ADC

Modos de proxy

El dispositivo Citrix ADC actúa como proxy del cliente para conectarse a Internet y a las aplicaciones SaaS. Como proxy, acepta todo el tráfico y determina el protocolo del tráfico. A menos que el tráfico sea HTTP o SSL, se reenvía al destino tal cual. Cuando el dispositivo recibe una solicitud de un cliente, la intercepta y realiza algunas acciones, como la autenticación del usuario, la categorización del sitio y la redirección. Utiliza directivas para determinar qué tráfico se debe permitir y qué tráfico se debe bloquear.

El dispositivo mantiene dos sesiones diferentes, una entre el cliente y el proxy y la otra entre el proxy y el servidor de origen. El proxy se basa en directivas definidas por el cliente para permitir o bloquear el tráfico HTTP y HTTPS. Por lo tanto, es importante que defina directivas para omitir los datos confidenciales, como la información financiera. El dispositivo ofrece un amplio conjunto de atributos de tráfico de capas 4 a 7 y atributos de identidad de usuario para crear directivas de administración del tráfico.

Para el tráfico SSL, el proxy verifica el certificado del servidor de origen y establece una conexión legítima con el servidor. A continuación, emula el certificado del servidor, lo firma con un certificado de CA instalado en Citrix ADC y presenta el certificado del servidor creado al cliente. Debe agregar el certificado de CA como certificado de confianza al navegador del cliente para que la sesión SSL se establezca correctamente.

El dispositivo admite los modos de proxy transparentes y explícitos. En el modo proxy explícito, el cliente debe especificar una dirección IP en su navegador, a menos que la organización introduzca la configuración en el dispositivo del cliente. Esta dirección es la dirección IP de un servidor proxy que está configurado en el dispositivo ADC. Todas las solicitudes de los clientes se envían a esta dirección IP. Para el proxy explícito, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY y especificar una dirección IP y un número de puerto válido. Además, cuando el parámetro markconnReqInval se establece en ON de forma global en el perfil HTTP predeterminado, debe vincular otro perfil HTTP con markconnReqInval establecido en DESACTIVADO al servidor virtual de conmutación de contenido.

Ejemplo para vincular un perfil HTTP personalizado al servidor virtual de conmutación de contenido proxy:

add ns httpprofile custom_http_profile1 -markconnReqInval OFF
set cs vserver swgVS -httpprofileName custom_http_profile1
<!--NeedCopy-->

El proxy transparente, como su nombre lo indica, es transparente para el cliente. Es decir, es posible que los clientes no sepan que un servidor proxy está mediando sus solicitudes. El dispositivo ADC está configurado en una implementación en línea y acepta de forma transparente todo el tráfico HTTP y HTTPS. Para un proxy transparente, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY, con asteriscos (* *) como dirección IP y puerto. Al utilizar el asistente de reenvío de proxy SSL en la GUI, no es necesario especificar una dirección IP ni un puerto.

Nota

Para interceptar protocolos distintos de HTTP y HTTPS en el modo proxy transparente, debe agregar una directiva de escucha y vincularla al servidor proxy.

Configurar el proxy de reenvío SSL mediante la CLI

En la línea de comandos, escriba:

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

Argumentos:

Nombre:

Nombre del servidor proxy. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar una vez creado el servidor virtual CS.

El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, escríbalo entre comillas dobles o simples (por ejemplo, “mi servidor” o “mi servidor”).

Este argumento es obligatorio. Longitud máxima: 127

Dirección IP:

Dirección IP del servidor proxy.

Puerto:

Número de puerto del servidor proxy. Valor mínimo: 1

Ejemplo de proxy explícito:

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

Ejemplo de proxy transparente:

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

Agregue una directiva de escucha al servidor proxy transparente mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy. Seleccione el servidor proxy transparente y haga clic en Modificar.
  2. Modifique Configuración básica y haga clic en Más.
  3. En Prioridad de escucha, introduzca 1.
  4. En Expresión de directiva de escucha, introduzca la siguiente expresión:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

Nota

Esta expresión supone puertos estándar para el tráfico HTTP y HTTPS. Si ha configurado diferentes puertos, por ejemplo 8080 para HTTP u 8443 para HTTPS, modifique la expresión anterior para especificar esos puertos.

Modos de proxy