Citrix 整体解决方案中,有一个很重要的概念即ICA Proxy。ICA Proxy由NetScaler中Access Gateway Enterprise Edition(以下简称“AGEE ” )功能实现。AGEE实现标准的SSL ×××功能,在和XenApp/XenDesktop做安全接入网关交付虚拟应用或桌面的时候调整为ICA Proxy,即实现在SSL 隧道中只能传输ICA应用的数据包,其他应用数据不能被Proxy,进一步提高了数据中心的安全性。除安全提高以外,NetScaler还给整体平台带来如下一些好处:

(1)负载均衡(针对web interface 服务器和XML Service),该功能必须由NetScaler提供,AGEE只有对WebInterface或XML Server的Failover功能

(2)降低公网端口需求量(只需要一个公网IP+一个端口<通常为443>),减少无AGEE情况下防火墙NAT的工作量核复杂度

(3)改变Web Inteface访问模式,由用户直接http方式访问到封装在SSL通道内加密访问,或者由AGEE代替用户直接访问

(4)单点登录  即实现SSL ×××首页登录、web interface登录两次密码验证减少为SSL ×××首页一次登录后AGEE传递身份验证到Web Interface

(5)借助NetScaler GSLB功能实现多站点直接负载均衡

(6)由Netscaler托管Web Interface,不再另外安装Web Interface到Windows 服务器上,降低了系统对windows 服务器数量的要求,节省投入。同时web interface安装在Netscaler上更加高效,访问更快。

(7)只需硬件平台(netsclaer 或access gateway platform license),即可最大提供10000个ICA 连接的并发。

部署模式种类与优缺点分析

(1)AGEE 身份验证,单点登录Web Interface

主要优点:AGEE提供身份验证访问点,对web interface的访问由AGEE替代用户进行,ICA Proxy功能打开,只需要一个公网IP+一个端口

主要缺点:WebInterface安装在windows server上,内部数据流程多,导致页面访问速度慢,影响用户体验。

改进措施:Web Interface安装在NetScaler里面。

(2)Web Interface 身份验证

主要优点: AGEE不再进行身份验证,只提供SSL 封装,身份验证在Web Interface上进行,访问效率大大提高;外网端口和公网IP只需一个。

缺点: 公网可以直接打开web interface页面,web interface可能面临外网***等压力。

Web Interface两种site类型支持的身份验证方法不如AGEE丰富。

(1)和(2)的优化措施和建议:web interface安装在netscaler上之后可以把压力转移到netsclaer上,而netscaler的抗***和压力能力显著高于windows server。

(3)SSL 卸载

优点: 结合NetScaler SSL 卸载和第(2)种解决方案,带来ssl offloading的好处

缺点: 公网需要至少1个IP和2个端口,或者2个IP和2个端口。对OnlinePluginFull这种客户端支持不好。