ADC

Proxy-Modi

Die NetScaler-Appliance fungiert als Client-Proxy, um eine Verbindung zum Internet und zu SaaS-Anwendungen herzustellen. Als Proxy akzeptiert es den gesamten Datenverkehr und bestimmt das Protokoll des Datenverkehrs. Sofern es sich bei dem Datenverkehr nicht um HTTP oder SSL handelt, wird er unverändert an das Ziel weitergeleitet. Wenn die Appliance eine Anfrage von einem Client empfängt, fängt sie die Anfrage ab und führt einige Aktionen aus, wie z. B. Benutzerauthentifizierung, Standortkategorisierung und Umleitung. Es verwendet Richtlinien, um zu bestimmen, welcher Verkehr zugelassen und welcher blockiert werden soll.

Die Appliance unterhält zwei verschiedene Sitzungen, eine zwischen dem Client und dem Proxy und die andere zwischen dem Proxy und dem Ursprungsserver. Der Proxy stützt sich auf vom Kunden definierte Richtlinien, um HTTP- und HTTPS-Verkehr zuzulassen oder zu blockieren. Daher ist es wichtig, dass Sie Richtlinien definieren, um sensible Daten wie Finanzinformationen zu Bypass. Die Appliance bietet eine Vielzahl von Layer-4- bis Layer-7-Datenverkehrsattributen und Benutzeridentitätsattributen zur Erstellung von Verkehrsmanagement-Richtlinien.

Bei SSL-Verkehr überprüft der Proxy das Zertifikat des Ursprungsservers und stellt eine legitime Verbindung mit dem Server her. Anschließend emuliert es das Serverzertifikat, signiert es mit einem auf NetScaler installierten CA-Zertifikat und präsentiert dem Client das erstellte Serverzertifikat. Sie müssen das CA-Zertifikat als vertrauenswürdiges Zertifikat zum Browser des Clients hinzufügen, damit die SSL-Sitzung erfolgreich eingerichtet werden kann.

Die Appliance unterstützt transparente und explizite Proxymodi. Im expliziten Proxymodus muss der Client in seinem Browser eine IP-Adresse angeben, es sei denn, die Organisation überträgt die Einstellung auf das Gerät des Kunden. Diese Adresse ist die IP-Adresse eines Proxyservers, der auf der ADC-Appliance konfiguriert ist. Alle Client-Anfragen werden an diese IP-Adresse gesendet. Für einen expliziten Proxy müssen Sie einen virtuellen Content Switching-Server vom Typ PROXY konfigurieren und eine IP-Adresse und eine gültige Portnummer angeben. Wenn der Parameter markconnReqInval im Standard-HTTP-Profil global auf ON gesetzt ist, müssen Sie außerdem ein anderes HTTP-Profil an den virtuellen Content Switching-Server binden, wobei markconnReqInval auf OFF eingestellt sein muss.

Beispiel für das Binden eines benutzerdefinierten HTTP-Profils an den virtuellen Proxy-Server für Content Switching:

add ns httpprofile custom_http_profile1 -markconnReqInval OFF
set cs vserver swgVS -httpprofileName custom_http_profile1
<!--NeedCopy-->

Ein transparenter Proxy ist, wie der Name schon sagt, für den Client transparent. Das heißt, die Clients wissen möglicherweise nicht, dass ein Proxyserver ihre Anfragen vermittelt. Die ADC-Appliance ist in einer Inline-Bereitstellung konfiguriert und akzeptiert transparent den gesamten HTTP- und HTTPS-Verkehr. Für einen transparenten Proxy müssen Sie einen virtuellen Content Switching-Server vom Typ PROXY mit Sternchen (* *) als IP-Adresse und Port konfigurieren. Wenn Sie den SSL Forward Proxy Wizard in der GUI verwenden, müssen Sie keine IP-Adresse und keinen Port angeben.

Hinweis

Um andere Protokolle als HTTP und HTTPS im transparenten Proxymodus abzufangen, müssen Sie eine Listen-Policy hinzufügen und sie an den Proxyserver binden.

Konfigurieren Sie einen SSL-Forward-Proxy mithilfe der CLI

Geben Sie in der Befehlszeile Folgendes ein:

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

Argumente:

Bezeichnung:

Name für den Proxyserver. Muss mit einem alphanumerischen ASCII-Zeichen oder Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), Gleich (=) und Bindestrich (-) enthalten. Kann nicht geändert werden, nachdem der virtuelle CS-Server erstellt wurde.

Die folgende Anforderung gilt nur für die CLI:

Wenn der Name ein oder mehrere Leerzeichen enthält, setzen Sie den Namen in doppelte oder einfache Anführungszeichen (z. B. „mein Server“ oder „mein Server“).

Dieses Argument ist obligatorisch. Maximale Länge: 127

IP-Adresse:

Die IP-Adresse des Proxyservers.

Port:

Portnummer für den Proxyserver. Mindestwert: 1

Beispiel für einen expliziten Proxy:

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

Beispiel für einen transparenten Proxy:

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

Fügen Sie dem transparenten Proxyserver mithilfe der GUI eine Listenrichtlinie hinzu

  1. Navigieren Sie zu Sicherheit > SSL Forward Proxy> Virtuelle Proxyserver. Wählen Sie den transparenten Proxyserver und klicken Sie aufBearbeiten.
  2. Bearbeiten Sie die Grundeinstellungenund klicken Sie auf Mehr.
  3. Geben Sie im Feld Listeningpriorität den Wert 1
  4. Geben Sie im Feld Listeningrichtlinienausdruck den folgenden Ausdruck ein:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

Hinweis

Dieser Ausdruck setzt Standardports für HTTP- und HTTPS-Datenverkehr voraus. Wenn Sie verschiedene Ports konfiguriert haben, zum Beispiel 8080 für HTTP oder 8443 für HTTPS, ändern Sie den vorherigen Ausdruck, um diese Ports anzugeben.

Blockieren Sie privilegierte Upstream-Ports

Um den Zugriff auf privilegierte Upstream-Ports (<1024) mit Ausnahme der Ports 80 und 443 mithilfe des Forward-Proxys zu blockieren, binden Sie die folgende Responder-Richtlinie im expliziten Modus an den virtuellen Forward-Proxy-Server für Content Switching.

Verwenden der CLI

Geben Sie in der Befehlszeile Folgendes ein:

add responder policy web_only "(HTTP.REQ.METHOD.EQ(CONNECT) && (HTTP.REQ.HOSTNAME.PORT.LT(1024) && HTTP.REQ.HOSTNAME.PORT.NE(":80") && HTTP.REQ.HOSTNAME.PORT.NE(":443") && HTTP.REQ.HOSTNAME.PORT.LENGTH.NE(0))  || (HTTP.REQ.URL.AFTER_STR(":").TYPECAST_NUM_AT.NE(80) &&
HTTP.REQ.URL.AFTER_STR(":").TYPECAST_NUM_AT.NE(443) && HTTP.REQ.URL.AFTER_STR(":").TYPECAST_NUM_AT.LE(1024) ) )" RESET
bind cs vserver <proxy_vs_name> -policyName web_only -priority 9 -gotoPriorityExpression END -type REQUEST
<!--NeedCopy-->

Verwenden der GUI

  1. Navigieren Sie zu Sicherheit > SSL-Forward-Proxy > Virtuelle Proxyserver.
  2. Fügen Sie einen virtuellen Proxyserver hinzu oder wählen Sie einen virtuellen Server aus und klicken Sie auf Bearbeiten.
  3. Klicken Sie in den Erweiterten Einstellungenauf Richtlinien.
  4. Wählen Sie unter Choose Policydie Option Responderaus. Klicken Sie auf Weiter.
  5. Klicken Sie auf Add binding.
  6. Klicken Sie unter Policy Bindingauf Klicken, um auszuwählen.
  7. Klicken Sie auf Add, um eine neue Richtlinie hinzuzufügen.
  8. Geben Sie den Richtliniennamen ein, wählen Sie die Aktion als RESET aus und aktualisieren Sie den Ausdruck entsprechend für die GUI.
  9. Klicken Sie auf Erstellen.
  10. Klicken Sie auf Select.
  11. Weisen Sie unter Policy Bindingeine Priorität zu und klicken Sie auf Binden.
  12. Klicken Sie auf Schließen.
  13. Klicken Sie auf Fertig.
Proxy-Modi