Modos de proxy

El dispositivo Citrix Secure Web Gateway (SWG) actúa como proxy de un cliente para conectarse a Internet y aplicaciones SaaS. Como proxy, acepta todo el tráfico y determina el protocolo del tráfico. A menos que el tráfico sea HTTP o SSL, se reenvía al destino tal cual. Cuando el dispositivo recibe una solicitud de un cliente, la intercepta y realiza algunas acciones, como la autenticación de usuario, la categorización del sitio y la redirección. Utiliza directivas para determinar qué tráfico permitir y qué tráfico bloquear.

El dispositivo mantiene dos sesiones diferentes, una entre el cliente y el proxy y la otra entre el proxy y el servidor de origen. El proxy se basa en políticas definidas por el cliente para permitir o bloquear el tráfico HTTP y HTTPS. Por lo tanto, es importante que defina directivas para omitir datos confidenciales, como información financiera. El dispositivo ofrece un amplio conjunto de atributos de tráfico de capa 4 a capa 7 y atributos de identidad de usuario para crear directivas de administración del tráfico.

Para el tráfico SSL, el proxy verifica el certificado del servidor de origen y establece una conexión legítima con el servidor. A continuación, emula el certificado de servidor, lo firma con un certificado de CA instalado en Citrix SWG y presenta el certificado de servidor creado al cliente. Debe agregar el certificado de CA como certificado de confianza al explorador del cliente para que la sesión SSL se establezca correctamente.

El dispositivo admite modos proxy transparentes y explícitos. En modo proxy explícito, el cliente debe especificar una dirección IP en su navegador, a menos que la organización empuje la configuración en el dispositivo del cliente. Esta dirección es la dirección IP de un servidor proxy configurado en el dispositivo SWG. Todas las solicitudes de cliente se envían a esta dirección IP. Para proxy explícito, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY y especificar una dirección IP y un número de puerto válido.

El proxy transparente, como su nombre lo indica, es transparente para el cliente. Es decir, es posible que los clientes no tengan en cuenta que un servidor proxy está mediando sus solicitudes. El dispositivo SWG está configurado en una implementación en línea y acepta de forma transparente todo el tráfico HTTP y HTTPS. Para proxy transparente, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY, con asteriscos (* *) como dirección IP y puerto. Cuando se utiliza el asistente Secure Web Gateway en la GUI, no es necesario especificar una dirección IP y un puerto.

Nota

Para interceptar protocolos distintos de HTTP y HTTPS en modo proxy transparente, debe agregar una directiva de escucha y vincularla al servidor proxy.

Configurar el proxy de reenvío SSL mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

add cs vserver <name> PROXY <ipaddress> <port>

Argumentos:

Nombre:

          Nombre del servidor proxy. Debe comenzar con un carácter alfanumérico o de subrayado ASCII (_) y debe contener sólo caracteres ASCII alfanuméricos, subrayado, hash (#), punto (.), espacio, dos puntos (:), en (@), igual a (=) y guión (-). No se puede cambiar después de crear el servidor virtual CS.

El siguiente requisito sólo se aplica a la CLI:

          Si el nombre incluye uno o más espacios, encierre el nombre entre comillas dobles o simples (por ejemplo, “mi servidor” o “mi servidor”).

          Este es un argumento obligatorio. Longitud máxima: 127

Dirección IP:

Dirección          IP del servidor proxy.

puerto:

Número de          puerto para el servidor proxy. Valor mínimo: 1

Ejemplo de proxy explícito:

add cs vserver swgVS PROXY 192.0.2.100 80

Ejemplo de proxy transparente:

add cs vserver swgVS PROXY * *

Agregar una directiva de escucha al servidor proxy transparente mediante la GUI de Citrix SWG

  1. Vaya a Secure Web Gateway > Servidores proxy . Seleccione el servidor proxy transparente y haga clic en Editar.
  2. Edite Configuración básicay haga clic en Más.
  3. En Prioridad de escucha, escriba 1.
  4. En Expresión de directiva de escucha, escriba la siguiente expresión:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

Nota

Esta expresión asume puertos estándar para el tráfico HTTP y HTTPS. Si ha configurado puertos diferentes, por ejemplo 8080 para HTTP o 8443 para HTTPS, modifique la expresión anterior para especificar esos puertos.