Citrix Access Gateway 8.1 Überblick, Positionierung & neue Funktionen

Citrix Access Gateway 8.1Citrix Access Gateway 8.1

Überblick, Positionierung & neue FunktionenÜberblick, Positionierung & neue Funktionen

2© 2008 Citrix Systems, Inc. — All rights reserved

Warum Citrix Access Gateway SSL VPN?• Die Globalisierung hat das heutige Geschäftsleben extrem beschleunigt

• Firmen müssen mehr Arten von Benutzern unterstützen, ohne dass alles komplizierter wird

• Auf Anwendungen muss nun von überall her, sicher und kontrolliert zugegriffen werden können

Die Citrix Vision: Eine Welt, in der jeder von überall aus arbeiten kann


Access Gateway in einer Infrastruktur für die Anwendungsbereitstellung

Branch

Repeater

Desktop und

App Receiver

Access

Gateway

• XenDesktop• XenApp• XenServer• NetScaler

AppsUsers

Workflow Studio


Access Gateway ist

Die führende SSL VPN Lösung, die Anwendern einfachen, sicheren Zugang zu allen

Anwendungen und Daten über policy-basierte Zugangskontrolle ermöglicht.

SmartAccess Höchste Performanceund Skalierbarkeit

Einfacher Einsatz und Verteilung


Use

r

Ap

ps

Sicherer Zugriff auf alle Anwendungen und Daten – von überall

Firmen-Notebooks

HeimComputer

MobileEndgeräte

Web Apps

Windows Apps

Desktops & Desktop Apps

Internet

PartnerWorkstations

DMZ

Access Gateway


Auszeichnungen & Einschätzungen von Analysten

• Schnelles Wachstum

• Gewinn wichtiger Auszeichnungen

• Praxisbewährt


Analysten-Bewertungen – Citrix im "Leaders Quadrant"

Source: Forrester ResearchQuelle: Forrester (December 2006)Quelle: Gartner (November

2007)


Überblick über die Produktlinie

Advanced Edition

Bietet innovative SmartAccess-Funktionalität für eine flexible, granulare Zugriffskontrolle

Standard Edition

Kosteneffiziente, leicht zu implementierende und zu administrierende Lösung für kleinere und mittlere Umgebungen

Beste Skalierbarkeit, höchste Performance, zentrales Management & Hochverfügbarkeits-Option

Enterprise Edition


Verfügbare Appliances

Access Gateway

Standard Edition

2000 Serie

7000, 9000, 9000 FIPS, 10000 Serie

+Advanced Access

Control Option

2000 Serie

AAC Server

Advanced Edition

Standard Edition

Enterprise Edition


Lizensierung (CCUs)

Universal User License

Advanced Access Control Option

Universal User License

Universal User Licenseoder

Standard License

Advanced Edition

Standard Edition

Enterprise Edition


Key Features & Eigenschaften

Desktop-ähnlicher Zugriff

Endpunkt-Analyse

Zweifaktor-Authentifizierung Support für Presentation

Server

Integriertes Secure Gateway

SmartAccess

Detaillierter Audit Trail

High Availability

Delegierte Administration

Smartcard Authentifizierung

Schnelle Response Time

Multiple Virtuelle SSL VPNs

Verfügbar als NetScaler Option

Eigenschaften

Enterprise Edition

Advanced Edition

Standard Edition


AG-EE Vorteile vs. AG-AE

2008 Plan SummaryAccess Gateway

4.5, Advanced Edition

Access Gateway 8.1 Enterprise Edition

High availability

Client-side cache clean-up

Server-initiated connections Client certificate (smart card)

authentication

FIPS 140-2 compliance

ICSA certification

Virtualized SSL VPN

Delegated administration

AppCompress technology


AG-EE Gemeinsamkeiten mit AG-AE 2008 Plan Summary Access Gateway 4.5

Advanced EditionAccess Gateway 8.1,

Enterprise Edition

VPN tunneling of IP-based application protocols

SmartAccess for CPS Secure Gateway replacement

Supports Access Gateway Universal license

End-point analysis support Two-factor authentication

support

Centralized management Failover support

VPN client integration with Windows GINA

Detailed audit trail


AG-EE Gemeinsamkeiten mit AG-AE

2008 Plan Summary Access Gateway 4.5 Advanced Edition


VPN client integration with Windows GINA

Detailed audit trail Clientless access

(URL rewrite)

Access scenario fallback File-type association


Verbleibende Funktionsunterschiede

Access Gateway 4.5 Advanced Edition


Non-admin install of VPN client

Multi-lingual Support Customized Logon Pages

HTML Preview LiveEdit

Technischer ÜberblickTechnischer Überblick


Access Gateway – Basisfunktionen


UnterscheidungenUnterscheidungen

Access Gateway – Funktionen

Authentication Authorization Auditing

Clients

High Availability

User Experience

Administration Scalability

Endpoint Analysis


Authentifizierung

Zweifaktor-Authentifizierung

Zweifaktor-Authentifizierung

KaskadierteAuthentifizierung

KaskadierteAuthentifizierung

Unterstützt die gängigsten Authentifizierungs-Mechanismen

• Active Directory

• LDAP

• NTLM

• RADIUS

• TACACS+

• One-time Passwort Tokens

• Client Zertifikate & Smart Cards

• Local store


Autorisierung

• Policy-gesteuerter Zugriff• Authentifizierung

• Autorisierung

• Session Kontrolle

• Auditierung

• Vielzahl von Policy-Kriterien• Netzwerk Informationen

• Applikations Zugriff

• Client Zertifikats Parameter

• Client Konfigurationen

• Granulare Zugriffskontrolle• Benutzer, Gruppen, virtuelle IP und Global Policies

• HTTP Autorisierung basierend auf der URL

• TCP/IP Autorisierung basierend auf Adresse and Port


Auditierung

• Vollständige Administrations Protokollle• Alle Management Aktionen werden ge-logged

• Vollständige Benutzer-Aktivitäten Protokolle• Alle Aktivitäten in Sessions

• Gesamter Netzwerkverkehr

• Vollständiges Logging der System Events

• Support für Externe Logging Server


ClientsZwei Arten des Client Zugriffs:

• Secure Access Client – Native installierte Applikation, die im System Tray resident bleibt

• Plugin – ActiveX oder Java Control – wird dynamisch über HTML runtergeladen und ausgeführt

Verbindung ausschließlich zu XenApp Anwendungen

Verbindung zu jeder IP-basierten Anwendung

Alle XenApp Clients v6.3 oder neuer:

• Windows NT/2000/XP• Windows Vista• MacOS 9 & 10• Linux & Java• Windows CE• UNIX

Secure Access Plattformen:

• Windows Vista/2000/XP• Java (von Mac & Linux genutzt)• PocketPC


Endpunkt Analyse

• Prüfung der spezifischen Client-Kriterien

• Scans können vor und nach dem Logon erfolgen

• Nutzung der Ergebnisse für Policy-Evaluierung und Vergabe der SmartAccess Zugriffsrechte

• Scan eines verbundenen Windows Clients auf jede mögliche Kombination von:

• Dateien

• Prozessen

• Registry Einträgen

• System Services

• Betriebssystem

• Hotfixes

• Client Zertifiate


Client Scan

Art des Benutzer Zugriffs und Zugriffsrechte basieren auf den SmartAccess Policies &

EPA Ergebnissen

Art des Benutzer Zugriffs und Zugriffsrechte basieren auf den SmartAccess Policies &

EPA Ergebnissen


Einfaches Management und Administration

• Management Console• Einfache Wizards

• Um Standard-Aufgaben zu vereinfachen

• Für eine einfache Integration in XenApp Umgebungen

• Für komplexe Aufgaben

• Deligierte Administration• Read-Only

• Operator

• Netzwerk

• Superuser

• Command Line Interface


Skalierbarkeit

9000 Serie

7000 Serie

10000 Serie

= 100

2500 Benutzer

5000 Benutzer

10000 Benutzer


High Availability Pairing

vpn.company.com (10.10.10.1)

Netzwerk Health Check Pakete

werden ausgetauscht

Master

Backup

Zwei Appliances können einen aktiv/passiv Cluster bilden• Health-checking Pakete werden konstant zw. dem Paar ausgetauscht

• Wenn die primäre Appliance ausfällt, übernimmt die zweite die IP Adresse

Benutzer Sessions sind auf HA ausgelegt• Alle Sessions werden auf der zweiten Appliance repliziert

• “show aaa session” auf der zweiten Appliance zeigt die aktiven Benutzer


Andere Funktionen

• VoIP Support

• Universal Licensing

• Client-side Cleanup

• Server-initiierte Verbindungen

• FIPS 140-2 Compliance

• *Common Criteria Certification (H2-2008)

AGUniversalLicense


Unterscheidungsmerkmale

Citrix XenApp™

Windows Apps

Citrix XenDesktop™

Windows Desktops

Citrix NetScaler®

Web Apps


Citrix Access Gateway und XenApp

CitrixNetScaler®

WebApplikationen

Citrix XenApp™

Windows Applikationen


Windows Desktops

Users AppsCitrix

EdgeSight™

Monitoring der Performance aus Endbenutzersicht

Citrix WANScaler™

Beschleunigter Anwendungszugriff

für Nutzer inZweigstellen

Citrix Access Gateway™

Sicherer Zugriff aufApplikationen

Sichere Bereitstellung von Windows Applikationen


Citrix SmartAccess – Überblick

Welche Inhalte?Wer? Welche Aktionen?

Endpunkt-Analyse und Authentifizierung

Welcher User?

Welches Gerät?

Welcher Standort?

Launch über ICA

EmailDownload

• Clipboard

• Save

• Print

andere SSL VPNs gehen nur bis hierher

Access Control

XenApp Anwendungen

Mail Server

Web &File Server

Netzwerk Ressourcen


Access Gateway und XenApp

• Ersetzt das Secure Gateway durch eine gehärtete Appliance

• Single logon über Web Interface

• Unterstütztung für alle Appliationen und Protokolle

• Erweitert die Applikations- Bereitstellung um SmartAccess

• Sichere Anwendungs-Virtualisierung

Die beste SSL VPN Lösung für XenApp Umgebungen


Zugriff auf XenApp (ohne VPN)

Web Interface

Access GatewayClient

1. URL aufrufen https://agee.corp.ctx

2. Access Gateway terminiert SSL, authentifiziert den Anwender und überprüft das Endgerät

3. Reverse Proxy überträgt zum Web Interface die Anmeldeinforma-tionen & Richtlinieneinstellungen

4. WI stellte Anwendungen dar

5. Anwender klickt auf Anwendungs-symbol

6. Web Interface fordert ein Ticket vom XML Dienst

7. Web Interface sendet Ticket in einer ICA Datei zum Anwender

8. ICA Client erstellt ICA-Verbindung über SSL zum Access Gateway

9. Access Gateway überprüft das Ticket

10. ICA Sitzung wird aufgebaut

1) SSL

Presentation Server Farm

3) HTTPS

6) XML9) XML10) ICA

4) HTTPS

8) SSL


Modi für den Secure Gateway Ersatz


Citrix Access Gateway und XenDesktop

CitrixNetScaler®

WebApplikationen

Citrix XenApp™



Windows Desktops

Users AppsCitrix

EdgeSight™


Citrix WANScaler™





Sichere Bereitstellung von Windows Desktops


Sicherer Zugriff & Bereitstellung von Applikationen

Access Gateway

User

Virtual Desktops

XenDesktop

HTTPS HTTPS

ICA/CGPICA/CGP

XMLXML

ICA + SSLICA + SSL

HTTPS - SSO

HTTPS - SSO

Rechenzentrum

Sichere Desktop Virtualisierung


Sichere Bereitstellung von Desktops mit Access Gateway & XenDesktop

• Sichert die Bereitstellung von Remote Desktops• Sichere Bereitstellung von virtualisierten Desktops

• SmartAccess Policies

• Bietet höchste Sicherheit bei der Übertragung von Daten• Daten und Desktops verbleiben im Rechenzentrum

• Sicherheits-Policies sorgen für Endpunkt Geräte-Compliance

• Zentraler Desktop ist vom lokalen Desktop isoliert

• Ermöglicht Integration von Partner- oder Fremd-PC's ins Netzwerk

• Starke Vereinfachung des Desktop Managements• Reduziert Desktop Computing Kosten um bis zu 40%


Access Gateway Redirecting zu XenDesktop

Access Gateway unterstützt standardmässig Single Sign-On zum Web Interface

Access Gateway unterstützt standardmässig Single Sign-On zum Web InterfaceVerfügbare XenDesktops können

auf SmartAccess basierenVerfügbare XenDesktops können

auf SmartAccess basieren

XenDesktop Session wird sicher über Access Gateway bereitgestellt

XenDesktop Session wird sicher über Access Gateway bereitgestellt

Benutzer ist mit seinem Desktop verbunden

Benutzer ist mit seinem Desktop verbunden


Secure Access und XenDesktop

XenDesktop Session wird über den Access Gateway Client getunnelt

XenDesktop Session wird über den Access Gateway Client getunnelt

SmartAccess entscheidet, welche Applikationen bereitgestellt werdenSmartAccess entscheidet, welche Applikationen bereitgestellt werden

Es wird eine sichere Verbindung zw. Clientund Access Gateway aufgebaut

Es wird eine sichere Verbindung zw. Clientund Access Gateway aufgebaut


Citrix Access Gateway und NetScaler

CitrixNetScaler®

WebApplikationen

Citrix XenApp™



Windows Desktops

Users AppsCitrix

EdgeSight™


Citrix WANScaler™





Sichere Bereitstellung von Web Applikationen


corp.xyz.com

corp.xyz.com

corp.xyz.com

Eine URL für die Website… …unterstützt “active-passive” Site Failover.

corp.xyz.com

DR Site

Global Server Load Balancing•Umleitung von Client- Verbindungen zum nahest gelegenem / verfügbarem Rechenzentrum

•Implementierung von Multi-Site Disaster Recovery

Access Gateway und NetScaler:Business Continuity & Disaster Recovery


InternetWeb App Users

Nur legitimierter Traffic geht

durch

Blocken von Applikations-

Attacken

Citrix NetScaler Platinum Edition

(incl. Access Gateway Enterprise Edition)

Backend Server

Access Gateway & NetScaler Application Firewall

Schutz von Web Applikationen & Daten im Backend

NetzwerkZugriff

Neue Funktionen in Version 8.1Neue Funktionen in Version 8.1


AG 8.1 – clientless, Browser-Only Zugriff

Funktion Beschreibung Auswirkung

clientless, browser-only access

Die Enterprise Edition unterstützt den clientless Zugriff (oder URL rewriting) für einfache Web Anwendungen, Web Interface und Microsoft Outlook Web Access.

Signifikant für Access Gateway Advanced Edition

Bitte beachten: Der clientless Zugriff auf Microsoft SharePoint wird weder unterstützt, noch ist der clientless VPN Zugriff konform mit den ICSA Standards


AG 8.1 – SmartAccess Erweiterungen


Access Scenario Fallback Die Zugriffs-Methode, wie sich ein Benutzer anmeldet kann automatisch per Fallback von full/clientless zu ICA geändert werden. Zusätzlich können Benutzer optional auswählen, welche Zugriffsmethode sie benutzen möchten.

Access Gateway Advanced Edition


AG 8.1 – Wizards und Dokumentation


Veränderter Access Gateway Wizard und Published Applications Wizard

Die neuen Wizards ermöglichen es Administratoren, die Enterprise Edition über simple Abläufte zu konfigurieren.

Vereinfacht die Produkt-Verteilung durch Automation alltäglicher Abläufe wie z.B. Zertifikats-Management, Integration mit XenApp, Web Interface Konfiguration und Port Redirection.

Überarbeitete Dokumentation

Die Dokumentation der Enterprise Edition wird komplett überarbeitet – sie ist mehr an alltäglichen Aufgaben ausgerichtet und dadurch leichter verständlich.

Verbessert die Möglichkeit und verringert Komplexität bei Verteilung der Enterprise Edition.


AG 8.1 – Portal Verbesserungen


NavUI accessible via clientless VPN

Möglichkeit, Zugriff auf NavUI, incl. Veröffentlichten Anwendungen, Web Bookmarks und File Shares, via clientless VPN.

Access Gateway Advanced Edition Erweiterung

Web Interface-NavUI integration

Neue Option für Web Interface Server – autom. Anzeige veröffentlichter Anwendungen in einem Teil der NavUI bei AG EE.

Access Gateway Advanced Edition: ersetzt den Workaround, welcher nötig war, um HTLM Files manuell zu editieren.

File-type association supported

Enterprise Edition unterstützt nun auch Datei-tyische Verbindungen – bedarf manueller Einstellungen im Web Interface.

Access Gateway Advanced Edition


AG 8.1 – Verbesserungen des ClientsFunktion Beschreibung Auswirkung

Windows Vista support Windows Vista wird i.d. Enterprise Edition sowohl für EPA als auch für den Secure Access Client unterstützt.

NDIS Treiber Anpassung an Access Gateway Standard Edition ermöglicht Client Koexistenz.

Windows auto-logon Möglichkeit des Single Sign-On zum Secure Access Client, nachdem sich Benutzer an Windows XP oder Vista angemeldet hat.

Access Gateway Standard Edition

MSI packaging für Secure Access Client

Secure Access Client wird als Standalone MSI Paket verfügbar sein.

Ermöglicht Verteilung des Secure Access Client via standard SW Verteilungs-Tools.

Secure Access Client UI an Access Gateway Standard Edition angelehnt

Look & Feel des Secure Access Client ist konsistenter – z.B. Möglichkeit, per Doppelklick a.d. AG Icon zum Logon Fenster zu gelangen.

Access Gateway Standard Edition parity item


Clientless Access – URL Rewriting

• Erlaubt eine sichere Verbindung ohne installierte Client Software

• Unterstützung von: • Portal Page

• Generischen Web Seiten

• Outlook Web Access Light

• Outlook Web Access Premium


Clientless Access – Email Support


Clientless Access - URL Rewriting

Rewritten URL ist https://gateway.corp.com/cvpn/aHR0cDovL3d3dy5nb29nbGUuY29t/

Rewritten URL ist https://gateway.corp.com/cvpn/aHR0cDovL3d3dy5nb29nbGUuY29t/


Access Gateway Wizards• Erstellen oder ändern eines SSL VPN Virtual Servers – Neu!

• Konfiguration von Zertifikaten – Neu!

• Konfiguration der Namensauflösung

• Konfiguration der Autorisierung

• Standard Action: Autorisierung – Neu!

• Konfiguration Port 80 Redirection – Neu!

• Konfiguration Clientless Access – Neu!

• Published Applications – Neu!

• ICA Verbindungen – Neu!


Client Zugriffsmöglichkeiten (Client Choices)

Bietet Benutzern die Möglichkeit, zw. Secure Access Client oder

Web Interface zu wählen

Bietet Benutzern die Möglichkeit, zw. Secure Access Client oder

Web Interface zu wählen

Benutzt Client Security Expressions für bedingte Kontrolle der

Secure Access Client Verfügbarkeit

Benutzt Client Security Expressions für bedingte Kontrolle der

Secure Access Client Verfügbarkeit


Zugriffsszenario – Fallback

QuarantineZugriffsszenario Fallback benutzt

Zusätzlich eine Quaratäne Gruppe zum “Client Security String”

Zugriffsszenario Fallback benutzt Zusätzlich eine Quaratäne Gruppe zum

“Client Security String”


Es werden drei Zugriffsmöglichkeiten angeboten


Windows Interface Look and Feel in NavUI

Der WI Mode kann auf "Normal" oder "Compact" eingestellt werden, aber das WI muss im gleichen Modus konfiguriert sein

Der WI Mode kann auf "Normal" oder "Compact" eingestellt werden, aber das WI muss im gleichen Modus konfiguriert sein

Home Page Eintrag ist leer, um embedded WI zu unterstützen

Home Page Eintrag ist leer, um embedded WI zu unterstützen


Normal Modus


Compact Modus


Die WI Seite kann auf den Embedded Modus konfiguriert werden, wenn die Seite Eigenschaften angepasst werden

siehe auch: CTX114504 für Details

Die WI Seite kann auf den Embedded Modus konfiguriert werden, wenn die Seite Eigenschaften angepasst werden

siehe auch: CTX114504 für Details

Custom Modus

Netzwerk ÜbersichtNetzwerk Übersicht


One-arm versus Two-Arm

1) User Request 2) User Request

3) Server Response4) Server Response

One-arm Deployment

1) User Request 2) User Request

3) Server Response4) Server Response

Two-arm Deployment


Fünf Typen von IP Addressen in Access Gateway

• Virtual Server IP (VIP)

• Management IP (NSIP)

• Subnet IP / Mapped IP (SNIP/MIP)

• Intranet IP (IIP)

Administration und Authentifikation

Benutzer

VIPVIP SNIP/MIPSNIP/MIP

Backend Server

NSIPNSIP

IIPIIP


389/636

(TCP)

53 (UDP)

Basic Firewall und Port Rules

AGEE Admin

VIPVIP

NSIPNSIP

XA & WI

443,80 (TCP/HTTP)

3010, 3008 ,22 (TCP)

80, 8080, 443 (HTTP/TCP) 1494, 2598 (TCP)

443,80* (HTTP/TCP)

NSIPNSIP

DNS

* Port 80 wird für https redirect benutzt

NSIPNSIP

AD / LDAP

SNIPSNIP

Benutzer


Common Firewall und Port Requirements

Source Destination Port Use

Internet VIP 443 SSL Virtual Server Connections

Internet VIP 80 Port 80 Redirection

NSIP Management Console

22, 80, 3008, 3010 SSH, Web Tool, Java Admin Tool

NSIP LDAP Server 389 LDAP

NSIP LDAP Server 636 Secure LDAP

NSIP RADIUS Server 1812 RADIUS

NSIP DNS Server 53 DNS queries


WI/CPS Firewall und Port Requirements

Source Destination Port Use

MIP/SNIP Web Interface 80 WI over HTTP

MIP/SNIP Web Interface 443 WI over HTTPS

MIP/SNIP CPS Server 1494 or 2598 ICA traffic

VIP STA Server 8080 or 443 STA communication

Web Interface VIP 443 SSO Callback

ZusammenfassungZusammenfassung

© 2008 Citrix Systems, Inc. — All rights reserved 67

Übersicht Hardware & Software

Hardware Software

• Access Gateway• 2000 Serie• 7000 Serie• 9000 Serie• 10000 Serie

• NetScaler• 7000 Serie• 9000 Serie• 10000 Serie• 12000 Serie

• Access Gateway• Universal License• Standard License

• XA and/or XD Platinum• Universal License

• NetScaler Platinum• 100 Universal Licenses inklusive


Überblick über die Access Gateway Produktlinie

Einstiegs-Level SSL VPN. Kosteneffiziente, leicht zu implementierende und einfach zu administrierende Lösung für Unternehmen die eine sichere Remote Access Lösung suchen. Rollout des VPN-Clients auf einzelne Endgeräte entfällt, Client wird automatisch heruntergeladen.

Ideal für kleinere und mittelgroße Firmen,(weniger als 500 Benutzer), bietet die Lösung SmartAccess-Funktionalität für flexible, granulare Zugriffskontrolle. Unterstützt zudem einen browserbasierten, clientlosen Zugriff auch für PDAs, Smartphones und Kiosk-Systeme.

Advanced Edition

Standard Edition

Die SSL VPN Lösung für große Umgebungen – beste Skalierbarkeit, zentrales Management, HA-Option & integrierte Funktionen für Anwendungs-Beschleunigung und –optimierung. SmartAccess-Komponente ist integriert – es ist kein weiteren externen Server nötig.

Enterprise Edition


• Ersetzt das Secure Gateway

• Appliance-basierte Lösung

• 25-500 CCUs

• Basis SSL VPN Funktionalität

• Zielgruppe: kleinere Firmen

Access Gateway

Standard Edition

Einfacher Einsatz und Verteilung

Positionierung Access Gateway Standard Edition


• Standard Edition PLUS


• SmartAccess Funktionalität

• Browser-basierter Zugriff, keine Installation eines Clients nötig

• Zielgruppe: kleinere und mittelgroße Firmen

Access Gateway

Advanced Edition

SmartAccess

Positionierung Access Gateway Advanced Edition


• Hight-End Produkt und Funktionaliäten

• SmartAccess Funktionalität


• Unterstützt Tausende Benutzer

• Zielgruppe: Enterprise Markt

Access Gateway

Enterprise Edition

Höchste Performance& Skalierbarkeit

SmartAccess

Positionierung Access Gateway Enterprise Edition


Documents

Citrix Access Gateway 8.1 Überblick, Positionierung & neue Funktionen