Introducción al proxy de reenvío SSL

Importante:

  • La comprobación OCSP requiere una conexión a Internet para comprobar la validez de los certificados. Si el dispositivo no es accesible desde Internet mediante la dirección NSIP, agregue listas de control de acceso (ACL) para realizar NAT desde la dirección NSIP a la dirección IP de la subred (SNIP). El SNIP debe ser accesible desde Internet. Por ejemplo,

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255
    
     add rnat RNAT-1 a1 -natIP <SNIP>
    
     bind rnat RNAT-1 -natIP <SNIP>
    
     apply acls
    
  • Especifique un servidor de nombres DNS para resolver nombres de dominio.
  • Asegúrese de que la fecha del dispositivo está sincronizada con los servidores NTP. Si la fecha no está sincronizada, el dispositivo no puede comprobar de manera efectiva si un certificado de servidor de origen está caducado.

Para utilizar la función de proxy de reenvío SSL, debe realizar las siguientes tareas:

  • Agregue un servidor proxy en modo explícito o transparente.
  • Habilitar la intercepción SSL.
    • Configure un perfil SSL.
    • Agregue y vincule directivas SSL al servidor proxy.
    • Agregue y vincule un par de claves de certificado de CA para la intercepción SSL.

Nota:

Un dispositivo ADC configurado en modo proxy transparente puede interceptar solo los protocolos HTTP y HTTPS. Para omitir cualquier otro protocolo, como telnet, debe agregar la siguiente directiva de escucha en el servidor virtual proxy.

El servidor virtual ahora acepta solo el tráfico entrante HTTP y HTTPS.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`

Es posible que deba configurar las siguientes funciones, dependiendo de la implementación:

  • Servicio de autenticación (recomendado): Para autenticar a los usuarios. Sin el Servicio de autenticación, la actividad del usuario se basa en la dirección IP del cliente.
  • Filtrado de URL: Para filtrar las URL por categorías, puntuación de reputación y listas de URL.
  • Análisis: Para ver la actividad del usuario, los indicadores de riesgo del usuario, el consumo de ancho de banda y las transacciones desglosadas en Citrix Application Delivery Management (ADM).

Nota: SSL Forward Proxy implementa la mayoría de los estándares HTTP y HTTPS más típicos seguidos de productos similares. Esta implementación se realiza sin ningún explorador específico en mente y es compatible con los exploradores más comunes. SSL Forward Proxy ha sido probado con exploradores comunes y versiones recientes de Google Chrome, Internet Explorer y Mozilla Firefox.

Asistente de proxy de reenvío SSL

El asistente de proxy de reenvío SSL proporciona a los administradores una herramienta para administrar toda la implementación de proxy de reenvío SSL mediante un explorador web. Ayuda a guiar a los clientes a crear rápidamente un servicio proxy de reenvío SSL y ayuda a simplificar la configuración siguiendo una secuencia de pasos bien definidos.

  1. Vaya a Seguridad > Proxy de reenvío SSL. En Introducción, haga clic en Asistente para proxy de reenvío SSL.

    Imagen localizada

  2. Siga los pasos del asistente para configurar la implementación.

Agregar una directiva de escucha al servidor proxy transparente

  1. Vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy. Seleccione el servidor proxy transparente y haga clic en Modificar.

  2. Modifique la configuración básica y haga clic en Más.

  3. En Prioridad de escucha, escriba 1.

  4. En Expresión de directiva de escucha, escriba la siguiente expresión:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

    Esta expresión asume puertos estándar para el tráfico HTTP y HTTPS. Si ha configurado puertos diferentes, por ejemplo 8080 para HTTP o 8443 para HTTPS, modifique la expresión para reflejar esos puertos.

Limitaciones

El proxy de reenvío SSL no se admite en una configuración de clúster, en particiones administrativas ni en un dispositivo Citrix ADC FIPS.