Introducción a un dispositivo Citrix ADC MPX y VPX SWG

Después de instalar el dispositivo de hardware (MPX) o software (VPX) y realizar la configuración inicial, está listo para configurarlo como un dispositivo de puerta de enlace web seguro para recibir tráfico.

Importante:

  • La comprobación OCSP requiere una conexión a Internet para comprobar la validez de los certificados. Si el dispositivo no es accesible desde Internet mediante la dirección NSIP, agregue listas de control de acceso (ACL) para realizar NAT desde la dirección NSIP a la dirección IP de subred (SNIP). El SNIP debe ser accesible desde Internet. Por ejemplo:

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255
    
     set rnat a1 -natIP <SNIP>
    
     apply acls
    
  • Especifique un servidor de nombres DNS para resolver nombres de dominio. Para obtener más información, consulte Configuración inicial.
  • Asegúrese de que la fecha del dispositivo esté sincronizada con los servidores NTP. Si la fecha no está sincronizada, el dispositivo no puede verificar efectivamente si un certificado de servidor de origen está caducado.

Para utilizar el dispositivo Citrix SWG, debe realizar las siguientes tareas:

  • Agregar un servidor proxy en modo explícito o transparente.
  • Habilite la interceptación SSL.
    • Configurar un perfil SSL.
    • Agregue y vincule directivas SSL al servidor proxy.
    • Agregue y vincule un par de claves de certificado de CA para la interceptación SSL.

Nota: Un dispositivo Citrix SWG configurado en modo proxy transparente sólo puede interceptar protocolos HTTP y HTTPS. Para omitir cualquier otro protocolo, como telnet, debe agregar la siguiente directiva de escucha en el servidor virtual proxy.

El servidor virtual ahora acepta sólo el tráfico entrante HTTP y HTTPS.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`

Es posible que deba configurar las siguientes características, en función de la implementación:

  • Servicio de autenticación (recomendado): para autenticar usuarios. Sin el Servicio de autenticación, la actividad del usuario se basa en la dirección IP del cliente.
  • Filtrado de URL: para filtrar URL por categorías, puntuación de reputación y listas de URL.
  • Análisis: para ver la actividad del usuario, los indicadores de riesgo del usuario, el consumo de ancho de banda y las transacciones desgloses en Citrix Application Delivery Management (ADM).

Nota: SWG implementa la mayoría de los estándares HTTP y HTTPS típicos seguidos de productos similares. Esta implementación se realiza sin un navegador específico en mente y es compatible con la mayoría de los navegadores comunes. SWG ha sido probado con navegadores comunes y versiones recientes de Google Chrome, Internet Explorer y Mozilla Firefox.

Asistente para puerta de enlace web segura

El asistente SWG proporciona a los administradores una herramienta para administrar toda la implementación SWG mediante un explorador Web. Ayuda a guiar a los clientes para que pongan en marcha un servicio SWG rápidamente y ayuda a simplificar la configuración siguiendo una secuencia de pasos bien definidos.

  1. Abra su navegador web e introduzca la dirección NSIP que especificó durante la configuración inicial. Para obtener más información acerca de la configuración inicial, consulteConfiguración inicial.

  2. Introduzca su nombre de usuario y contraseña.

    Imagen localizada

  3. Si no ha especificado una dirección IP de subred (SNIP), aparecerá la siguiente pantalla.

    Imagen localizada

    En Dirección IP de subred, escriba una dirección IP y una máscara de subred. La marca de verificación en un círculo verde indica que el valor está configurado.

  4. En Nombre de host, Dirección IP DNS y Zona horaria, agregue la dirección IP de un servidor DNS para resolver nombres de dominio y especifique la zona horaria.

  5. Haga clic en Continuar.

  6. (Opcional) Es posible que vea un signo de exclamación, como sigue:

    Imagen localizada

    Esta marca indica que la función no está habilitada. Para habilitar la función, haga clic con el botón derecho en la función y, a continuación, haga clic en Habilitar función.

    Imagen localizada

  7. En el panel de exploración, haga clic en Secure Web Gateway. En Introducción, haga clic en Asistente para Secure Web Gateway.

    Imagen localizada

  8. Siga los pasos del asistente para configurar la implementación.

Agregar una directiva de escucha al servidor proxy transparente

  1. Vaya a Secure Web Gateway > Servidores proxy . Seleccione el servidor proxy transparente y haga clic en Editar.

  2. Edite Configuración básicay haga clic en Más.

  3. En Prioridad de escucha, escriba 1.

  4. En Expresión de directiva de escucha, escriba la siguiente expresión:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

    Esta expresión asume puertos estándar para el tráfico HTTP y HTTPS. Si ha configurado puertos diferentes, por ejemplo 8080 para HTTP o 8443 para HTTPS, modifique la expresión para reflejar esos puertos.

Limitaciones

SWG no se admite en una configuración de clúster, en particiones de administración ni en un dispositivo FIPS Citrix ADC.