Modes proxy

L’appliance Citrix ADC agit en tant que proxy d’un client pour se connecter à Internet et aux applications SaaS. En tant que proxy, il accepte tout le trafic et détermine le protocole du trafic. Sauf si le trafic est HTTP ou SSL, il est transféré à la destination telle quelle. Lorsque l’appliance reçoit une demande d’un client, elle l’intercepte et exécute certaines actions, telles que l’authentification utilisateur, la catégorisation du site et la redirection. Il utilise des stratégies pour déterminer le trafic à autoriser et le trafic à bloquer.

L’appliance gère deux sessions différentes, l’une entre le client et le proxy et l’autre entre le proxy et le serveur d’origine. Le proxy s’appuie sur des stratégies définies par le client pour autoriser ou bloquer le trafic HTTP et HTTPS. Par conséquent, il est important que vous définissiez des stratégies pour contourner les données sensibles, telles que les informations financières. L’appliance offre un ensemble complet d’attributs de trafic de couche 4 à couche 7 et d’attributs d’identité utilisateur pour créer des stratégies de gestion du trafic.

Pour le trafic SSL, le proxy vérifie le certificat du serveur d’origine et établit une connexion légitime avec le serveur. Il émule ensuite le certificat de serveur, le signe à l’aide d’un certificat d’autorité de certification installé sur Citrix ADC et présente le certificat de serveur créé au client. Vous devez ajouter le certificat de l’autorité de certification en tant que certificat approuvé au navigateur du client pour que la session SSL soit correctement établie.

L’appliance prend en charge les modes proxy transparents et explicites. En mode proxy explicite, le client doit spécifier une adresse IP dans son navigateur, à moins que l’organisation n’envoie le paramètre sur le périphérique du client. Cette adresse est l’adresse IP d’un serveur proxy configuré sur l’appliance ADC. Toutes les demandes client sont envoyées à cette adresse IP. Pour le proxy explicite, vous devez configurer un serveur virtuel de commutation de contenu de type PROXY et spécifier une adresse IP et un numéro de port valide.

Le proxy transparent, comme son nom l’indique, est transparent pour le client. En d’autres termes, les clients peuvent ne pas savoir qu’un serveur proxy effectue la médiation de leurs demandes. L’appliance ADC est configurée dans un déploiement en ligne et accepte de manière transparente tout le trafic HTTP et HTTPS. Pour le proxy transparent, vous devez configurer un serveur virtuel de commutation de contenu de type PROXY, avec des astérisques (*) comme adresse IP et port. Lorsque vous utilisez l’assistant Secure Web Gateway dans l’interface graphique, vous n’avez pas besoin de spécifier une adresse IP et un port.

Remarque

Pour intercepter des protocoles autres que HTTP et HTTPS en mode proxy transparent, vous devez ajouter une stratégie d’écoute et la lier au serveur proxy.

Configurer le proxy de transfert SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add cs vserver <name> PROXY <ipaddress> <port>

Arguments :

Nom :

Nom du serveur proxy. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points (:), arobase (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le serveur virtuel CS créé.

L’exigence suivante s’applique uniquement à l’interface de ligne de commande :

Si le nom comporte un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon serveur » ou « mon serveur »).

C’est un argument obligatoire. Longueur maximale : 127

Adresse IP :

Adresse IP du serveur proxy.

port :

Numéro de port du serveur proxy. Valeur minimale : 1

Exemple de proxy explicite :

add cs vserver swgVS PROXY 192.0.2.100 80

Exemple pour le proxy transparent :

add cs vserver swgVS PROXY * *

Ajouter une stratégie d’écoute au serveur proxy transparent à l’aide de l’interface graphique

  1. Accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy. Sélectionnez le serveur proxy transparent et cliquez sur Modifier.
  2. Modifiez les paramètres de base, puis cliquez sur Plus.
  3. Dans Priorité d’écoute, entrez 1.
  4. Dans Listen Policy Expression, entrez l’expression suivante :

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

Remarque

Cette expression suppose des ports standard pour le trafic HTTP et HTTPS. Si vous avez configuré différents ports, par exemple 8080 pour HTTP ou 8443 pour HTTPS, modifiez l’expression ci-dessus pour spécifier ces ports.