Proxy-Modi

Die Citrix Secure Web Gateway (SWG) -Appliance fungiert als Client-Proxy, um eine Verbindung mit dem Internet und SaaS-Anwendungen herzustellen. Als Proxy akzeptiert es den gesamten Datenverkehr und bestimmt das Protokoll des Datenverkehrs. Sofern der Datenverkehr nicht HTTP oder SSL ist, wird er so wie er ist an das Ziel weitergeleitet. Wenn die Appliance eine Anforderung von einem Client empfängt, fängt sie die Anforderung ab und führt einige Aktionen aus, z. B. Benutzerauthentifizierung, Sitekategorisierung und Umleitung. Es verwendet Richtlinien, um zu bestimmen, welcher Datenverkehr zugelassen und welcher Datenverkehr gesperrt werden soll.

Die Appliance verwaltet zwei verschiedene Sitzungen, eine zwischen dem Client und dem Proxy und die andere zwischen dem Proxy und dem Ursprungsserver. Der Proxy stützt sich auf kundendefinierte Richtlinien, um HTTP- und HTTPS-Datenverkehr zuzulassen oder zu blockieren. Daher ist es wichtig, dass Sie Richtlinien definieren, um vertrauliche Daten, z. B. Finanzinformationen, zu umgehen. Die Appliance bietet eine Reihe von Layer-4-zu-Layer-7-Datenverkehrsattributen und Benutzeridentitätsattributen zum Erstellen von Datenverkehrsmanagementrichtlinien.

Bei SSL-Datenverkehr überprüft der Proxy das Zertifikat des Ursprungsservers und stellt eine legitime Verbindung mit dem Server her. Anschließend emuliert er das Serverzertifikat, signiert es mit einem auf Citrix SWG installierten Zertifizierungsstellenzertifikat und präsentiert das erstellte Serverzertifikat dem Client. Sie müssen das Zertifizierungsstellenzertifikat als vertrauenswürdiges Zertifikat zum Browser des Clients hinzufügen, damit die SSL-Sitzung erfolgreich eingerichtet wird.

Die Appliance unterstützt transparente und explizite Proxy-Modi. Im expliziten Proxymodus muss der Client eine IP-Adresse in seinem Browser angeben, es sei denn, die Organisation verschiebt die Einstellung auf das Gerät des Clients. Diese Adresse ist die IP-Adresse eines Proxy-Servers, der auf der SWG-Appliance konfiguriert ist. Alle Client-Anfragen werden an diese IP-Adresse gesendet. Für einen expliziten Proxy müssen Sie einen virtuellen Server mit Content Switching vom Typ PROXY konfigurieren und eine IP-Adresse und eine gültige Portnummer angeben.

Transparenter Proxy ist, wie der Name schon sagt, für den Client transparent. Das heißt, die Clients wissen möglicherweise nicht, dass ein Proxyserver ihre Anforderungen vermittelt. Die SWG-Appliance ist in einer Inline-Bereitstellung konfiguriert und akzeptiert transparent den gesamten HTTP- und HTTPS-Datenverkehr. Für transparenten Proxy müssen Sie einen virtuellen Server mit Content Switching vom Typ PROXY mit Sternchen (* *) als IP-Adresse und Port konfigurieren. Wenn Sie den Secure Web Gateway-Assistenten in der GUI verwenden, müssen Sie keine IP-Adresse und keinen Port angeben.

Hinweis

Wenn Sie andere Protokolle als HTTP und HTTPS im transparenten Proxymodus abfangen möchten, müssen Sie eine Abhörrichtlinie hinzufügen und an den Proxyserver binden.

Konfigurieren von SSL-Forward-Proxy mit der Citrix SWG-CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add cs vserver <name> PROXY <ipaddress> <port>

Argumente:

Name:

          Name für den Proxy-Server. Muss mit einem alphanumerischen ASCII-Zeichen oder Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstrich, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), gleich (=) und Bindestrich (-) Zeichen enthalten. Kann nicht geändert werden, nachdem der virtuelle CS Server erstellt wurde.

Die folgende Anforderung gilt nur für die CLI:

          Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. mein Server oder mein Server").

          Dies ist ein obligatorisches Argument. Maximale Länge: 127

IP-Adresse:

          IP-Adresse des Proxy-Servers.

Anschluss:

          Portnummer für Proxy-Server. Mindestwert: 1

Beispiel für expliziten Proxy:

add cs vserver swgVS PROXY 192.0.2.100 80

Beispiel für transparenten Proxy:

add cs vserver swgVS PROXY * *

Hinzufügen einer Abhörrichtlinie zum transparenten Proxyserver mit der Citrix SWG-GUI

  1. Navigieren Sie zu Secure Web Gateway > Proxyserver . Wählen Sie den transparenten Proxyserver aus, und klicken Sie auf Bearbeiten.
  2. Bearbeiten Sie die Grundeinstellungen, und klicken Sie auf Mehr.
  3. Geben Sie unter Listenpriorität1 ein.
  4. Geben Sie im Listenrichtlinienausdruckden folgenden Ausdruck ein:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

Hinweis

Dieser Ausdruck setzt Standardports für HTTP- und HTTPS-Datenverkehr voraus. Wenn Sie verschiedene Ports konfiguriert haben, z. B. 8080 für HTTP oder 8443 für HTTPS, ändern Sie den obigen Ausdruck, um diese Ports anzugeben.