This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
开始之前的准备工作
在安装 Citrix Gateway 之前,必须评估基础架构并收集信息,以规划满足组织特定需求的访问策略。在定义访问策略时,需要考虑安全影响并完成风险分析。您还需要确定允许用户连接的网络,并决定启用用户连接的策略。
除了规划可供用户使用的资源外,您还需要规划部署方案。Citrix Gateway 与以下 Citrix 产品兼容:
- Citrix Endpoint Management
- Citrix Virtual Apps
- Citrix Virtual Desktops
- StoreFront
- Web Interface
- Citrix SD-WAN
有关部署 Citrix Gateway 的详细信息,请参阅 常见部署和 与 Citrix 产品集成
在准备访问策略时,请采取以下初步步骤:
- 识别资源。列出要为其提供访问权限的网络资源,例如 Web、SaaS、移动或已发布的应用程序、虚拟桌面、服务以及您在风险分析中定义的数据。
- 开发访问方案。创建描述用户如何访问网络资源的访问方案。访问方案由用于访问网络的虚拟服务器、端点分析扫描结果、身份验证类型或两者的组合定义。您还可以定义用户登录网络的方式。
- 识别客户端软件。您可以使用 Citrix Gateway 插件提供完整的 VPN 访问权限,要求用户使用 Citrix Workspace 应用程序、Secure Hub 或使用无客户端访问登录。您还可以限制对 Outlook Web App 或 WorxMail 的电子邮件访问权限。这些访问方案还决定了用户在获得访问权限时可以执行的操作。例如,您可以指定用户是可以使用已发布的应用程序还是通过连接到文件共享来修改文档。
- 将策略与用户、组或虚拟服务器相关联。当个人或一组用户满足指定条件时,您在 Citrix Gateway 上创建的策略将强制执行。您可以根据创建的访问方案来确定条件。然后,您可以通过控制用户可以访问的资源以及用户可以对这些资源执行的操作来创建扩展网络安全性的策略。您可以将策略与适当的用户、组、虚拟服务器或全局关联。
本部分包括以下主题,可帮助您规划访问策略:
- 安全规划包括有关身份验证和证书的信息。
- 定义您可能需要的网络硬件和软件的先决条件。
- 在配置 Citrix Gateway 之前,可用于记下设置的安装前清单。
安装 Citrix Gateway 的先决条件
在 Citrix Gateway 上配置设置之前,请查看以下先决条件:
- Citrix Gateway 实际安装在您的网络中,并且可以访问网络。Citrix Gateway 部署在防火墙后面的 DMZ 或内部网络中。您还可以在双跃点 DMZ 中配置 Citrix Gateway,并配置与服务器场的连接。Citrix 建议在 DMZ 中部署设备。
- 您可以使用默认网关或指向内部网络的静态路由来配置 Citrix Gateway,以便用户可以访问网络中的资源。默认情况下,Citrix Gateway 配置为使用静态路由。
- 用于身份验证和授权的外部服务器已配置并正在运行。有关详细信息,请参阅 身份验证和授权。
- 该网络具有用于名称解析的域名服务器 (DNS) 或 Windows 互联网命名服务 (WINS) 服务器,以提供正确的 Citrix Gateway 用户功能。
- 您从 Citrix 网站下载了用于通过 Citrix Gateway 插件进行用户连接的通用许可证,这些许可证已准备好安装在 Citrix Gateway 上。
- Citrix Gateway 具有由受信任的证书颁发机构 (CA) 签名的证书。有关详细信息,请参阅安装和管理证书。
在安装 Citrix Gateway 之前,请使用安装前清单记下您的设置。
安全规划
规划 Citrix Gateway 部署时,必须了解与证书以及身份验证和授权相关的基本安全问题。
配置安全证书管理
默认情况下,Citrix Gateway 包含一个自签名的安全套接字层 (SSL) 服务器证书,该证书使设备能够完成 SSL 握手。自签名证书足以用于测试或示例部署,但 Citrix 不建议在生产环境中使用它们。在生产环境中部署 Citrix Gateway 之前,Citrix 建议您请求并接收来自已知证书颁发机构 (CA) 的签名 SSL 服务器证书,然后将其上载到 Citrix Gateway。
如果在 Citrix Gateway 必须作为 SSL 握手中的客户端运行的任何环境中部署 Citrix Gateway(启动与另一台服务器的加密连接),则还必须在 Citrix Gateway 上安装受信任的根证书。例如,如果您使用 Citrix Virtual Apps 和 Web Interface 部署 Citrix Gateway,则可以使用 SSL 加密从 Citrix Gateway 到 Web Interface 的连接。在此配置中,必须在 Citrix Gateway 上安装受信任的根证书。
身份验证支持
您可以将 Citrix Gateway 配置为对用户进行身份验证并控制用户对内部网络上的网络资源的访问权限(或授权)级别。
在部署 Citrix Gateway 之前,您的网络环境必须具有支持以下身份验证类型之一的目录和身份验证服务器:
- LDAP
- RADIUS
- TACACS+
- 支持审核和智能卡的客户端证书
- 具有 RADIUS 配置的 RSA
- SAML 身份验证
如果您的环境不支持这些身份验证类型中的任何一种,或者您的远程用户人数较少,则可以在 Citrix Gateway 上创建本地用户列表。然后,您可以配置 Citrix Gateway 以根据此本地列表对用户进行身份验证。使用此配置,您无需在单独的外部目录中维护用户帐户。
保护 Citrix Gateway 部署的安全
不同的部署可能需要考虑不同的安全注意事项。Citrix ADC 安全部署指南提供了一般性安全指导,帮助您根据特定的安全要求决定适当的安全部署。
有关详细信息,请参阅 Citrix ADC 安全部署准则。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.