Citrix
思傑安全網關中的正確 DMZ 設置
我目前在防火牆(ASA 5505)後面的 Window sever 2003 上有一個 citrix 安全網關,其中 citrix 埠轉發到 citrix 伺服器。它與它指向的兩個 citrix 伺服器位於同一 LAN 上。當使用者在 LAN 內連接時,我希望網關為他們提供他們嘗試連接的 citrix 伺服器的私有 IP 地址,當他們從網際網路連接時,我是要提供的公共 IP。
如果我將連接設置為直接,那麼 LAN 上的一切都可以正常工作,但由於 ICA 文件中的地址將是私有地址,因此他們無法連接到它。
如果我設置為直接網關,則將給出公共 IP,並且網際網路使用者可以連接,但 LAN 上的使用者將無法連接。ASA 似乎停止了連接,因為它是一個 LAN IP,試圖訪問公共 IP,然後返回 LAN。
我最終做的是將設置更改為已翻譯。我添加了一個指向公共地址和私有地址的 DNS 記錄。如果您在區域網路上,它將解析為私有,如果您在網際網路上,則解析為公共。這似乎工作,但現在在 LAN 上幾個應用程序將無法載入,並且有一堆 SSL 握手錯誤。
關於正確方法的任何建議?
正確的方法是設置兩個不同的 Web Interface 站點。一種外用,一種內服。
更好的方法是將 CSG 放在兩個防火牆之間,或者放在您的 DMZ 中,然後在防火牆後面有另一個 Web Interface 伺服器供內部使用。
或者,您不能配置兩種不同的連接類型嗎?一個直接,一個網關直接?