Citrix ADC

プロキシモード

Citrix ADCアプライアンスは、インターネットおよびSaaSアプリケーションに接続するためのクライアントのプロキシとして機能します。プロキシとして、すべてのトラフィックを受け入れ、トラフィックのプロトコルを決定します。トラフィックが HTTP または SSL でない限り、そのまま宛先に転送されます。アプライアンスはクライアントから要求を受信すると、要求を傍受し、ユーザー認証、サイトの分類、リダイレクトなどのアクションを実行します。ポリシーを使用して、許可するトラフィックとブロックするトラフィックを決定します。

アプライアンスは、クライアントとプロキシの間で、もう一方はプロキシとオリジンサーバー間の2つの異なるセッションを維持します。プロキシは、ユーザーが定義したポリシーを使用して、HTTP および HTTPS トラフィックを許可またはブロックします。したがって、財務情報などの機密データをバイパスするポリシーを定義することが重要です。アプライアンスは、トラフィック管理ポリシーを作成するために、レイヤ 4 からレイヤ 7 へのトラフィック属性とユーザ ID 属性の豊富なセットを提供します。

SSL トラフィックの場合、プロキシはオリジンサーバーの証明書を確認し、サーバーとの正当な接続を確立します。次に、サーバー証明書をエミュレートし、Citrix ADCにインストールされたCA証明書を使用して署名し、作成したサーバー証明書をクライアントに提示します。SSL セッションを正常に確立するには、CA 証明書を信頼された証明書としてクライアントのブラウザに追加する必要があります。

アプライアンスは、透過および明示的なプロキシモードをサポートします。明示的なプロキシモードでは、組織が設定をクライアントのデバイスにプッシュしない限り、クライアントはブラウザで IP アドレスを指定する必要があります。このアドレスは、ADCアプライアンス上で構成されたプロキシ・サーバのIPアドレスです。すべてのクライアント要求は、この IP アドレスに送信されます。明示的なプロキシの場合は、タイプ PROXY のコンテンツスイッチング仮想サーバを設定し、IP アドレスと有効なポート番号を指定する必要があります。

透過プロキシは、名前が示すように、クライアントに対して透過的です。つまり、クライアントは、プロキシサーバーが要求を仲介していることを認識していない可能性があります。ADC アプライアンスはインライン展開で構成され、すべての HTTP および HTTPS トラフィックを透過的に受け入れます。トランスペアレントプロキシの場合、IP アドレスおよびポートとしてアスタリスク(*)を使用して、タイプ PROXY のコンテンツスイッチング仮想サーバを設定する必要があります。GUI で SSL 転送プロキシウィザード を使用する場合、IP アドレスとポートを指定する必要はありません。

透過プロキシモードで HTTP および HTTPS 以外のプロトコルを代行受信するには、リッスンポリシーを追加し、プロキシサーバにバインドする必要があります。

CLI を使用して SSL 転送プロキシを構成する

コマンドプロンプトで、次のように入力します。

add cs vserver <name> PROXY <ipaddress> <port>

引数:

名前:

プロキシサーバーの名前。ASCII 英数字またはアンダースコア (_) 文字で始まり、ASCII 英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等しい (=)、およびハイフン (-) 文字のみを含める必要があります。CS 仮想サーバの作成後は変更できません。

次の要件は、CLI だけに適用されます。

名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「my server」や「my server」など)。

これは必須の引数です。最大長さ:127

IPAddress:

プロキシサーバの IP アドレス。

ポート:

プロキシサーバーのポート番号。最小値:1

明示的なプロキシの例

add cs vserver swgVS PROXY 192.0.2.100 80

透過プロキシの例

add cs vserver swgVS PROXY * *

GUI を使用してリッスンポリシーをトランスペアレントプロキシサーバーに追加する

  1. [セキュリティ] > [SSL フォワードプロキシ] > [プロキシ仮想サーバー] に移動します。透過プロキシサーバを選択し、[Edit] をクリックします。
  2. [基本設定]を編集し、[その他] をクリックします。
  3. [リッスンプライオリティ] に 1 を入力します。
  4. [リッスンポリシー式] に、次の式を入力します。

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

この式は、HTTP および HTTPS トラフィックの標準ポートを想定しています。HTTP の場合は 8080、HTTPS の場合は 8443 など、異なるポートを設定した場合は、上記の式を変更してこれらのポートを指定します。

プロキシモード