Gateway

配置客户端拦截

您可以使用 Intranet 应用程序为 Citrix Gateway 上的用户连接配置拦截规则。默认情况下,当您在设备上配置系统 IP 地址、映射的 IP 地址或子网 IP 地址时,将基于这些 IP 地址创建子网路由。Intranet 应用程序是根据这些路由自动创建的,并且可以绑定到虚拟服务器。如果启用拆分通道,则必须定义 Intranet 应用程序才能进行客户端拦截。

您可以使用配置实用程序配置 Intranet 应用程序。您可以将 Intranet 应用程序绑定到用户、组或虚拟服务器。

如果启用拆分通道并且用户使用 WorxWeb 或 WorxMail 进行连接,则在配置客户端拦截时,必须为 Citrix Endpoint Management 和 Exchange 服务器添加 IP 地址。如果不启用拆分通道,则无需在 Intranet 应用程序中配置 Endpoint Management 和 Exchange IP 地址。

有关分割通道配置的信息,请参阅 配置分割通道。

为 Citrix Gateway 插件配置内部网应用程序

您可以通过定义以下内容来创建用于用户访问资源的 Intranet 应用程序:

  • 一个 IP 地址
  • 一系列 IP 地址
  • 一个主机名

在 Citrix Gateway 上定义 Intranet 应用程序时,适用于 Windows 的 Citrix Secure Access 代理会拦截发往资源的用户流量,并通过 Citrix Gateway 发送流量。

配置 Intranet 应用程序时,请考虑以下事项:

  • 当拆分通道开启时,
    • 配置内部网应用程序。
    • 为每个身份验证、授权和审核组分配 Intranet 应用程序。
  • 当拆分通道处于关闭状态时,
    • 所有流量均通过 VPN 通道拦截。
    • 无需配置Intranet应用程序。
  • 当拆分通道为反向时,
    • 配置内部网应用程序。未由 Intranet 应用程序指定的流量通过 VPN 通道。
    • 将要从 VPN 中排除的 Intranet 应用程序分配给每个身份验证、授权和审核组。

    重要:

    无论分割通道配置如何,拦截都必须设置为透明

注意:

  • 配置 Intranet 应用程序时,必须选择与用于建立连接的插件软件类型相对应的拦截模式。
  • 您不能将 Intranet 应用程序配置为同时进行代理拦截和透明拦截。

为一个 IP 地址创建 Intranet 应用程序

  1. 在“配置”选项卡的导航窗格中,展开 Citrix Gateway 资源,然后单击 Intranet 应用程序
  2. 在详细信息窗格中,单击添加。
  3. 名称中,键入配置文件的名称。
  4. 在“创建 Intranet 应用程序”对话框中,选择透明。
  5. 目标类型中,选择 IP 地址网络掩码
  6. 协议中,选择适用于网络资源的协议。
  7. IP 地址中,键入 IP 地址。
  8. Netmask中,键入子网掩码,单击 创建 ,然后单击 关闭。

配置 IP 地址范围

如果您的网络中有多台服务器,例如 Web、电子邮件和文件共享,则可以配置包含网络资源 IP 范围的网络资源。此设置允许用户访问 IP 地址范围中包含的网络资源。

  1. 配置选项卡的导航窗格中,展开 Citrix Gateway 资源,然后单击 Intranet 应用程序。
  2. 在详细信息窗格中,单击添加。
  3. 名称中,键入配置文件的名称。
  4. 协议中,选择适用于网络资源的协议。
  5. 在“创建Intranet应用程序”对话框中,选择“透明”。
  6. 目标类型中,选择 IP 地址范围。
  7. 在“IP 开始”中,键入起始 IP 地址,然后在“IP 结束”中键入结束 IP 地址,单击“创建”,然后单击“关闭”。

为主机名创建 Intranet 应用程序

  1. 在“配置”选项卡的导航窗格中,展开 Citrix Gateway 资源,然后单击 Intranet 应用程序
  2. 在详细信息窗格中,单击添加。
  3. 在“Name”(名称)中,键入配置文件的名称。
  4. 在“创建 Intranet 应用程序”对话框中,选择透明。
  5. 目标类型中,选择 主机名
  6. 在协议中,选择 任意,单击 创建, 然后单击 关闭。

重要:

  • 从 13.0 版本 36.27 及更高版本开始,Windows VPN 插件支持基于主机名 (FQDN) 的拆分通道规则。您必须同时升级 Citrix ADC 设备和 Windows VPN 插件才能发布 13.0 版本 36.27 或更高版本。
  • 还支持通配符主机名。例如,如果配置了主机名为“*.example.com”的Intranet应用程序 ,则会对 a1.example.comb2.example.com 等进行通道传输。
  • 只有将拆分通道设置为“开”或“反向”时,基于主机名的Intranet应用程序才能运行。
  • 反向拆分通道不支持基于主机名的规则。

为适用于 Java 的 Citrix Gateway 插件配置内部网应用程序

如果用户使用适用于 Java 的 Citrix Gateway 插件进行连接,则必须配置 Intranet 应用程序并将拦截模式设置为代理。适用于 Java 的 Citrix Gateway 插件通过使用配置文件中指定的用户设备环回 IP 地址和端口号拦截流量。

如果用户从基于 Windows 的设备进行连接,则适用于 Java 的 Citrix Gateway 插件会尝试通过将应用程序主机名设置为访问配置文件中指定的环回 IP 地址和端口来修改主机文件。用户必须在用户设备上具有管理权限才能修改主机文件。

如果用户从非 Windows 设备进行连接,则必须使用 Intranet 应用程序配置文件中指定的源 IP 地址和端口值手动配置应用程序。

为适用于 Java 的 Citrix Gateway 插件配置内部网应用程序

  1. 配置选项卡的导航窗格中,展开 Citrix Gateway 资源,然后单击 Intranet 应用程序。
  2. 在详细信息窗格中,单击添加。
  3. 名称中,键入配置文件的名称。
  4. 单击“代理”。
  5. 目标 IP 地址目标端口中,键入目标 IP 地址和端口。
  6. 在源 IP 地址源端口下,键入源 IP 地址和端口。

    注意:

    将源 IP 地址设置为环回 IP 地址 127.0.0.1。如果不指定 IP 地址,则使用环回 IP 地址。如果不输入端口值,则使用目标端口值。