ADC

プロキシモード

Citrix ADCアプライアンスは、インターネットやSaaSアプリケーションに接続するためのクライアントのプロキシとして機能します。プロキシとして、すべてのトラフィックを受け入れ、トラフィックのプロトコルを決定します。トラフィックが HTTP または SSL でない限り、そのまま宛先に転送されます。アプライアンスはクライアントから要求を受け取ると、要求をインターセプトし、ユーザー認証、サイト分類、リダイレクトなどのアクションを実行します。ポリシーを使用して、許可するトラフィックとブロックするトラフィックを決定します。

アプライアンスは 2 つの異なるセッションを維持します。1 つはクライアントとプロキシの間、もう 1 つはプロキシとオリジンサーバーの間です。プロキシは、ユーザーが定義したポリシーに基づいて、HTTP および HTTPS トラフィックを許可またはブロックします。そのため、財務情報などの機密データをバイパスするポリシーを定義することが重要です。アプライアンスには、トラフィック管理ポリシーを作成するためのレイヤー4~レイヤー7のトラフィック属性とユーザーID属性の豊富なセットが用意されています。

SSL トラフィックの場合、プロキシはオリジンサーバーの証明書を確認し、サーバーとの正当な接続を確立します。次に、サーバー証明書をエミュレートし、Citrix ADCにインストールされたCA証明書を使用して署名し、作成したサーバー証明書をクライアントに提示します。SSL セッションを正常に確立するには、CA 証明書を信頼できる証明書としてクライアントのブラウザに追加する必要があります。

アプライアンスは、トランスペアレントプロキシモードとエクスプリシットプロキシモードをサポートしています。明示的なプロキシモードでは、組織が設定をクライアントのデバイスにプッシュしない限り、クライアントはブラウザで IP アドレスを指定する必要があります。このアドレスは、ADC アプライアンスで設定されているプロキシサーバーの IP アドレスです。すべてのクライアント要求は、この IP アドレスに送信されます。明示的プロキシの場合は、PROXY タイプのコンテンツスイッチング仮想サーバーを構成し、IP アドレスと有効なポート番号を指定する必要があります。また、デフォルトの HTTP markconnReqInval プロファイルでパラメータがグローバルに ON に設定されている場合は、OFF markconnReqInval に設定された別の HTTP プロファイルをコンテンツスイッチング仮想サーバーにバインドする必要があります。

カスタム HTTP プロファイルをプロキシコンテンツスイッチング仮想サーバーにバインドする例:

add ns httpprofile custom_http_profile1 -markconnReqInval OFF
set cs vserver swgVS -httpprofileName custom_http_profile1
<!--NeedCopy-->

透過プロキシは、名前が示すように、クライアントに対して透過的です。つまり、クライアントは、プロキシサーバーが要求を仲介していることを認識していない可能性があります。ADCアプライアンスはインライン展開で構成され、すべてのHTTPおよびHTTPSトラフィックを透過的に受け入れます。トランスペアレントプロキシの場合、IP アドレスおよびポートとしてアスタリスク(*)を使用して、タイプ PROXY のコンテンツスイッチング仮想サーバを設定する必要があります。GUI で SSL 転送プロキシウィザードを使用する場合 、IP アドレスとポートを指定する必要はありません。

透過プロキシモードで HTTP および HTTPS 以外のプロトコルを代行受信するには、リッスンポリシーを追加し、プロキシサーバにバインドする必要があります。

CLI を使用して SSL 転送プロキシを設定する

コマンドプロンプトで入力します:

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

引数:

名前:

プロキシサーバーの名前。ASCII 英数字またはアンダースコア (_) 文字で始まり、ASCII 英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等号 (=)、およびハイフン (-) 文字のみを含める必要があります。CS 仮想サーバーの作成後は変更できません。

次の要件は、CLI だけに適用されます。

名前にスペースが 1 つ以上含まれる場合は、名前を二重引用符または一重引用符で囲みます (たとえば、「my server」や「my server」)。

この引数は必須です。最大長:127

IP アドレス:

プロキシサーバの IP アドレス。

ポート:

プロキシサーバーのポート番号。最小値:1

明示的なプロキシの例

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

透過プロキシの例

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

GUI を使用してトランスペアレントプロキシサーバにリッスンポリシーを追加します

  1. [ セキュリティ ] > [ SSL フォワードプロキシ ] > [ プロキシ仮想サーバー] に移動します。透過プロキシサーバを選択し、[ 編集] をクリックします。
  2. [ 基本設定]を編集し、[ その他] をクリックします。
  3. [ リスン優先度] に 1 と入力します。
  4. [ リッスンポリシー式] に、次の式を入力します。

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

この式は、HTTP および HTTPS トラフィックの標準ポートを想定しています。HTTP には 8080、HTTPS には 8443 など、異なるポートを設定した場合は、前述の式を変更してそれらのポートを指定します。

プロキシモード