NetScaler VPX 10实施7：NetScaler Gateway

NetScaler网关是NetScaler最常用的功能之一。在早期版本中，Citrix产品中对其命名为安全网关或访问网关，但NetScaler的10.1版本，它被命名为NetScaler网关。这个功能和以前安全网关相同，它通过一个网关授予用户远程访问公司的内部网络。它有多个特性和方式能给改善最终用户访问公司内部网络的体验，在这一章，我们将介绍它的详细特性。快速概述下我们将覆盖的内容：

• NetScaler的网关的基础知识

• 不同的连接方式和设置

• 示例设置方案

• 和XenDesktop/ XenApp和XenMobile集成

• 配置StoreFront

发展简史

NetScaler网关功能发布了许多不同的形式。第一个版本于2001年首次发布，名字叫Citrix Secure Gateway。这是一个基于windows的软件，提供给用户远程访问Citrix应用服务的解决方案。后来，Citrix发布Access Gateway，它提供了更多的功能，如SSL ×××，端点分析和×××。现在已经名字已经改为NetScaler ,Gateway，它拥有两种不同的形式，即软件版本 VPX和硬件版本MPX。这两个版本的更多信息，可以找到NetScaler网关数据表查看他们的规格等，位于http://bit.ly/1kGLZS0。

许多公司都使用NetScaler设备的网关功能，因为它提供的好处是将许多功能在同一设备上实现，而不仅仅只有网关访问功能。

NetScaler Gateway的关键特性：

      NetScaler的网关具有一组功能，其中可用于授予最终用户的远程访问，如：

• ICA代理：这个特性允许网关代理ICA协议通过TCP端口443传输的XenApp流量或XenDesktop流量。

• SSL ×××：这是一个基于浏览器的×××解决方案，也被称为客户端访问。

• ×××：这是一个虚拟专用网络功能，让用户使用NetScaler网关插件访问公司内部网络。

• 端点分析：这是一个网络访问控制功能，扫描客户信息检查是否满足企业安全策略，满足策略要求才被允许连接到网络。

• SmartAccess：SmartAccess允许我们通过使用NetScaler会话策略来控制对服务器上应用程序和桌面的访问。你可以阅读更多关于SmartAccesshttp://support.citrix.com/proddocs/topic/access-gateway-92/agee-smartaccess-how-it-works-c.html。

• MDX：它基本上是一个应用级的×××的解决方案，用于整合NetScaler XenMobile应用程序管理。

NetScaler网关还有更多的功能，我们将在这一章讨论。前提，所有这些特性要求我们安装了一个合法的NetScaler许可证。如果只使用常规的ICA代理功能，我们只需要一个普通平台许可证即可，在前面的章节中，我们已经介绍了许可证信息。如果我们还想要使用在前面的列表中任何其他特性，我们还需要添加一个通用许可。

当我们购买了正规的NetScaler平台许可证，无论是对于MPX或VPX，我们都会得到5个通用许可证。我们可以从GUI导航验证System | Licenses：

我们也可以通过CLI使用以下命令验证这一点：

show license

这些许可证是并发的，这意味着我们可以有五个用户在任何给定时间使用基于×××的解决方案。如果我们需要更多的并发用户，我们不得不购买更多用户的许可证。

NetScaler网关的最常用的功能是ICA代理，这是允许远程用户访问XenApp或XenDesktop的解决方案，并且只要求用户安装Citrix Receiver。它不需要额外的许可证。解决的办法很简单，因为它的所有的ICA流量隧道都通过端口443(此端口通常用于安全的HTTP流量)访问网关和返回给用户，并且在防火墙上打开该端口并允许在远程访问即可。

让我们来看看一个示例场景，看看ICA代理如何工作，以及用户如何能够访问他们的应用程序或桌面。

一个公司拥有的NetScaler网关功能并设置允许远程用户访问他们的XenApp解决方案。该示例网关为https://login.company.com，NSIP和SNIP设置了按照下图所示的设计：

那么他们是如何工作的呢？

当用户访问XenApp的资源时，将会出现以下访问流程：

1、User1通过浏览器访问https://login.company.com，然后DNS解析到NetScaler VIP。NetScaler VIP根据信息通过SNIP转发到相应的Web Interface或者StoreFront，显示登录界面。

2、User1在网站上与他/她的凭证进行认证。

3、NetScaler可利用其NSIP联系活动目录（AD）来验证用户。如果我们已经配置负载平衡的Active Directory服务，那么它会使用SNIP。

4、StoreFront身份验证服务去NetScaler调用NetScaler的的用户验证和凭据显示StoreFront门户用户的应用快捷方式。

5、StoreFront验证服务通过XML服务转发凭据给XenApp服务器群，XenApp使用STA的存储服务来存储的用户凭据，并获取可用资源的列表。

6、XenApp的通过XML的服务返回信息给StoreFront，并提供对可用资源的安全票据和信息。

7、StoreFront联系NetScaler回调URL为用户生成一个可用的资源列表信息显示在Web网页上。

现在，在Web网页上显示用户所有可用的资源。如果用户点击一个应用程序/桌面，将会发生访问流程：

1、当User1点击应用程序1，NetScaler可发送HTTP或HTTPS请求，根据设置，以StoreFront的服务器，这说明什么资源正在请求。

2、StoreFront连接使用XML服务到XenApp场。

3、该STA服务的查询可以启动应用程序资源1的IMA服务。

4、该STA服务返回给StoreFront的服务器具有可利用的资源，包括其IP地址信息。

5、StoreFront生成的ICA文件，其中包含由该STA签发的票据并将其发送到客户端的Web浏览器。生成的ICA文件中包含的NetScaler网关VIP的全FQDN名以及有后端服务器的IP地址绑定的STA登录票据。

6、Citrix Receiver通过FQDN和STA票据启动一个会话。

我们现在已经看到了一个示例场景，知道了Citrix组件之间如何通信，并生成与外部用户的ICA连接。我们看到了ICA代理如何工作，该流程不像普通的×××连接那样复杂。

现在，让我们仔细审视NetScaler网关功能的配置，以及我们如何设置它。