Citrix NetScaler als Ersatz für Microsoft TMG/ISA

Wachablösung

Seit Microsoft das Threat Management Gateway (TMG), den Nachfolger des Internetsecurity and Acceleration Servers (ISA) abgekündigt hat, sind Unternehmen auf der Suche nach einem adäquaten Ersatz. In diese Bresche springt Citrix mit seinen verschiedenen NetScaler-Produkten.
ADMIN 11/13 stellt die besten Lösungen vor und klärt, ob Browser-Plugins, Anonymisierer sowie Verschlüsselung wirklich helfen. Weitere Themen: Small ... (mehr)

NetScaler ist ein Netzwerkprodukt. Es funktioniert als Anwendungsbeschleuniger und Firewall. Die Integration des Produktes übernimmt in Unternehmen also am besten die Netzwerkabteilung, da der Netzwerkverkehr direkt beeinflusst und gesteuert wird. Die Komplexität von NetScaler übersteigt bei weitem die Verwaltung von Citrix-Produkten wie XenDesktop oder XenApp. Das heißt, Sie sollten das Produkt bei aller Einfachheit nicht unterschätzen. NetScaler ist außerdem auch noch der Nachfolger des Access Gateways, also des Produkts, mit dem Sie XenDesktop und XenApp im Internet bereitstellen. Doch dazu später mehr.

Abbildung 1: Citrix NetScaler kann über Assistenten auch Exchange, SharePoint und Lync im Internet zur Verfügung stellen.

Citrix selbst deklariert seine NetScaler-Produkte als optimalen Ersatz für Microsofts TMG. Ein entsprechendes Whitepaper stellt der Hersteller als PDF-Dokument zur Verfügung [1]. Der Hauptvorteil von TMG waren die integrierten Assistenten, mit denen sich Exchange-Dienste, Lync und SharePoint effizient im Internet anbieten ließen. In diese Lücke springt Citrix mit seinen NetScaler-Produkten, die alle Funktionen von TMG beherrschen sollen. NetScaler hat ebenfalls Assistenten und Vorlagen integriert, um die Konfiguration möglichst einfach zu halten. Doch das ist noch nicht alles.

Abbildung 2: Die Verwaltungsoberfläche von NetScaler ist webbasiert. Hier lassen sich alle Einstellungen vornehmen.

Was kann NetScaler?

Citrix NetScaler kann Nutzern des öffentlichen Internets webbasierte Dienste wie Exchange, Lync und SharePoint sicher aus dem internen Netzwerk zur Verfügung stellen. Man könnte auch sagen, dass NetScaler diese Dienste ins Internet veröffentlicht. Zusätzlich beherrscht NetScaler auch Loadbalancing sowie die Layer-4-Verbindungsverwaltung, das Filtern von Inhalten, URL-Filterung und -Rewriting. Auch Netzwerkzugriffsschutz, VPN und mehr lassen sich mit NetScaler verwenden. Darüber hinaus kann der Admin auch noch Programme wie einen Virenscanner integrieren und einrichten. Es gibt verschiedene Editionen und Versionen, die unterschiedliche Netzwerkbandbreiten unterstützen.

NetScaler ist auch der Nachfolger des Citrix Access Gateways; es heißt Citrix NetScaler Access Gateway. Es ermöglicht die sichere Veröffentlichung von XenDesktop und XenApps im Internet und unsicheren Netzwerken. Die Verwaltung dieser Veröffentlichungen findet in der gleichen Weboberfläche statt, die auch die Firewall-Funktionen steuert.

NetScaler-Produkte im Vergleich

NetScaler steht in verschiedenen Versionen und Editionen zur Verfügung. Zum einen bietet Citrix die Lösung als Hardware-Appliance an, zum anderen als virtuelle Software für VMware, XenServer und Hyper-V. Die Hardware-basierten Appliances tragen die Bezeichnung NetScaler MPX und bieten einen Durchsatz von 500 MBit/s bis 120 GBit/s (laut Hersteller). Es gibt verschiedene Geräte mit unterschiedlichen Ausrichtungen und Leistungsstufen [2].

Die Software-basierten Appliances schaffen laut Citrix Datenmengen von 10 MBit/s bis 3 GBit/s und tragen die Bezeichnung NetScaler VPX. Diese lassen sich mit VMware, Hyper-V und XenServer virtualisieren. Citrix stellt dazu Testversionen auf Basis von virtuellen Servern für den Download bereit. Offiziell unterstützt NetScaler XenServer ab 5.6, VMware ESX(i) ab Version 3.5 und Windows Server 2008 R2. In unseren Tests konnten wir NetScaler VPX auch auf Servern mit Windows Server 2012 und Hyper-V importieren. Die Leistung der VPX-Versionen hängt selbstverständlich stark vom zugrunde liegenden physikalischen Server ab.

Weitere Editionen sind SDX und AWS. NetScaler SDX ist für sehr große Netzwerke entwickelt worden und besteht ebenfalls aus einer Hardware-basierten Appliance, bietet aber Virtualisierung und bis zu 40 parallele NetScaler-Instanzen mit einem Durchsatz bis zu 50 GBit/s. SDX ist daher vor allem für Internetprovider und Cloud-Dienstleister gedacht. AWS baut auf die Amazon Web Services auf und ist ein komplett webbasierter Dienst.

Viele Unternehmen setzen auf die günstige, virtuelle Umgebung VPX. Sie hat den gleichen Funktionsumfang wie die MPX-Modelle, kann große Datenmengen aber nicht so schnell verarbeiten. Der größte Vorteil der VPX-Version ist die schnelle Bereitstellung über virtuelle Maschinen. MPX-Modelle haben dagegen Vorteile bei der Datenverschlüsselung, etwa im Bereich SSL-Offloading. Dazu verfügen die Hardware-Modelle über spezielle Verschlüsselungskarten. Bei VPX-Modellen übernehmen die virtuellen Server die Verschlüsselung, was deutlich langsamer ist.

Die Verwaltung der Editionen ist weitgehend identisch. Admins können die webbasierte, grafische Oberfläche verwenden oder per SSH Befehle auf Kommandozeilenebene absetzen.

Die Versionen MPX, VPX, SDX und AWS bietet der Hersteller in den Ausbaustufen Standard, Platin und Enterprise an. Citrix stellt die Unterschiede der verschiedenen Editionen übersichtlich in einem Datenblatt dar [3].

Abbildung 3: Citrix NetScaler können Sie auch mit Hyper-V testen und virtualisieren.

Für NetScaler VPX gibt es noch mehr Varianten [4], die sich vor allem in der Geschwindigkeit unterscheiden. Unternehmen können dabei problemlos von kleineren VPX-Modellen auf größere Modelle wechseln. Das zusätzliche Lizenzieren von weiteren Funktionen können Sie in der Weboberfläche oder per SSH vornehmen. Die Einstellungen dazu sind in der Weboberfläche im Bereich »System | Licenses« zu finden.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019