Erste Schritte mit SSL-Forward-Proxy

Wichtig:

  • OCSP-Prüfung erfordert eine Internetverbindung, um die Gültigkeit von Zertifikaten zu überprüfen. Wenn die Appliance über die NSIP-Adresse nicht über das Internet zugegriffen werden kann, fügen Sie Zugriffssteuerungslisten (ACLs) hinzu, um NAT von der NSIP-Adresse zur Subnetz-IP-Adresse (SNIP) auszuführen. Das SNIP muss über das Internet zugänglich sein. Beispiel:

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255
    
     add rnat RNAT-1 a1 -natIP <SNIP>
    
     bind rnat RNAT-1 -natIP <SNIP>
    
     apply acls
    
  • Geben Sie einen DNS-Namensserver an, um Domänennamen aufzulösen.
  • Stellen Sie sicher, dass das Datum auf der Appliance mit den NTP-Servern synchronisiert ist. Wenn das Datum nicht synchronisiert wird, kann die Appliance nicht effektiv überprüfen, ob es sich bei einem Ursprungsserverzertifikat um ein abgelaufenes Zertifikat handelt.

Um das SSL-Forward-Proxy-Feature zu verwenden, müssen Sie die folgenden Aufgaben ausführen:

  • Fügen Sie einen Proxy-Server im expliziten oder transparenten Modus hinzu.
  • Aktivieren Sie SSL-Interception.
    • Konfigurieren Sie ein SSL-Profil.
    • Fügen Sie SSL-Richtlinien hinzu und binden Sie sie an den Proxyserver.
    • Fügen Sie ein Zertifizierungsstellen-Zertifikatschlüsselpaar für SSL-Interception hinzu und binden Sie sie.

Hinweis:

Eine im transparenten Proxy-Modus konfigurierte ADC-Appliance kann nur HTTP- und HTTPS-Protokolle abfangen. Um andere Protokolle wie Telnet zu umgehen, müssen Sie die folgende Abhörrichtlinie auf dem virtuellen Proxyserver hinzufügen.

Der virtuelle Server akzeptiert jetzt nur den eingehenden HTTP- und HTTPS-Datenverkehr.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`

Je nach Bereitstellung müssen Sie möglicherweise die folgenden Funktionen konfigurieren:

  • Authentifizierungsdienst (empfohlen) — zur Authentifizierung von Benutzern. Ohne den Authentifizierungsdienst basiert die Benutzeraktivität auf der Client-IP-Adresse.
  • URL-Filter — zum Filtern von URLs nach Kategorien, Reputationsbewertung und URL-Listen.
  • Analytics: Zum Anzeigen von Benutzeraktivitäten, Benutzerrisikoindikatoren, Bandbreitenverbrauch und Transaktionen in Citrix Application Delivery Management (ADM).

Hinweis: SSL Forward Proxy implementiert die meisten typischen HTTP- und HTTPS-Standards, gefolgt von ähnlichen Produkten. Diese Implementierung wird ohne einen bestimmten Browser durchgeführt und ist mit den meisten gängigen Browsern kompatibel. SSL Forward Proxy wurde mit gängigen Browsern und aktuellen Versionen von Google Chrome, Internet Explorer und Mozilla Firefox getestet.

SSL-Weiterleitungs-Proxy-Assistent

Der SSL-Forward-Proxyassistent stellt Administratoren ein Tool zur Verfügung, mit dem die gesamte SSL-Forward-Proxybereitstellung mithilfe eines Webbrowsers verwaltet werden kann. Es hilft den Kunden dabei, einen SSL-Forward-Proxydienst schnell einzurichten, und vereinfacht die Konfiguration durch eine Reihe von klar definierten Schritten.

  1. Navigieren Sie zu Sicherheit > SSL-Forward-Proxy. Klicken Sie unter Erste Schritteauf SSL-Forward-Proxy-Assistent.

    lokalisiertes Bild

  2. Führen Sie die Schritte im Assistenten aus, um Ihre Bereitstellung zu konfigurieren.

Hinzufügen einer Listenrichtlinie zum transparenten Proxyserver

  1. Navigieren Sie zu Sicherheit > SSL-Forward-Proxy> Virtuelle Proxy-Server . Wählen Sie den transparenten Proxyserver aus, und klicken Sie auf Bearbeiten.

  2. Bearbeiten Sie die Grundeinstellungen, und klicken Sie auf Mehr.

  3. Geben Sie unter Listenpriorität1 ein.

  4. Geben Sie unter „ Richtlinienausdruck hören“ den folgenden Ausdruck ein:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

    Dieser Ausdruck setzt Standardports für HTTP- und HTTPS-Datenverkehr voraus. Wenn Sie verschiedene Ports konfiguriert haben, z. B. 8080 für HTTP oder 8443 für HTTPS, ändern Sie den Ausdruck so, dass er diese Ports widerspiegelt.

Einschränkungen

SSL-Forwardproxy wird in einem Cluster-Setup, in Adminpartitionen und auf einer Citrix ADC FIPS-Appliance nicht unterstützt.