ADC

Modos de proxy

El dispositivo NetScaler actúa como proxy del cliente para conectarse a Internet y a las aplicaciones SaaS. Como proxy, acepta todo el tráfico y determina el protocolo del tráfico. A menos que el tráfico sea HTTP o SSL, se reenvía al destino tal cual. Cuando el dispositivo recibe una solicitud de un cliente, la intercepta y realiza algunas acciones, como la autenticación del usuario, la categorización del sitio y la redirección. Utiliza directivas para determinar qué tráfico se debe permitir y qué tráfico se debe bloquear.

El dispositivo mantiene dos sesiones diferentes, una entre el cliente y el proxy y la otra entre el proxy y el servidor de origen. El proxy se basa en directivas definidas por el cliente para permitir o bloquear el tráfico HTTP y HTTPS. Por lo tanto, es importante que defina directivas para omitir los datos confidenciales, como la información financiera. El dispositivo ofrece un amplio conjunto de atributos de tráfico de capas 4 a 7 y atributos de identidad de usuario para crear directivas de administración del tráfico.

Para el tráfico SSL, el proxy verifica el certificado del servidor de origen y establece una conexión legítima con el servidor. A continuación, emula el certificado del servidor, lo firma mediante un certificado de CA instalado en NetScaler y presenta el certificado de servidor creado al cliente. Debe agregar el certificado de CA como certificado de confianza al navegador del cliente para que la sesión SSL se establezca correctamente.

El dispositivo admite los modos de proxy transparentes y explícitos. En el modo proxy explícito, el cliente debe especificar una dirección IP en su navegador, a menos que la organización introduzca la configuración en el dispositivo del cliente. Esta dirección es la dirección IP de un servidor proxy que está configurado en el dispositivo ADC. Todas las solicitudes de los clientes se envían a esta dirección IP. Para el proxy explícito, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY y especificar una dirección IP y un número de puerto válido. Además, cuando el parámetro markconnReqInval se establece en ON de forma global en el perfil HTTP predeterminado, debe vincular otro perfil HTTP con markconnReqInval el valor DESACTIVADO al servidor virtual de conmutación de contenido.

Ejemplo para vincular un perfil HTTP personalizado al servidor virtual de conmutación de contenido proxy:

add ns httpprofile custom_http_profile1 -markconnReqInval OFF
set cs vserver swgVS -httpprofileName custom_http_profile1
<!--NeedCopy-->

Un proxy transparente, como su nombre indica, es transparente para el cliente. Es decir, es posible que los clientes no sepan que un servidor proxy está mediando sus solicitudes. El dispositivo ADC está configurado en una implementación en línea y acepta de forma transparente todo el tráfico HTTP y HTTPS. Para un proxy transparente, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY, con asteriscos (* *) como dirección IP y puerto. Al utilizar el asistente de reenvío de proxy SSL en la GUI, no es necesario especificar una dirección IP ni un puerto.

Nota

Para interceptar protocolos distintos de HTTP y HTTPS en el modo proxy transparente, debe agregar una directiva de escucha y vincularla al servidor proxy.

Configurar un proxy de reenvío SSL mediante la CLI

En la línea de comandos, escriba:

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

Argumentos:

Nombre:

Nombre del servidor proxy. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar una vez creado el servidor virtual CS.

El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, escríbalo entre comillas dobles o simples (por ejemplo, “mi servidor” o “mi servidor”).

Este argumento es obligatorio. Longitud máxima: 127

Dirección IP:

Dirección IP del servidor proxy.

Puerto:

Número de puerto del servidor proxy. Valor mínimo: 1

Ejemplo de proxy explícito:

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

Ejemplo de proxy transparente:

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

Agregue una directiva de escucha al servidor proxy transparente mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy. Seleccione el servidor proxy transparente y haga clic en Modificar.
  2. Modifique Configuración básica y haga clic en Más.
  3. En Prioridad de escucha, introduzca 1.
  4. En Expresión de directiva de escucha, introduzca la siguiente expresión:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

Nota

Esta expresión supone puertos estándar para el tráfico HTTP y HTTPS. Si ha configurado diferentes puertos, por ejemplo 8080 para HTTP u 8443 para HTTPS, modifique la expresión anterior para especificar esos puertos.

Bloquear puertos ascendentes privilegiados

Para bloquear el acceso a los puertos ascendentes privilegiados (<1024), excepto los puertos 80 y 443, mediante el proxy de reenvío, vincule la siguiente directiva de respuesta al servidor virtual de conmutación de contenido del proxy de reenvío en modo explícito.

Uso de la CLI

En la línea de comandos, escriba:

add responder policy web_only "(HTTP.REQ.METHOD.EQ(CONNECT) && (HTTP.REQ.HOSTNAME.PORT.LT(1024) && HTTP.REQ.HOSTNAME.PORT.NE(":80") && HTTP.REQ.HOSTNAME.PORT.NE(":443") && HTTP.REQ.HOSTNAME.PORT.LENGTH.NE(0))  || (HTTP.REQ.URL.AFTER_STR(":").TYPECAST_NUM_AT.NE(80) &&
HTTP.REQ.URL.AFTER_STR(":").TYPECAST_NUM_AT.NE(443) && HTTP.REQ.URL.AFTER_STR(":").TYPECAST_NUM_AT.LE(1024) ) )" RESET
bind cs vserver <proxy_vs_name> -policyName web_only -priority 9 -gotoPriorityExpression END -type REQUEST
<!--NeedCopy-->

Uso de la GUI

  1. Vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy.
  2. Agregue un servidor virtual proxy o seleccione un servidor virtual y haga clic en Modificar.
  3. En Configuración avanzada, haga clic en Directivas.
  4. En Elegir directiva, seleccione Responder. Haga clic en Continuar.
  5. Haga clic en Add Binding.
  6. En Vinculación de directivas, haga clic en Haga clic para seleccionar.
  7. Haga clic en Add para agregar una nueva directiva.
  8. Indique el nombre de la directiva, seleccione la acción como RESET y actualice la expresión en consecuencia para la GUI.
  9. Haga clic en Crear.
  10. Haga clic en Seleccionar.
  11. En Vinculación de directivas, asigne una prioridad y haga clic en Vincular.
  12. Haga clic en Cerrar.
  13. Haga clic en Listo.
Modos de proxy