ADC

Proxy-Modi

Die Citrix ADC Appliance fungiert als Proxy des Clients, um eine Verbindung zum Internet und zu SaaS-Anwendungen herzustellen. Als Proxy akzeptiert es den gesamten Datenverkehr und bestimmt das Protokoll des Datenverkehrs. Sofern es sich bei dem Datenverkehr nicht um HTTP oder SSL handelt, wird er unverändert an das Ziel weitergeleitet. Wenn die Appliance eine Anfrage von einem Client empfängt, fängt sie die Anfrage ab und führt einige Aktionen aus, wie z. B. Benutzerauthentifizierung, Standortkategorisierung und Umleitung. Es verwendet Richtlinien, um zu bestimmen, welcher Verkehr zugelassen und welcher blockiert werden soll.

Die Appliance unterhält zwei verschiedene Sitzungen, eine zwischen dem Client und dem Proxy und die andere zwischen dem Proxy und dem Ursprungsserver. Der Proxy stützt sich auf kundendefinierte Richtlinien, um HTTP- und HTTPS-Verkehr zuzulassen oder zu blockieren. Daher ist es wichtig, dass Sie Richtlinien definieren, um sensible Daten wie Finanzinformationen zu Bypass. Die Appliance bietet eine Vielzahl von Layer-4- bis Layer-7-Datenverkehrsattributen und Benutzeridentitätsattributen zur Erstellung von Verkehrsmanagement-Richtlinien.

Bei SSL-Verkehr überprüft der Proxy das Zertifikat des Ursprungsservers und stellt eine legitime Verbindung mit dem Server her. Anschließend emuliert es das Serverzertifikat, signiert es mit einem auf Citrix ADC installierten CA-Zertifikat und präsentiert dem Client das erstellte Serverzertifikat. Sie müssen das CA-Zertifikat als vertrauenswürdiges Zertifikat zum Browser des Clients hinzufügen, damit die SSL-Sitzung erfolgreich eingerichtet werden kann.

Die Appliance unterstützt transparente und explizite Proxymodi. Im expliziten Proxymodus muss der Client in seinem Browser eine IP-Adresse angeben, es sei denn, die Organisation überträgt die Einstellung auf das Gerät des Kunden. Diese Adresse ist die IP-Adresse eines Proxyservers, der auf der ADC-Appliance konfiguriert ist. Alle Client-Anfragen werden an diese IP-Adresse gesendet. Für einen expliziten Proxy müssen Sie einen virtuellen Content Switching-Server vom Typ PROXY konfigurieren und eine IP-Adresse und eine gültige Portnummer angeben. Wenn der Parameter markconnReqInval im Standard-HTTP-Profil global auf ON gesetzt ist, müssen Sie außerdem ein anderes HTTP-Profil an den virtuellen Content Switching-Server binden, wobei markconnReqInval auf OFF eingestellt sein muss.

Beispiel für das Binden eines benutzerdefinierten HTTP-Profils an den virtuellen Proxy-Server für Content Switching:

add ns httpprofile custom_http_profile1 -markconnReqInval OFF
set cs vserver swgVS -httpprofileName custom_http_profile1
<!--NeedCopy-->

Ein transparenter Proxy ist, wie der Name schon sagt, für den Client transparent. Das heißt, die Clients wissen möglicherweise nicht, dass ein Proxyserver ihre Anfragen vermittelt. Die ADC-Appliance ist in einer Inline-Bereitstellung konfiguriert und akzeptiert transparent den gesamten HTTP- und HTTPS-Verkehr. Für einen transparenten Proxy müssen Sie einen virtuellen Content Switching-Server vom Typ PROXY mit Sternchen (* *) als IP-Adresse und Port konfigurieren. Wenn Sie den SSL Forward Proxy Wizard in der GUI verwenden, müssen Sie keine IP-Adresse und keinen Port angeben.

Hinweis

Um andere Protokolle als HTTP und HTTPS im transparenten Proxymodus abzufangen, müssen Sie eine Listen-Policy hinzufügen und sie an den Proxyserver binden.

Konfigurieren Sie den SSL-Forward-Proxy mithilfe der CLI

Geben Sie in der Befehlszeile Folgendes ein:

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

Argumente:

Bezeichnung:

Name für den Proxyserver. Muss mit einem alphanumerischen ASCII-Zeichen oder Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), Gleich (=) und Bindestrich (-) enthalten. Kann nicht geändert werden, nachdem der virtuelle CS-Server erstellt wurde.

Die folgende Anforderung gilt nur für die CLI:

Wenn der Name ein oder mehrere Leerzeichen enthält, setzen Sie den Namen in doppelte oder einfache Anführungszeichen (z. B. „mein Server“ oder „mein Server“).

Dieses Argument ist obligatorisch. Maximale Länge: 127

IP-Adresse:

Die IP-Adresse des Proxyservers.

Port:

Portnummer für den Proxyserver. Mindestwert: 1

Beispiel für einen expliziten Proxy:

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

Beispiel für einen transparenten Proxy:

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

Fügen Sie dem transparenten Proxyserver mithilfe der GUI eine Listenrichtlinie hinzu

  1. Navigieren Sie zu Sicherheit > SSL Forward Proxy > Proxy Virtual Servers. Wählen Sie den transparenten Proxyserver und klicken Sie auf Bearbeiten.
  2. Bearbeiten Sie die Grundeinstellungenund klicken Sie auf Mehr.
  3. Geben Sie im Feld Listeningpriorität den Wert 1
  4. Geben Sie im Feld Listeningrichtlinienausdruck den folgenden Ausdruck ein:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

Hinweis

Dieser Ausdruck setzt Standardports für HTTP- und HTTPS-Datenverkehr voraus. Wenn Sie verschiedene Ports konfiguriert haben, zum Beispiel 8080 für HTTP oder 8443 für HTTPS, ändern Sie den vorherigen Ausdruck, um diese Ports anzugeben.

Proxy-Modi