ADC

SSL 转发代理功能入门

重要

  • OCSP 检查需要 Internet 连接才能检查证书的有效性。如果无法使用 NSIP 地址从 Internet 访问您的设备,请添加访问控制列表 (ACL) 以执行 NSIP 地址到子网 IP (SNIP) 地址的 NAT。SNIP 必须能够访问 Internet。例如,

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP “!=” 10.0.0.0-10.255.255.255
    
     add rnat RNAT-1 a1
    
     bind rnat RNAT-1 <SNIP>
    
     apply acls
     <!--NeedCopy-->
    
  • 指定用于解析域名的 DNS 名称服务器。
  • 请确保设备上的日期与 NTP 服务器同步。如果日期未同步,设备将无法有效验证源服务器证书是否已过期。

要使用 SSL 转发代理功能,必须执行以下任务:

  • 以显式或透明模式添加代理服务器。
  • 启用 SSL 拦截。
    • 配置 SSL 配置文件。
    • 添加 SSL 策略并将其绑定到代理服务器。
    • 添加和绑定 CA 证书密钥对以进行 SSL 拦截。

注意:

配置为透明代理模式的 ADC 设备只能拦截 HTTP 和 HTTPS 协议。若要绕过任何其他协议(如 telnet),必须在代理虚拟服务器上添加以下侦听策略。

虚拟服务器现在仅接受 HTTP 和 HTTPS 传入流量。

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`
<!--NeedCopy-->

根据您的部署,您可能需要配置以下功能:

  • 身份验证服务(推荐)-对用户进行身份验证。如果没有身份验证服务,用户活动将基于客户端 IP 地址。
  • URL 过滤 — 按类别、信誉分数和 URL 列表过滤 URL。
  • 分析 — 在 NetScaler Application Delivery Management (ADM) 中查看用户活动、用户风险指标、带宽消耗和交易明细。

注意: SSL 转发代理实现了大多数典型的 HTTP 和 HTTPS 标准,其次是类似产品。这个实现是在没有特定的浏览器的情况下完成的,并且与大多数常见的浏览器兼容。SSL 转发代理已在常见浏览器以及最新版本的 Google Chrome、Internet Explorer 和 Mozilla Firefox。

SSL 转发代理向导

SSL 转发代理向导为管理员提供了使用 Web 浏览器管理整个 SSL 转发代理部署的工具。它有助于指导客户快速启动 SSL 转发代理服务,并通过遵循一系列明确定义的步骤来帮助简化配置。

  1. 导航到 安全 > SSL 转发代理。在入门中,单击 SSL 转发代理向导

    新向导

  2. 按照向导中的步骤配置部署。

向透明代理服务器添加侦听策略

  1. 导航到安全 > SSL 转发代理 > 代理虚拟服务器。选择透明代理服务器,然后单击 编辑

  2. 编辑 基本设置,然后单击 更多

  3. 监听优先级中,输入 1。

  4. 监听策略表达式中,输入以下表达式:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

    此表达式假定 HTTP 和 HTTPS 流量的标准端口。如果您配置了不同的端口,例如用于 HTTP 的 8080 或 HTTPS 的 8443,请修改表达式以反映这些端口。

限制

群集设置、管理分区和 NetScaler FIPS 设备上不支持 SSL 转发代理。

SSL 转发代理功能入门