Introducción a un dispositivo Citrix ADC MPX y VPX SWG

Después de instalar el dispositivo de hardware (MPX) o software (VPX) y realizar la configuración inicial, estará listo para configurarlo como un dispositivo de puerta de enlace web seguro para recibir tráfico.

Importante:

  • La comprobación OCSP requiere una conexión a Internet para comprobar la validez de los certificados. Si el dispositivo no es accesible desde Internet mediante la dirección NSIP, agregue listas de control de acceso (ACL) para realizar NAT desde la dirección NSIP a la dirección IP de la subred (SNIP). El SNIP debe ser accesible desde Internet. Por ejemplo:

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255
    
     set rnat a1 -natIP <SNIP>
    
     apply acls
     <!--NeedCopy-->
    
  • Especifique un servidor de nombres DNS para resolver nombres de dominio. Para obtener más información, consulte Configuración inicial.
  • Asegúrese de que la fecha del dispositivo está sincronizada con los servidores NTP. Si la fecha no está sincronizada, el dispositivo no puede comprobar de manera efectiva si un certificado de servidor de origen está caducado.

Para utilizar el dispositivo Citrix SWG, debe realizar las siguientes tareas:

  • Agregue un servidor proxy en modo explícito o transparente.
  • Habilitar la intercepción SSL.
    • Configure un perfil SSL.
    • Agregue y vincule directivas SSL al servidor proxy.
    • Agregue y vincule un par de claves de certificado de CA para la intercepción SSL.

Nota: Un dispositivo Citrix SWG configurado en modo proxy transparente puede interceptar solo los protocolos HTTP y HTTPS. Para omitir cualquier otro protocolo, como telnet, debe agregar la siguiente directiva de escucha en el servidor virtual proxy.

El servidor virtual ahora acepta solo el tráfico entrante HTTP y HTTPS.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`
<!--NeedCopy-->

Es posible que deba configurar las siguientes funciones, dependiendo de la implementación:

  • Servicio de autenticación (recomendado): Para autenticar a los usuarios. Sin el Servicio de autenticación, la actividad del usuario se basa en la dirección IP del cliente.
  • Filtrado de URL: Para filtrar las URL por categorías, puntuación de reputación y listas de URL.
  • Análisis: Para ver la actividad del usuario, los indicadores de riesgo del usuario, el consumo de ancho de banda y las transacciones desglosadas en Citrix Application Delivery Management (ADM).

Nota: SWG implementa la mayoría de los estándares HTTP y HTTPS típicos seguidos de productos similares. Esta implementación se realiza sin ningún explorador específico en mente y es compatible con los exploradores más comunes. SWG ha sido probado con exploradores comunes y versiones recientes de Google Chrome, Internet Explorer y Mozilla Firefox.

Asistente de puerta de enlace web segura

El asistente SWG proporciona a los administradores una herramienta para administrar toda la implementación SWG mediante un explorador web. Ayuda a guiar a los clientes para crear un servicio SWG rápidamente y ayuda a simplificar la configuración siguiendo una secuencia de pasos bien definidos.

  1. Abra su explorador web e introduzca la dirección NSIP que especificó durante la configuración inicial. Para obtener más información acerca de la configuración inicial, consulte Configuración inicial.

  2. Introduzca su nombre de usuario y contraseña.

    Imagen localizada

  3. Si no ha especificado una dirección IP de subred (SNIP), aparecerá la siguiente pantalla.

    Imagen localizada

    En Dirección IP de subred, introduzca una dirección IP y una máscara de subred. La marca de verificación en un círculo verde indica que el valor está configurado.

  4. En Nombre de host, Dirección IP DNS y Zona horaria, agregue la dirección IP de un servidor DNS para resolver nombres de dominio y especifique la zona horaria.

  5. Haga clic en Continuar.

  6. (Opcional) Es posible que vea un signo de exclamación, como se indica a continuación:

    Imagen localizada

    Esta marca indica que la función no está habilitada. Para habilitar la función, haga clic con el botón secundario en la función y, a continuación, haga clic en Habilitar

    Imagen localizada

  7. En el panel de navegación, haga clic en Secure Web Gateway. En Introducción, haga clic en Asistente para puerta de Secure Web Gateway.

    Imagen localizada

  8. Siga los pasos del asistente para configurar la implementación.

Agregar una directiva de escucha al servidor proxy transparente

  1. Vaya a Secure Web Gateway > Servidores proxy. Seleccione el servidor proxy transparente y haga clic en Modificar.

  2. Modifique la configuración básica y haga clic en Más.

  3. En Prioridad de escucha, escriba 1.

  4. En Expresión de directiva de escucha, escriba la siguiente expresión:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

    Esta expresión asume puertos estándar para el tráfico HTTP y HTTPS. Si ha configurado puertos diferentes, por ejemplo 8080 para HTTP o 8443 para HTTPS, modifique la expresión para reflejar esos puertos.

Limitaciones

SWG no se admite en una configuración de clúster, en particiones de administración y en un dispositivo FIPS de Citrix ADC.

Introducción a un dispositivo Citrix ADC MPX y VPX SWG