代理模式

Citrix Secure Web Gateway (SWG) 设备用作连接到 Internet 和 SaaS 应用程序的客户端代理。作为代理, 它接受所有流量并确定流量的协议。除非流量为 HTTP 或 SSL, 否则, 将以 as 形式转发到目标。设备从客户端收到请求时, 将截获该请求并执行某些操作, 例如, 用户身份验证、站点分类和重定向。它使用策略来确定允许的通信流量以及阻止的流量。

设备维护两个不同的会话, 一个在客户端和代理之间, 另一个位于代理与原始服务器之间。代理依赖于客户定义的策略来允许或阻止 HTTP 和 HTTPS 流量。因此, 定义绕过敏感数据的策略 (如财务信息) 非常重要。设备提供了一套丰富的 4 层到 7 层流量属性和用户身份属性以创建流量管理策略。

对于 SSL 流量, 代理将验证原始服务器的证书, 并与服务器建立合法连接。然后, 它使用 Citrix SWG 上安装的 CA 证书对服务器证书进行签名, 并向客户端提供所创建的服务器证书。必须将 CA 证书作为可信证书添加到客户端浏览器中, 才能成功建立 SSL 会话。

设备支持透明和显式代理模式。在显式代理模式下, 除非组织将此设置推送到客户端设备, 否则客户端必须在其浏览器中指定 IP 地址。此地址是指在 SWG 设备上配置的代理服务器的 IP 地址。所有客户端请求都将发送到此 IP 地址。对于显式代理, 必须配置类型为 PROXY 的内容交换虚拟服务器, 并指定一个 IP 地址和一个有效的端口号。

顾名思义, 透明代理对客户端而言是透明的。也就是说, 客户端可能不知道代理服务器 mediating 自己的请求。SWG 设备在内联部署中进行配置, 可透明地接受所有 HTTP 和 HTTPs 流量。对于透明代理, 必须配置类型为 PROXY 的内容交换虚拟服务器, 并使用星号 (* *) 作为 IP 地址和端口。在 GUI 中使用 Secure Web Gateway 向导时,无需指定 IP 地址和端口。

注意

要在透明代理模式下截获 HTTP 和 HTTPS 以外的其他协议, 必须添加一个侦听策略并将其绑定到代理服务器。

使用 Citrix SWG CLI 配置 SSL 正向代理

在命令提示窗口中,键入:

add cs vserver <name> PROXY <ipaddress> <port>

参数:

名称:

代理服务器的名称。必须以 ASCII 字母数字或下划线 (\ _) 字符开头, 并且必须仅包含 ASCII 字母数字、下划线、哈希 (\ #)、句点 (。)、空格、冒号 (:)、at (@)、等号 (=) 和连字符 (-)。创建 CS 虚拟服务器后无法更改。

以下要求仅适用于 CLI:

如果名称中包含一个或多个空格, 请将名称用双引号引起, 或者用单引号括起来 (例如, "my server" 或 "my server")。

此参数为必需参数。最大长度: 127

IPAddress:

代理服务器的 IP 地址。

端口:

代理服务器的端口号。最小值: 1

显式代理的示例:

add cs vserver swgVS PROXY 192.0.2.100 80

透明代理的示例:

add cs vserver swgVS PROXY * *

使用 Citrix SWG GUI 将侦听策略添加到透明代理服务器

  1. 导航到Secure Web Gateway >代理服务器。选择透明代理服务器, 然后单击Edit (编辑)。
  2. 编辑基本设置, 然后单击更多
  3. 侦听优先级中, 输入1。
  4. 在 “侦听策略” 表达式中, 输入以下表达式:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

注意

此表达式假定标准端口用于 HTTP 和 HTTPS 流量。如果您配置了不同的端口 (例如, 对于 HTTP 使用8080或8443表示 HTTPS), 请修改以上表达式以指定这些端口。