Citrix ADC

代理模式

Citrix ADC 设备充当客户端的代理,用于连接到 Internet 和 SaaS 应用程序。作为代理,它接受所有流量并确定流量的协议。除非流量是 HTTP 或 SSL,否则流量按原样转发到目标。当设备收到来自客户端的请求时,它会拦截请求并执行一些操作,例如用户身份验证、站点分类和重定向。它使用策略来确定允许哪些流量以及要阻止哪些流量。

设备维护两个不同的会话,一个在客户端和代理之间,另一个在代理和源服务器之间。代理依赖于客户定义的策略来允许或阻止 HTTP 和 HTTPS 流量。因此,定义策略以绕过敏感数据(如财务信息)非常重要。设备提供了一套丰富的 4 层到 7 层流量属性和用户身份属性以创建流量管理策略。

对于 SSL 流量,代理验证源服务器的证书并与服务器建立合法连接。然后,它将模拟服务器证书,使用 Citrix ADC 上安装的 CA 证书对其进行签名,并将创建的服务器证书呈现给客户端。您必须将 CA 证书作为受信任证书添加到客户端的浏览器中,才能成功建立 SSL 会话。

设备支持透明和显式的代理模式。在显式代理模式下,客户端必须在浏览器中指定 IP 地址,除非组织将设置推送到客户端的设备上。此地址是在 ADC 设备上配置的代理服务器的 IP 地址。所有客户端请求都发送到此 IP 地址。对于显式代理,必须配置 Proxy 类型的内容交换虚拟服务器,并指定 IP 地址和有效端口号。

顾名思义,透明代理对客户端是透明的。也就是说,客户端可能不知道代理服务器正在调解他们的请求。ADC 设备在内联部署中配置,并且透明地接受所有 HTTP 和 HTTPS 流量。对于透明代理,您必须配置一个内容交换虚拟服务器的 PROOPE 类型,并使用星号 (*) 作为 IP 地址和端口。在 GUI 中使用 SSL 转发代理向导时,不必指定 IP 地址和端口。

注意

要在透明代理模式下拦截 HTTP 和 HTTPS 以外的协议,必须添加侦听策略并将其绑定到代理服务器。

使用 CLI 配置 SSL 转发代理

在命令提示窗口中,键入:

add cs vserver <name> PROXY <ipaddress> <port>

参数

名称

代理服务器的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 CS 虚拟服务器后无法更改。

以下要求仅适用于 CLI:

如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的服务器”或“我的服务器”)。

这是一个强制性的论点。最大长度:127

IP 地址

代理服务器的 IP 地址。

端口

代理服务器的端口号。最小值:1

显式代理示例

add cs vserver swgVS PROXY 192.0.2.100 80

透明代理的示例

add cs vserver swgVS PROXY * *

通过使用 GUI 向透明代理服务器添加侦听策略

  1. 导航到安全 > SSL 转发代理 > 代理虚拟服务器。选择透明代理服务器,然后单击 编辑
  2. 编辑 基本设置,然后单击 更多
  3. 聆听优先级中,输入 1。
  4. 侦听策略表达式中,输入以下表达式:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

注意

此表达式假定 HTTP 和 HTTPS 流量的标准端口。如果配置了不同的端口,例如 8080 用于 HTTP,8443 用于 HTTPS,请修改前面的表达式以指定这些端口。

代理模式