Gateway

使用 Web Interface 部署 Citrix Gateway

当您部署 Citrix Gateway 以提供对 Citrix Virtual Apps and Desktops 的安全远程访问时,Citrix Gateway 与 Web Interface 和 Secure Ticket Authority (STA) 兼容,以提供对服务器场中托管的已发布应用程序和桌面的访问权限。

当 Citrix Gateway 使用服务器场运行时,在 DMZ 中部署 Citrix Gateway 是最常见的配置。在此配置中,Citrix Gateway 为通过 Web Interface 访问已发布资源的 Web 浏览器和 Citrix Workspace 应用程序提供安全的单一访问点。本节介绍有关此部署选项的基本方面。

组织网络的配置决定了 Citrix Gateway 在服务器场中运行时的部署位置。您有以下两个选项:

  • 如果您的组织使用单个 DMZ 保护内部网络,请在 DMZ 中部署 Citrix Gateway。
  • 如果您的组织使用两个 DMZ 保护内部网络,请在双跃点 DMZ 配置中的两个网段中的每个网段中部署一个 Citrix Gateway。有关更多信息,请参阅在 双跃点 DMZ 中部署 Citrix Gateway。 注意:您还可以使用安全网络中的第二台 Citrix Gateway 设备配置双跃点 DMZ。

在 DMZ 中部署 Citrix Gateway 以提供对服务器场的远程访问时,可以实施以下三个部署选项之一:

  • 在 DMZ 中部署 Citrix Gateway 后面的 Web Interface 。在此配置中,如下图所示,Citrix Gateway 和 Web Interface 都部署在 DMZ 中。初始用户连接将转到 Citrix Gateway,然后重定向到 Web Interface 。 图 1. 在 DMZ 中 Citrix Gateway 后面的 DMZ Web Interface 中 Citrix Gateway 后面的 Web Interface 中的Web Interface
  • 将 Citrix Gateway 与 DMZ 中的 Web Interface 并行部署。在此配置中,Citrix Gateway 和 Web Interface 都部署在 DMZ 中,但初始用户连接将转到 Web Interface 而不是 Citrix Gateway。
  • 在 DMZ 中部署 Citrix Gateway,然后在内部网络中部署 Web Interface 。在此配置中,Citrix Gateway 会在将请求中继到安全网络中的 Web Interface 之前对用户请求进行身份验证。Web Interface 不执行身份验证,但与 STA 交互并生成 ICA 文件,以确保 ICA 流量通过 Citrix Gateway 路由到服务器场。

部署 Web Interface 的位置取决于多种因素,包括:

  • Authentication(身份验证)。用户登录时,Citrix Gateway 或 Web Interface 都可以对用户凭据进行身份验证。将 Web Interface 放置在网络中的位置部分决定了用户进行身份验证的位置。
  • 用户软件。用户可以使用 Citrix Gateway 插件或 Citrix Workspace 应用程序连接到 Web Interface 。您可以限制用户只能使用 Citrix Workspace 应用程序访问的资源,也可以使用 Citrix Gateway 插件为用户提供更大的网络访问权限。用户的连接方式以及允许用户连接的资源有助于确定 Web Interface 在网络中的部署位置。

在安全的网络中部署 Web Interface

在此部署中,Web Interface 驻留在安全的内部网络中。Citrix Gateway 位于 DMZ 中。Citrix Gateway 会在将请求发送到 Web Interface 之前对用户请求进行身份验证。

在安全网络中部署 Web Interface 时,必须在 Citrix Gateway 上配置身份验证。

如果使用 Citrix Virtual Apps and Desktops 部署 Web Interface ,则在安全网络中部署 Web Interface 是默认部署方案。安装 Desktop Delivery Controller 时,还会安装 Web Interface 的自定义版本。

重要提示:Web Interface 位于安全网络中 时,必须在 Citrix Gateway 上启用身份验证。用户连接到 Citrix Gateway,键入其凭据,然后连接到 Web Interface 。禁用身份验证后,未经身份验证的 HTTP 请求将直接发送到运行 Web Interface 的服务器。仅当 Web Interface 位于 DMZ 中且用户直接连接到 Web Interface 时,才建议在 Citrix Gateway 上禁用身份验证。

图 1. Web Interface 位于安全网络内

部署插图

在 DMZ 中部署与 Citrix Gateway 并行的 Web Interface

在此部署中,Web Interface 和 Citrix Gateway 都驻留在 DMZ 中。用户可以使用 Web 浏览器或 Citrix Workspace 应用程序直接连接到 Web Interface 。用户连接首先发送到 Web Interface 进行身份验证。身份验证后,连接将通过 Citrix Gateway 路由。用户成功登录 Web Interface 后,可以访问服务器场中已发布的应用程序或桌面。当用户启动应用程序或桌面时,Web Interface 会发送一个 ICA 文件,其中包含有关通过 Citrix Gateway 路由 ICA 流量的说明,就好像它是运行 Secure Gateway 的服务器一样。Web Interface 提供的 ICA 文件包括 Secure Ticket Authority (STA) 生成的会话票证。

当 Citrix Workspace 应用程序连接到 Citrix Gateway 时,将显示票证。Citrix Gateway 与 STA 联系以验证会话票证。如果票证仍然有效,则用户的 ICA 流量将中继到服务器场中的服务器。下图显示了此部署。

图 1. 与 Citrix Gateway 并行安装的 Web Interface

Web Interface 与 Citrix Gateway 并行运行

当 Web Interface 与 DMZ 中的 Citrix Gateway 并行运行时,无需在 Citrix Gateway 上配置身份验证。Web Interface 对用户进行身份验证。

在 DMZ 中部署 Citrix Gateway 后面的 Web Interface

在此配置中,Citrix Gateway 和 Web Interface 都部署在 DMZ 中。当用户使用 Citrix Workspace 应用程序登录时,初始用户连接将转到 Citrix Gateway,然后重定向到 Web Interface 。要通过单个外部端口路由所有 HTTPS 和 ICA 流量并要求使用单个 SSL 证书,Citrix Gateway 充当 Web Interface 的反向 Web 代理。

图 1. 位于 Citrix Gateway 后面的 Web Interface

部署插图

在 DMZ 中的 Citrix Gateway 后面部署 Web Interface 时,您可以在设备上配置身份验证,但这不是必需的。您可以让 Citrix Gateway 或 Web Interface 对用户进行身份验证,因为两者都驻留在 DMZ 中。

使用 Web Interface 部署 Citrix Gateway