1 安全接入用户需求

在信息爆炸的今天，如何及时准确地获取公司信息、快速响应客户要求成为商业成功的重要因素。为了确保员工不受时间、空间及网络设备等条件的限制，轻松、安全地连接到总部的应用系统、获取信息数据并调用各种工具，企业需要具有在更复杂的工作环境中为更多用户提供连接多种信息资源的能力。
随着技术的不断推陈出新，信息系统变得越来越复杂，加之应用设施、平台、标准及网络架构的多样化，为实现接入企业信息带来了更多困难。另一方面，在企业局域网之外也需要对敏感数据信息进行保护。因此，许多企业不得不配备更多的人力和物力来确保安全。显然，这种方法在现有的资源上增加了更多的配置，不可避免地提高了成本，增加了支出。为此，公司的管理者们需要更为有效的方案来实现更为轻松便捷、安全可靠的信息接入。其中，这些安全访问需求包括：
1.   对Internet中传递的数据私密性保护—的需求；
2.   提供增强的远程接入功能，让企业员工随时随地都能安全地接入企业资源；
3.   实现对所有基于IP协议的应用都能够安全接入访问；
4.   尽量减少对接入客户端的维护和管理；
5.   对远程接入可以实现精确的接入控制功能，针对企业资源不仅是接入，而且需要具有策略的接入；针对远程客户端可以进行安全评估；
6.   实现接入的高可靠性。

2 Access Gateway设备概述

2.1 设备概述

相比IPSec和传统SSL ，Citrix Access Gateway更具创新性和优越性，提供了安全的、不间断、单点接入，而且部署和维护相当简单，具有更高的性价比。
IPSec和其它早期的，包括PP2P和L2TP，给予了用户桌面式远程接入体验，但客户机的安装和更新却导致了管理上的烦恼和极高的支持成本。由于防火墙的限制，当用户身处客户或合作伙伴的办公室时常常无法正常接入公司应用和资源。而且最近，这类已成为恶意程序入侵的主要途径。后来研究开发出SSL 来解决IPSec 的弊端，它集成了Web代理、端口转发和网络延伸等功能，然而，它不支持所有的应用程序，仍然要求保留小范围的IPSec部署。
这一类解决方案，每个都有利有弊，因此企业的负担就更重了，因为他们必须管理多种解决方案以满足目前安全的远程接入所带来的多样化需求。对于这些企业，最理想的情况莫过于采用单一的解决方案为所有用户提供各式各样的安全远程接入。而Citrix Access Gateway就能做到这一点。Citrix Access Gateway不仅采用了IPSec 的基础技术提供网络层接入，同时也采用SSL技术提供有效数据加密。网络层接入和应用层加密的结合使企业不再需要维护两个单独的基础架构，仅需一个产品就能享受IPSec 和SSL 的双重优势。

2.2 Access Gateway企业版功能指标

•   标准机架专用硬件，专用安全操作系统。
•   Access Gateway企业版最大可以支持10000并发用户。
•   支持高可用双机热备。
•   Access Gateway企业版克服了IPSec 和传统SSL 的局限性，同时传承了它们的所有优点。不需重写代码或定制设备，Access Gateway企业版支持各种基于IP应用－Client/Server 应用，Web应用，甚至是基于IP的语音应用（VoIP等）。
•   Access Gateway企业版建立的SSL 通道能跨越防火墙，隐藏远程网络IP地址，防止了恶意程序的侵入。另外Access Gateway支持区分（禁止/激活）客户端不同通道（安全通道及访问Internet的不安全通道），最大限度实现了建立后对企业内部资源的安全保护。
•   支持远程客户端安全扫描，建立的隧道变得更加安全。
•   独特“Always On”技术，当网络重新恢复后，终端用户不需要任何操作，甚至不需要重新认证，SSL 通道自动恢复。
•   有了Citrix Access Gateway企业版，用户既可享受昂贵IPSec 所带来的桌面式远程接入体验，也不必为IT升级支付高额成本。
•   客户端插件在用户接入网络时自动安装和更新，且不用重新启动计算机，最大限度减少对终端用户设备的支持和维护。
•   部署方便，管理简单（平均部署时间仅需30分钟）。

3 Access Gateway企业版安全接入方案

相对于传统的IPSec和SSL ，Citrix Access Gateway 企业版更大优势在于整合企业各种资源，并实现基于远程访问用户角色、设备、接入位置和连接的策略控制；针对企业内部应用程序、文档、Web内容、电子邮件附件、打印和缓存等提供业界领先的控制能力—安全接入企业，策略接入。

3.1 Access Gateway设备部署

Citrix Access Gateway部署在Intranet DMZ中，为远程访问客户端到企业门户创建一条基于SSL虚拟加密隧道。通过简单访问安全的Web URL或直接点击桌面图标，客户电脑即可启动客户端软件，然后Access Gateway会利用公司的验证服务器来检验身份的真实性，一旦通过验证，S客户端软件即被激活在客户端计算机上，并可通过与Access Gateway建立的安全通道来安全访问企业内部各种应用资源，包括基于IP协议的任何应用，甚至是基于IP的语音应用（VoIP等）;另外，同样可以通过Citrix的ICA通道来访问Citrix XenApp上发布的各种应用程序（Citrix XenApp是Citrix的应用虚拟化产品，详细内容请参考Citrix文档或访问http://www.citrix.com）。

3.2 Access Gateway企业版部署方法

逻辑上位于客户端和服务器之间的 Access Gateway企业版可以以两种物理模式部署：双臂模式和单臂模式。
在正常的双臂模式中，多个网络接口连接到不同的以太网段， Access Gateway企业版放置在客户端和服务器之间。Access Gateway企业版有一个单独的网络接口连接每个客户端网络，一个单独的网络接口连接内部应用网络。在此配置中，Access Gateway企业版和应用服务器可以存在于不同的子网中。这些应用服务器可以在公共网络中，客户端可以通过 NetScaler 直接访问服务器。
在单臂部署模式下，Access Gateway企业版通过一条链路（或多条链路捆绑形成的一条聚合链路）连接交换机，其连接位置与后端服务器相同。下图为Access Gateway企业版两种典型的网络拓扑连接模式：

3.3 Access Gateway企业版实现步骤

通过Citrix Access Gateway 企业版将企业各种资源整合到门户后，从以下实现步骤可以看出，根据不同用户接入时的不同场景，将有相应的接入策略与之对应，并控制用户使用企业资源的过程和操作。

3.3.1 第一步：针对远程接入场景的智能分析

•   接入角色分析
•   接入设备识别
•   接入设备配置
•   网络位置分析
•   认证方式
•   其他定制的安全扫描
如图：进行端点扫描和分析

3.3.2 第二步：基于策略的企业应用资源接入

Citrix XenApp发布的应用资源
•   文件和网络共享资源
•   基于Web的邮件系统
•   Web站点
•   基于Web的应用
•   邮件同步
如图：接入策略控制

3.4 Citrix Access Gateway企业版用户场景体验

3.4.1 场景一用户从内部网络登录

当用户从企业内部网络来访问企业门户中的各种资源时，如何处理（内部网络通常是可信任网络），事例如图：绿色表示具有完全接入权限；蓝色表示具有部分可以接入权限控制；红色表示接入权限被拒绝。

当Citrix Access Gateway Enterprise监测到该用户访问从信任网络发起（内部网络）后，该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大，这是符合常理的。

3.4.2 场景二，用户从外部信任网络登录

当用户作为企业移动用户来访问企业门户中的各种资源时，如何处理；事例如图：绿色表示具有完全接入权限；蓝色表示具有部分可以接入权限控制；红色表示接入权限被拒绝。

此时，该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的；毕竟，该用户是从外网接入，我们需要对其进行策略控制。

3.4.3 场景三，用户从非信任网络登录

当用户在网吧里上网来访问企业门户中的各种资源时，如何处理；事例如图：绿色表示具有完全接入权限；蓝色表示具有部分可以接入权限控制；红色表示接入权限被拒绝。

用户使用网吧计算机通过极其不安全的公共网络接入的企业资源及进行的对资源的操作权限我们是必须要对其进行严格控制的，此时，该用户会发现很多资源只能浏览而没有更多的控制能力。

4 第三方测评

Citrix Access Gateway企业版产品近年来多次在权威机构的评测中得到好评，本章选取Gartner Group（全球最具权威的IT研究与顾问咨询公司）对SSL 市场的评测，Citrix Access Gateway企业版已经在该评测中连续多年评为业界领导者。

• Ability to Execute坐标主要反映目前产品特性，价格以及用户体验等方面，具体评定指标包括，产品和服务，公司生存能力，销售及价格，市场对产品的反应，市场执行能力，客户体验，运营。
• Completeness of Vision主要反映公司以及产品发展策略各方面因素，具体评定指标包括，对市场的理解，市场策略，销售策略，产品策略，公司业务模型，行业策略，更新与改进能力，区域策略

5 产品平台推荐

5.1 容量需求

• 目前远程访问用户数量：7000 （根据用户提供数据估算，实为6000+）；
• 并发访问数量计算：7000*35%＝2450（根据一般企业业务类型估算，Citrix Access Gateway企业版可配置会话保持时间，如果业务完成，在配置的时间后，连接可中断）

5.2 Citrix Access Gateway企业版产品系列

Citrix Access Gateway企业版提供三个硬件平台，分别支持的最大并发会话数为：
7000系列，最大会话数：2500;
9000系列，最大会话数：5000;
10000系列，最大会话数：10000;

Citrix Access Gateway解决方案相关推荐

电脑常识某企业桌面虚拟化项目-Citrix虚拟桌面解决方案
电脑常识某企业桌面虚拟化项目-Citrix虚拟桌面解决方案 xxx桌面虚拟化项目Citrix解决方案 xxx桌面虚拟化项目 Citrix解决方案 1项目背景秉承"尊重个性.创造价值.贡献于 ...
npm install 报错： WARN checkPermissions Missing write access to 解决方案
npm install 报错: WARN checkPermissions Missing write access to 解决方案参考文章: (1)npm install 报错: WARN che ...
Citrix 桌面虚拟化解决方案与VMware桌面虚拟化解决方案对比
通过 XenDesktop 和 FlexCast为各种场景交付虚拟桌面企业桌面面临的问题为每个用户提供安全高效的桌面环境是几乎所有公司或组织的基本要求.如果用户无法使用他们的桌面或应用程序,公司就 ...
Citrix桌面虚拟化解决方案介绍
Citrix桌面虚拟化解决方案介绍解决方案概况 Citrix交付中心简介思杰交付中心利用普遍存在的连接,将一套功能不一的特性融入了安全的.无限的信息接入.整体而言,思杰完整的交付中心能提供这些特性 ...
Citrix NetScaler Gateway：使用Smart Access实现根据源IP控制用户可访问的交付组
一.导语 NetScaler Smart Access是NetSacler Gateway的一个高级功能.如果用户是通过NetScaler(ADC)访问应用或桌面,该功能可以限制用户的应用或者桌面的可 ...
DockerCon 2016 深度解读: Citrix 服务发现解决方案 —— Nitrox
说起Citrix公司的NetScaler这款硬件负载均衡器大家可能不熟悉,它的竞争对手F5,在运维界可能比较多人了解.硬件负载均衡器通常作为网络入口流量分流的设备,例如像淘宝网的流量特别大,可能只有几 ...
金蝶软件 CITRIX无法打印解决方案
CITRIX无法打印一直是困扰CITRIX用户的一大问题. CITRIX无法打印,原因有很多方面,有系统的原因,也有设置的原因,还有兼容性的原因等.网上也有很多关于这个问题的讨论及解决方案,但经过测试 ...
【Netscaler】1、Citrix Netscaler Gateway Server地址重定向经典配置
前言此章节主要配置一下Citrix虚拟桌面中,通过外网访问有两条Gateway Verser,需要访问到同一条上,我们需要做下重定向. 目录一.准备环境二.安装配置一览表三.基础环境安装配置 ...
Win7 64bit IIS无法访问ACCESS数据库解决方案
本地网站的虚拟站点上部署一个ACCESS数据库,使用VS内置的 Visual Web Dcveloper Web服务器,在本地打开的网页中,是可以访问ACCESS数据库的. 而使用IIS服务器,并网站 ...