Prise en main d’une appliance Citrix ADC MPX et VPX SWG

Après avoir installé votre appliance matérielle (MPX) ou logicielle (VPX) et effectué la configuration initiale, vous êtes prêt à le configurer en tant qu’appliance de passerelle Web sécurisée pour recevoir du trafic.

Important :

  • La vérification OCSP nécessite une connexion Internet pour vérifier la validité des certificats. Si votre appliance n’est pas accessible depuis Internet à l’aide de l’adresse NSIP, ajoutez des listes de contrôle d’accès (ACL) pour effectuer NAT à partir de l’adresse NSIP à l’adresse IP du sous-réseau (SNIP). Le SNIP doit être accessible depuis Internet. Par exemple,

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255
    
     set rnat a1 -natIP <SNIP>
    
     apply acls
    
  • Spécifiez un serveur de noms DNS pour résoudre les noms de domaine. Pour plus d’informations, reportez-vous à la section Configuration initiale.
  • Assurez-vous que la date de l’appliance est synchronisée avec les serveurs NTP. Si la date n’est pas synchronisée, l’appliance ne peut pas vérifier efficacement si un certificat de serveur d’origine est expiré.

Pour utiliser le dispositif Citrix SWG, vous devez effectuer les tâches suivantes :

  • Ajouter un serveur proxy en mode explicite ou transparent.
  • Activer l’interception SSL.
    • Configurer un profil SSL.
    • Ajouter et lier des stratégies SSL au serveur proxy.
    • Ajouter et lier une paire de clés de certificat d’autorité de certification pour l’interception SSL.

Remarque : un dispositif Citrix SWG configuré en mode proxy transparent ne peut intercepter que les protocoles HTTP et HTTPS. Pour contourner tout autre protocole, tel que telnet, vous devez ajouter la stratégie d’écoute suivante sur le serveur virtuel proxy.

Le serveur virtuel accepte désormais uniquement le trafic entrant HTTP et HTTPS.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`

Vous devrez peut-être configurer les fonctionnalités suivantes, en fonction de votre déploiement :

  • Service d’authentification (recommandé) : pour authentifier les utilisateurs. Sans le service d’authentification, l’activité de l’utilisateur est basée sur l’adresse IP du client.
  • Filtrage d’URL : pour filtrer les URL par catégories, score de réputation et listes d’URL.
  • Analytics : pour afficher l’activité des utilisateurs, les indicateurs de risque utilisateur, la consommation de bande passante et les transactions se décomposent dans Citrix Application Delivery Management (ADM).

Remarque : SWG implémente la majorité des normes HTTP et HTTPS typiques suivies de produits similaires. Cette implémentation est faite sans navigateur spécifique à l’esprit et est compatible avec la plupart des navigateurs courants. SWG a été testé avec les navigateurs courants et les versions récentes de Google Chrome, Internet Explorer et Mozilla Firefox.

Assistant Passerelle Web sécurisée

L’assistant SWG fournit aux administrateurs un outil pour gérer l’ensemble du déploiement SWG à l’aide d’un navigateur Web. Il aide les clients à proposer rapidement un service SWG et aide à simplifier la configuration en suivant une séquence d’étapes bien définies.

  1. Ouvrez votre navigateur Web et entrez l’adresse NSIP que vous avez spécifiée lors de la configuration initiale. Pour plus d’informations sur la configuration initiale, reportez-vous à la section Configuration initiale.

  2. Saisissez votre nom d’utilisateur et votre mot de passe.

    image localisée

  3. Si vous n’avez pas spécifié d’adresse IP de sous-réseau (SNIP), l’écran suivant s’affiche.

    image localisée

    Dans Adresse IP du sous-réseau, entrez une adresse IP et un masque de sous-réseau. La coche dans un cercle vert indique que la valeur est configurée.

  4. Dans Nom d’hôte, Adresse IP DNS et Fuseau horaire, ajoutez l’adresse IP d’un serveur DNS pour résoudre les noms de domaine et spécifiez votre fuseau horaire.

  5. Cliquez sur Continuer.

  6. (Facultatif) Vous pouvez voir un point d’exclamation, comme suit :

    image localisée

    Cette marque indique que la fonction n’est pas activée. Pour activer la fonction, cliquez avec le bouton droit sur la fonction, puis cliquez sur Activer la fonction.

    image localisée

  7. Dans le volet de navigation, cliquez sur Secure Web Gateway. Dans Mise en route, cliquez sur Assistant Secure Web Gateway.

    image localisée

  8. Suivez les étapes de l’Assistant pour configurer votre déploiement.

Ajouter une stratégie d’écoute au serveur proxy transparent

  1. Accédez à Secure Web Gateway > Serveurs proxy. Sélectionnez le serveur proxy transparent et cliquez sur Modifier.

  2. Modifiez les paramètres de base, puis cliquez sur Plus.

  3. Dans Priorité d’écoute, entrez 1.

  4. Dans Listen Policy Expression, entrez l’expression suivante :

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

    Cette expression suppose des ports standard pour le trafic HTTP et HTTPS. Si vous avez configuré différents ports, par exemple 8080 pour HTTP ou 8443 pour HTTPS, modifiez l’expression pour refléter ces ports.

Limitations

SWG n’est pas pris en charge dans une configuration de cluster, dans les partitions d’administration et sur une appliance Citrix ADC FIPS.