NetScaler網關是NetScaler最常用的功能之一。在早期版本中,Citrix産品中對其命名為安全網關或通路網關,但NetScaler的10.1版本,它被命名為NetScaler網關。這個功能和以前安全網關相同,它通過一個網關授予使用者遠端通路公司的内部網絡。它有多個特性和方式能給改善最終使用者通路公司内部網絡的體驗,在這一章,我們将介紹它的詳細特性。快速概述下我們将覆寫的内容:
NetScaler的網關的基礎知識
不同的連接配接方式和設定
示例設定方案
和XenDesktop/ XenApp和XenMobile內建
配置StoreFront
發展簡史
NetScaler網關功能釋出了許多不同的形式。第一個版本于2001年首次釋出,名字叫Citrix Secure Gateway。這是一個基于windows的軟體,提供給使用者遠端通路Citrix應用服務的解決方案。後來,Citrix釋出Access Gateway,它提供了更多的功能,如SSL ×××,端點分析和×××。現在已經名字已經改為NetScaler ,Gateway,它擁有兩種不同的形式,即軟體版本 VPX和硬體版本MPX。這兩個版本的更多資訊,可以找到NetScaler網關資料表檢視他們的規格等,位于http://bit.ly/1kGLZS0。
許多公司都使用NetScaler裝置的網關功能,因為它提供的好處是将許多功能在同一裝置上實作,而不僅僅隻有網關通路功能。
NetScaler Gateway的關鍵特性:
NetScaler的網關具有一組功能,其中可用于授予最終使用者的遠端通路,如:
ICA代理:這個特性允許網關代理ICA協定通過TCP端口443傳輸的XenApp流量或XenDesktop流量。
SSL ×××:這是一個基于浏覽器的×××解決方案,也被稱為用戶端通路。
×××:這是一個虛拟專用網絡功能,讓使用者使用NetScaler網關插件通路公司内部網絡。
端點分析:這是一個網絡通路控制功能,掃描客戶資訊檢查是否滿足企業安全政策,滿足政策要求才被允許連接配接到網絡。
SmartAccess:SmartAccess允許我們通過使用NetScaler會話政策來控制對伺服器上應用程式和桌面的通路。你可以閱讀更多關于SmartAccesshttp://support.citrix.com/proddocs/topic/access-gateway-92/agee-smartaccess-how-it-works-c.html。
MDX:它基本上是一個應用級的×××的解決方案,用于整合NetScaler XenMobile應用程式管理。
NetScaler網關還有更多的功能,我們将在這一章讨論。前提,所有這些特性要求我們安裝了一個合法的NetScaler許可證。如果隻使用正常的ICA代理功能,我們隻需要一個普通平台許可證即可,在前面的章節中,我們已經介紹了許可證資訊。如果我們還想要使用在前面的清單中任何其他特性,我們還需要添加一個通用許可。
當我們購買了正規的NetScaler平台許可證,無論是對于MPX或VPX,我們都會得到5個通用許可證。我們可以從GUI導航驗證System | Licenses:
我們也可以通過CLI使用以下指令驗證這一點:
show license
這些許可證是并發的,這意味着我們可以有五個使用者在任何給定時間使用基于×××的解決方案。如果我們需要更多的并發使用者,我們不得不購買更多使用者的許可證。
NetScaler網關的最常用的功能是ICA代理,這是允許遠端使用者通路XenApp或XenDesktop的解決方案,并且隻要求使用者安裝Citrix Receiver。它不需要額外的許可證。解決的辦法很簡單,因為它的所有的ICA流量隧道都通過端口443(此端口通常用于安全的HTTP流量)通路網關和傳回給使用者,并且在防火牆上打開該端口并允許在遠端通路即可。
讓我們來看看一個示例場景,看看ICA代理如何工作,以及使用者如何能夠通路他們的應用程式或桌面。
一個公司擁有的NetScaler網關功能并設定允許遠端使用者通路他們的XenApp解決方案。該示例網關為https://login.company.com,NSIP和SNIP設定了按照下圖所示的設計:
那麼他們是如何工作的呢?
當使用者通路XenApp的資源時,将會出現以下通路流程:
1、User1通過浏覽器通路https://login.company.com,然後DNS解析到NetScaler VIP。NetScaler VIP根據資訊通過SNIP轉發到相應的Web Interface或者StoreFront,顯示登入界面。
2、User1在網站上與他/她的憑證進行認證。
3、NetScaler可利用其NSIP聯系活動目錄(AD)來驗證使用者。如果我們已經配置負載平衡的Active Directory服務,那麼它會使用SNIP。
4、StoreFront身份驗證服務去NetScaler調用NetScaler的的使用者驗證和憑據顯示StoreFront門戶使用者的應用快捷方式。
5、StoreFront驗證服務通過XML服務轉發憑據給XenApp伺服器群,XenApp使用STA的存儲服務來存儲的使用者憑據,并擷取可用資源的清單。
6、XenApp的通過XML的服務傳回資訊給StoreFront,并提供對可用資源的安全票據和資訊。
7、StoreFront聯系NetScaler回調URL為使用者生成一個可用的資源清單資訊顯示在Web網頁上。
現在,在Web網頁上顯示使用者所有可用的資源。如果使用者點選一個應用程式/桌面,将會發生通路流程:
1、當User1點選應用程式1,NetScaler可發送HTTP或HTTPS請求,根據設定,以StoreFront的伺服器,這說明什麼資源正在請求。
2、StoreFront連接配接使用XML服務到XenApp場。
3、該STA服務的查詢可以啟動應用程式資源1的IMA服務。
4、該STA服務傳回給StoreFront的伺服器具有可利用的資源,包括其IP位址資訊。
5、StoreFront生成的ICA檔案,其中包含由該STA簽發的票據并将其發送到用戶端的Web浏覽器。生成的ICA檔案中包含的NetScaler網關VIP的全FQDN名以及有後端伺服器的IP位址綁定的STA登入票據。
6、Citrix Receiver通過FQDN和STA票據啟動一個會話。
我們現在已經看到了一個示例場景,知道了Citrix元件之間如何通信,并生成與外部使用者的ICA連接配接。我們看到了ICA代理如何工作,該流程不像普通的×××連接配接那樣複雜。
現在,讓我們仔細審視NetScaler網關功能的配置,以及我們如何設定它。