在哪里安全地部署Citrix Netscaler？

Question

我们目前正在使用Citrix Netscaler为用户提供虚拟桌面。Netscaler位于DMZ，可从整个互联网接入。不幸的是，Netscaler可以访问位于LAN中的LDAP (用于身份验证用户)和Citrix桌面服务器(用于虚拟桌面)。海事组织不太安全，在这种情况下，非军事区会松开它的点，因为正常情况下，不应该有任何流量从非军事区流向局域网。如果Netscaler受到威胁，攻击者将很容易获得对整个LAN的进一步访问。

你的想法/意见是什么？还有其他方法可以更好地放置这些组件吗？也许这方面有一些Citrix的建议？

Answer 1

如果不访问它背后的局域网，您就无法部署citrix netscaler .请记住，您希望向用户安全地提供对虚拟桌面的访问权限，因此netscaler必须能够将流量转发到托管服务器！

当然，您可以切断LDAP身份验证，并建立某种身份验证服务器( Netscaler / VPX实例具有这样的选项)。但在我看来，这是没有意义的，并创造了大量的工作之后。

唯一有意义的是将netscaler / LDAP服务器(可能是windows域控制器)和Windows终端服务器移动到自己的专用局域网(VLAN)，以便将其与网络的其他部分分离开来。而且，您可以在netscaler和托管服务器之间部署防火墙，因为使用中的端口是众所周知的。

编辑对以下评论的回应：

• 在netscaler前面的vpn让你无处可寻--从攻击者的角度来看，不管他攻击的是IP a.b.c.d还是IP .
• 2FA是可能的，并得到Citrix的支持，这肯定是增加安全性的一个选项。请记住，用户每次登录时都需要输入2FA，因此这可能会造成一些“烦恼”.
• 在虚拟桌面部署中，您可以定义一组用户组，这些用户组允许访问部署，因此您可以定义一个不包含任何域管理的组--禁止域管理员从外部登录是一个好主意.
• 别忘了防火墙！如果您的netscaler被破坏，防火墙是您的第一道防线！