ADC

Introducción a la función de proxy de reenvío SSL

Importante:

  • La comprobación de OCSP requiere una conexión a Internet para comprobar la validez de los certificados. Si no se puede acceder a su dispositivo desde Internet mediante la dirección NSIP, agregue listas de control de acceso (ACL) para realizar NAT desde la dirección NSIP a la dirección IP de subred (SNIP). El SNIP debe poder acceder a Internet. Por ejemplo:

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP “!=” 10.0.0.0-10.255.255.255
    
     add rnat RNAT-1 a1
    
     bind rnat RNAT-1 <SNIP>
    
     apply acls
     <!--NeedCopy-->
    
  • Especifique un servidor de nombres DNS para resolver los nombres de dominio.
  • Asegúrese de que la fecha del dispositivo esté sincronizada con los servidores NTP. Si la fecha no está sincronizada, el dispositivo no puede verificar eficazmente si un certificado del servidor de origen está caducado.

Para usar la función de proxy de reenvío SSL, debe realizar las siguientes tareas:

  • Agregue un servidor proxy en modo explícito o transparente.
  • Habilite la intercepción de SSL.
    • Configure un perfil SSL.
    • Agregue y vincule directivas SSL al servidor proxy.
    • Agregue y vincule un par de claves de certificado de CA para la interceptación de SSL.

Nota:

Un dispositivo ADC configurado en modo proxy transparente puede interceptar solo los protocolos HTTP y HTTPS. Para omitir cualquier otro protocolo, como telnet, debe agregar la siguiente directiva de escucha en el servidor virtual proxy.

El servidor virtual ahora solo acepta tráfico entrante HTTP y HTTPS.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`
<!--NeedCopy-->

Es posible que tenga que configurar las siguientes funciones, en función de su implementación:

  • Servicio de autenticación (recomendado): para autenticar a los usuarios. Sin el servicio de autenticación, la actividad del usuario se basa en la dirección IP del cliente.
  • Filtrado de URL: Para filtrar las URL por categorías, puntuación de reputación y listas de URL.
  • Análisis: Para ver la actividad del usuario, los indicadores de riesgo del usuario, el consumo de ancho de banda y el desglose de las transacciones en NetScaler Application Delivery Management (ADM).

Nota: El proxy de reenvío SSL implementa los estándares HTTP y HTTPS más comunes, seguidos de productos similares. Esta implementación se realiza sin tener en cuenta un explorador web específico y es compatible con los exploradores más comunes. SSL Forward Proxy se ha probado con exploradores comunes y versiones recientes de Google Chrome, Internet Explorer y Mozilla Firefox.

Asistente para proxy de reenvío SSL

El asistente de proxy de reenvío SSL proporciona a los administradores una herramienta para administrar toda la implementación del proxy de reenvío SSL mediante un explorador web. Ayuda a guiar a los clientes para que pongan en marcha un servicio de proxy de reenvío SSL rápidamente y ayuda a simplificar la configuración siguiendo una secuencia de pasos bien definidos.

  1. Vaya a Seguridad > Proxy de reenvío SSL. En Introducción, haga clic en Asistente para proxy de reenvío SSL.

    Nuevo asistente

  2. Siga los pasos del asistente para configurar la implementación.

Agregar una directiva de escucha al servidor proxy transparente

  1. Vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy. Seleccione el servidor proxy transparente y haga clic en Modificar.

  2. Modifique Configuración básica y haga clic en Más.

  3. En Prioridad de escucha, introduzca 1.

  4. En Expresión de directiva de escucha, introduzca la siguiente expresión:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

    Esta expresión supone puertos estándar para el tráfico HTTP y HTTPS. Si ha configurado puertos diferentes, por ejemplo, 8080 para HTTP u 8443 para HTTPS, modifique la expresión para reflejar esos puertos.

Limitaciones

El proxy de reenvío SSL no se admite en una configuración de clúster, en particiones administrativas ni en un dispositivo NetScaler FIPS.

Introducción a la función de proxy de reenvío SSL