ADC

Erste Schritte mit SSL-Forward-Proxy

Wichtig:

  • Die OCSP-Prüfung erfordert eine Internetverbindung, um die Gültigkeit von Zertifikaten zu überprüfen. Wenn Ihre Appliance nicht über das Internet über die NSIP-Adresse erreichbar ist, fügen Sie Zugriffssteuerungslisten (ACLs) hinzu, um NAT von der NSIP-Adresse zur Subnetz-IP-Adresse (SNIP) durchzuführen. Das SNIP muss auf das Internet zugreifen können. Beispiel:

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP “!=” 10.0.0.0-10.255.255.255
    
     add rnat RNAT-1 a1
    
     bind rnat RNAT-1 <SNIP>
    
     apply acls
     <!--NeedCopy-->
    
  • Geben Sie einen DNS-Namensserver zum Auflösen von Domainnamen an.
  • Stellen Sie sicher, dass das Datum auf der Appliance mit den NTP-Servern synchronisiert ist. Wenn das Datum nicht synchronisiert ist, kann die Appliance nicht effektiv überprüfen, ob ein Ursprungsserverzertifikat abgelaufen ist.

Um die SSL-Forward-Proxy-Funktion zu verwenden, müssen Sie die folgenden Aufgaben ausführen:

  • Fügen Sie einen Proxyserver im expliziten oder transparenten Modus hinzu.
  • Aktivieren Sie SSL-Interception.
    • Konfigurieren Sie ein SSL-Profil.
    • Fügen Sie SSL-Richtlinien hinzu und binden Sie sie an den Proxyserver.
    • Fügen Sie ein CA-Zertifikatschlüsselpaar für SSL-Interception hinzu und binden Sie es.

Hinweis:

Eine im transparenten Proxymodus konfigurierte ADC-Appliance kann nur HTTP- und HTTPS-Protokolle abfangen. Um ein anderes Protokoll wie Telnet zu Bypass, müssen Sie die folgende Listenrichtlinie auf dem virtuellen Proxyserver hinzufügen.

Der virtuelle Server akzeptiert jetzt nur eingehenden HTTP- und HTTPS-Datenverkehr.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`
<!--NeedCopy-->

Abhängig von Ihrer Bereitstellung müssen Sie möglicherweise die folgenden Funktionen konfigurieren:

  • Authentifizierungsdienst (empfohlen) — um Benutzer zu authentifizieren. Ohne den Authentifizierungsdienst basiert die Benutzeraktivität auf der IP-Adresse des Clients.
  • URL-Filterung — um URLs nach Kategorien, Reputationsbewertung und URL-Listen zu filtern.
  • Analysen — zur Anzeige von Benutzeraktivitäten, Benutzerrisikoindikatoren, Bandbreitenverbrauch und Transaktionsaufschlüsselungen in NetScaler Application Delivery Management (ADM).

Hinweis: SSL Forward Proxy implementiert die meisten typischen HTTP- und HTTPS-Standards, gefolgt von ähnlichen Produkten. Diese Implementierung erfolgt ohne Berücksichtigung eines bestimmten Browsers und ist mit den meisten gängigen Browsern kompatibel. SSL Forward Proxy wurde mit gängigen Browsern und aktuellen Versionen von Google Chrome, Internet Explorer und Mozilla Firefox getestet.

Assistent für die SSL-Weiterleitung

Der SSL-Forward-Proxy-Assistent bietet Administratoren ein Tool zur Verwaltung der gesamten SSL-Forward-Proxy-Bereitstellung mithilfe eines Webbrowsers. Es hilft den Kunden, einen SSL-Forward-Proxy-Dienst schnell aufzurufen, und vereinfacht die Konfiguration, indem eine Reihe genau definierter Schritte ausgeführt wird.

  1. Navigieren Sie zu Sicherheit > SSL Forward Proxy. Klicken Sie unter Erste Schritte auf SSL-Forward-Proxy-Assistent.

    Neuer Wizard

  2. Folgen Sie den Schritten im Assistenten, um Ihre Bereitstellung zu konfigurieren.

Hinzufügen einer Listenrichtlinie zum transparenten Proxyserver

  1. Navigieren Sie zu Sicherheit > SSL-Weiterleitungsproxy > Virtuelle Proxyserver. Wählen Sie den transparenten Proxyserver und klicken Sie auf Bearbeiten.

  2. Bearbeiten Sie die Grundeinstellungenund klicken Sie auf Mehr.

  3. Geben Sie im Feld Listeningpriorität den Wert 1

  4. Geben Sie im Feld Listeningrichtlinienausdruck den folgenden Ausdruck ein:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

    Dieser Ausdruck setzt Standardports für HTTP- und HTTPS-Datenverkehr voraus. Wenn Sie verschiedene Ports konfiguriert haben, z. B. 8080 für HTTP oder 8443 für HTTPS, ändern Sie den Ausdruck so, dass er diese Ports widerspiegelt.

Einschränkungen

SSL-Forwardproxy wird in einem Cluster-Setup, in Adminpartitionen und auf einer NetScaler FIPS-Appliance nicht unterstützt.

Erste Schritte mit SSL-Forward-Proxy