址时,将基于这些 IP 地址创建子网路由。Intranet 应用程序是根据这些路由自动创建的,并且可以绑定到虚拟服务器。如果启用拆分通道,则必须定义 Intranet 应用程序才能进行客户端拦截。

您可以使用 GUI 配置内部网应用程序。您可以将 Intranet 应用程序绑定到用户、组或虚拟服务器。

如果启用拆分通道并且用户使用 WorxWeb 或 WorxMail 进行连接,则在配置客户端拦截时,必须为 Citrix Endpoint Management 和 Exchange 服务器添加 IP 地址。如果不启用拆分通道,则无需在 Intranet 应用程序中配置 Endpoint Management 和 Exchange IP 地址。

有关分割通道配置的信息,请参阅 配置分割通道。

为 Citrix Secure Access 客户端配置Intranet应用程序

您可以通过定义以下内容来创建用于用户访问资源的 Intranet 应用程序:

  • 一个 IP 地址
  • 一系列 IP 地址
  • 一个主机名

当您在 NetScaler Gateway 上定义Intranet应用程序时,适用于 Windows 的 Citrix Secure Access 客户端会拦截发往该资源的用户流量,并通过 NetScaler Gateway 发送流量。

配置 Intranet 应用程序时,请考虑以下事项:

  • 当拆分通道开启时,
    • 配置内部网应用程序。
    • 为每个身份验证、授权和审核组分配 Intranet 应用程序。
  • 当拆分通道处于关闭状态时,
    • 所有流量均通过 VPN 通道拦截。
    • 无需配置Intranet应用程序。
  • 当拆分通道为反向时,
    • 配置内部网应用程序。未由 Intranet 应用程序指定的流量通过 VPN 通道。
    • 将要从 VPN 中排除的 Intranet 应用程序分配给每个身份验证、授权和审核组。

    重要:

    无论分割通道配置如何,拦截都必须设置为透明

注意:

  • 配置 Intranet 应用程序时,必须选择与用于建立连接的插件软件类型相对应的拦截模式。
  • 您不能将 Intranet 应用程序配置为同时进行代理拦截和透明拦截。

为一个 IP 地址创建 Intranet 应用程序

  1. 在“配置”选项卡的导航窗格中,展开 NetScaler Gateway 资源,然后单击“Intranet 应用程序”。
  2. 在详细信息窗格中,单击添加。
  3. 在“Name”(名称)中,键入配置文件的名称。
  4. 在“创建 Intranet 应用程序”对话框中,选择透明。
  5. 目标类型中,选择 IP 地址网络掩码
  6. 在协议中,选择适用于网络资源的协议。
  7. IP 地址中,键入 IP 地址。
  8. Netmask中,键入子网掩码,单击 创建 ,然后单击 关闭。

配置 IP 地址范围

如果您的网络中有多台服务器,例如 Web、电子邮件和文件共享,则可以配置包含网络资源 IP 范围的网络资源。此设置允许用户访问 IP 地址范围中包含的网络资源。

  1. 在“配置”选项卡的导航窗格中,展开 NetScaler Gateway 资源,然后单击“Intranet应用程序”。
  2. 在详细信息窗格中,单击添加。
  3. 名称中,键入配置文件的名称。
  4. 在协议中,选择适用于网络资源的协议。
  5. 在“创建Intranet应用程序”对话框中,选择“透明”。
  6. 目标类型中,选择 IP 地址范围。
  7. 在“IP 开始”中,键入起始 IP 地址,然后在“IP 结束”中键入结束 IP 地址,单击“创建”,然后单击“关闭”。

为主机名创建 Intranet 应用程序

  1. 在“配置”选项卡的导航窗格中,展开 NetScaler Gateway 资源,然后单击“Intranet 应用程序”。
  2. 在详细信息窗格中,单击添加。
  3. 名称中,键入配置文件的名称。
  4. 在“创建 Intranet 应用程序”对话框中,选择透明。
  5. 目标类型中,选择 主机名
  6. 在协议中,选择 任意,单击 创建, 然后单击 关闭。

重要:

  • 从 13.0 版本 36.27 及更高版本开始,Windows VPN 插件支持基于主机名 (FQDN) 的拆分通道规则。您必须同时升级 NetScaler 设备和 Windows VPN 插件才能发布 13.0 版本 36.27 或更高版本。
  • 还支持通配符主机名。例如,如果配置了主机名为“*.example.com”的 Intranet 应用程序,则 a1.example.comb2.example.com 等将通过通道传输。
  • 只有将拆分通道设置为“开”或“反向”时,基于主机名的Intranet应用程序才能运行。
配置客户端拦截