Proxy-Modi

Die Citrix Secure Web Gateway™ (SWG)-Appliance fungiert als Proxy für Clients, um eine Verbindung zum Internet und zu SaaS-Anwendungen herzustellen. Als Proxy akzeptiert sie den gesamten Datenverkehr und bestimmt dessen Protokoll. Sofern der Datenverkehr nicht HTTP oder SSL ist, wird er unverändert an das Ziel weitergeleitet. Wenn die Appliance eine Anfrage von einem Client empfängt, fängt sie die Anfrage ab und führt bestimmte Aktionen aus, wie z. B. Benutzerauthentifizierung, Site-Kategorisierung und Umleitung. Sie verwendet Richtlinien, um zu bestimmen, welcher Datenverkehr zugelassen und welcher blockiert werden soll.

Die Appliance unterhält zwei verschiedene Sitzungen: eine zwischen dem Client und dem Proxy und eine weitere zwischen dem Proxy und dem Ursprungsserver. Der Proxy stützt sich auf kundendefinierte Richtlinien, um HTTP- und HTTPS-Datenverkehr zuzulassen oder zu blockieren. Daher ist es wichtig, dass Sie Richtlinien definieren, um sensible Daten, wie z. B. Finanzinformationen, zu umgehen. Die Appliance bietet eine Vielzahl von Datenverkehrsattributen der Schichten 4 bis 7 und Benutzeridentitätsattributen zur Erstellung von Datenverkehrsmanagement-Richtlinien.

Für SSL-Datenverkehr überprüft der Proxy das Zertifikat des Ursprungsservers und stellt eine legitime Verbindung mit dem Server her. Anschließend emuliert er das Serverzertifikat, signiert es mit einem auf Citrix® SWG installierten CA-Zertifikat und präsentiert das erstellte Serverzertifikat dem Client. Sie müssen das CA-Zertifikat als vertrauenswürdiges Zertifikat zum Browser des Clients hinzufügen, damit die SSL-Sitzung erfolgreich aufgebaut werden kann.

Die Appliance unterstützt transparente und explizite Proxy-Modi. Im expliziten Proxy-Modus muss der Client eine IP-Adresse in seinem Browser angeben, es sei denn, die Organisation überträgt die Einstellung auf das Gerät des Clients. Diese Adresse ist die IP-Adresse eines Proxy-Servers, der auf der SWG-Appliance konfiguriert ist. Alle Client-Anfragen werden an diese IP-Adresse gesendet. Für den expliziten Proxy müssen Sie einen Content Switching Virtual Server vom Typ PROXY konfigurieren und eine IP-Adresse sowie eine gültige Portnummer angeben.

Der transparente Proxy ist, wie der Name schon sagt, für den Client transparent. Das heißt, die Clients sind sich möglicherweise nicht bewusst, dass ein Proxy-Server ihre Anfragen vermittelt. Die SWG-Appliance ist in einer Inline-Bereitstellung konfiguriert und akzeptiert transparent den gesamten HTTP- und HTTPS-Datenverkehr. Für den transparenten Proxy müssen Sie einen Content Switching Virtual Server vom Typ PROXY konfigurieren, wobei Sternchen (* *) als IP-Adresse und Port dienen. Bei Verwendung des Secure Web Gateway-Assistenten in der GUI müssen Sie keine IP-Adresse und keinen Port angeben.

Hinweis

Um andere Protokolle als HTTP und HTTPS im transparenten Proxy-Modus abzufangen, müssen Sie eine Listen-Richtlinie hinzufügen und diese an den Proxy-Server binden.

SSL-Forward-Proxy mithilfe der Citrix SWG CLI konfigurieren

Geben Sie an der Eingabeaufforderung Folgendes ein:

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

Argumente:

Name:

Name für den Proxy-Server. Muss mit einem alphanumerischen ASCII-Zeichen oder einem Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Rauten (#), Punkte (.), Leerzeichen, Doppelpunkte (:), At-Zeichen (@), Gleichheitszeichen (=) und Bindestriche (-) enthalten. Kann nach der Erstellung des CS Virtual Servers nicht mehr geändert werden.

Die folgende Anforderung gilt nur für die CLI:

Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “mein Server” oder ‘mein Server’).

Dies ist ein obligatorisches Argument. Maximale Länge: 127

IP-Adresse:

IP-Adresse des Proxy-Servers.

Port:

Portnummer für den Proxy-Server. Mindestwert: 1

Beispiel für expliziten Proxy:

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

Beispiel für transparenten Proxy:

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

Eine Listen-Richtlinie zum transparenten Proxy-Server mithilfe der Citrix SWG GUI hinzufügen

1. Navigieren Sie zu Secure Web Gateway > Proxy Servers. Wählen Sie den transparenten Proxy-Server aus und klicken Sie auf Edit.
2. Bearbeiten Sie die Basic Settings und klicken Sie auf More.
3. Geben Sie unter Listen priority den Wert 1 ein.

4. Geben Sie unter Listen Policy Expression den folgenden Ausdruck ein:

   (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
   <!--NeedCopy-->
   

Hinweis

Dieser Ausdruck geht von Standardports für HTTP- und HTTPS-Datenverkehr aus. Wenn Sie andere Ports konfiguriert haben, z. B. 8080 für HTTP oder 8443 für HTTPS, ändern Sie den obigen Ausdruck, um diese Ports anzugeben.