Citrix Secure Web Gateway

Modos de proxy

April 27, 2021

Contribución de:

El dispositivo Citrix Secure Web Gateway (SWG) actúa como proxy de cliente para conectarse a Internet y aplicaciones SaaS. Como proxy, acepta todo el tráfico y determina el protocolo del tráfico. A menos que el tráfico sea HTTP o SSL, se reenvía al destino tal como está. Cuando el dispositivo recibe una solicitud de un cliente, intercepta la solicitud y realiza algunas acciones, como la autenticación de usuarios, la categorización de sitios y la redirección. Utiliza directivas para determinar qué tráfico permitir y qué tráfico bloquear.

El dispositivo mantiene dos sesiones diferentes, una entre el cliente y el proxy y la otra entre el proxy y el servidor de origen. El proxy se basa en directivas definidas por el cliente para permitir o bloquear el tráfico HTTP y HTTPS. Por lo tanto, es importante que defina directivas para eludir los datos confidenciales, como la información financiera. El dispositivo ofrece un amplio conjunto de atributos de tráfico de capa 4 a capa 7 y atributos de identidad de usuario para crear directivas de administración de tráfico.

Para el tráfico SSL, el proxy verifica el certificado del servidor de origen y establece una conexión legítima con el servidor. A continuación, emula el certificado del servidor, lo firma con un certificado de CA instalado en Citrix SWG y presenta el certificado de servidor creado al cliente. Debe agregar el certificado de CA como certificado de confianza al explorador del cliente para que la sesión SSL se establezca correctamente.

El dispositivo admite modos proxy transparentes y explícitos. En el modo proxy explícito, el cliente debe especificar una dirección IP en su explorador, a menos que la organización inserte la configuración en el dispositivo del cliente. Esta dirección es la dirección IP de un servidor proxy configurado en el dispositivo SWG. Todas las solicitudes del cliente se envían a esta dirección IP. Para proxy explícito, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY y especificar una dirección IP y un número de puerto válido.

Proxy transparente, como su nombre lo indica, es transparente para el cliente. Es decir, es posible que los clientes no sean conscientes de que un servidor proxy está mediando sus solicitudes. El dispositivo SWG está configurado en una implementación en línea y acepta de forma transparente todo el tráfico HTTP y HTTPS. Para proxy transparente, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY, con asteriscos (*) como dirección IP y puerto. Al utilizar el asistente Secure Web Gateway en la GUI, no es necesario especificar una dirección IP ni un puerto.

Nota

Para interceptar protocolos distintos de HTTP y HTTPS en modo proxy transparente, debe agregar una directiva de escucha y vincularla al servidor proxy.

Configurar proxy de reenvío SSL mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

Argumentos:

Nombre:

Nombre del servidor proxy. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar después de crear el servidor virtual CS.

El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi servidor” o “mi servidor”).

Este es un argumento obligatorio. Longitud máxima: 127

Dirección IP:

Dirección IP del servidor proxy.

puerto:

Número de puerto para el servidor proxy. Valor mínimo: 1

Ejemplo de proxy explícito:

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

Ejemplo de proxy transparente:

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

Agregar una directiva de escucha al servidor proxy transparente mediante la GUI de Citrix SWG

Vaya a Secure Web Gateway > Servidores proxy. Seleccione el servidor proxy transparente y haga clic en Modificar.
Modifique la configuración básica y haga clic en Más.
En Prioridad de escucha, escriba 1.

En Expresión de directiva de escucha, escriba la siguiente expresión:

(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
<!--NeedCopy-->

Nota

Esta expresión asume puertos estándar para el tráfico HTTP y HTTPS. Si ha configurado puertos diferentes, por ejemplo 8080 para HTTP o 8443 para HTTPS, modifique la expresión anterior para especificar esos puertos.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Modos de proxy

April 27, 2021

Contribución de:

April 27, 2021

Contribución de:

En este artículo

Configurar proxy de reenvío SSL mediante la CLI de Citrix SWG
Agregar una directiva de escucha al servidor proxy transparente mediante la GUI de Citrix SWG

¿Le ha resultado útil?