Modos de proxy
El dispositivo Citrix Secure Web Gateway (SWG) actúa como proxy de cliente para conectarse a Internet y aplicaciones SaaS. Como proxy, acepta todo el tráfico y determina el protocolo del tráfico. A menos que el tráfico sea HTTP o SSL, se reenvía al destino tal como está. Cuando el dispositivo recibe una solicitud de un cliente, intercepta la solicitud y realiza algunas acciones, como la autenticación de usuarios, la categorización de sitios y la redirección. Utiliza directivas para determinar qué tráfico permitir y qué tráfico bloquear.
El dispositivo mantiene dos sesiones diferentes, una entre el cliente y el proxy y la otra entre el proxy y el servidor de origen. El proxy se basa en directivas definidas por el cliente para permitir o bloquear el tráfico HTTP y HTTPS. Por lo tanto, es importante que defina directivas para eludir los datos confidenciales, como la información financiera. El dispositivo ofrece un amplio conjunto de atributos de tráfico de capa 4 a capa 7 y atributos de identidad de usuario para crear directivas de administración de tráfico.
Para el tráfico SSL, el proxy verifica el certificado del servidor de origen y establece una conexión legítima con el servidor. A continuación, emula el certificado del servidor, lo firma con un certificado de CA instalado en Citrix SWG y presenta el certificado de servidor creado al cliente. Debe agregar el certificado de CA como certificado de confianza al explorador del cliente para que la sesión SSL se establezca correctamente.
El dispositivo admite modos proxy transparentes y explícitos. En el modo proxy explícito, el cliente debe especificar una dirección IP en su explorador, a menos que la organización inserte la configuración en el dispositivo del cliente. Esta dirección es la dirección IP de un servidor proxy configurado en el dispositivo SWG. Todas las solicitudes del cliente se envían a esta dirección IP. Para proxy explícito, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY y especificar una dirección IP y un número de puerto válido.
Proxy transparente, como su nombre lo indica, es transparente para el cliente. Es decir, es posible que los clientes no sean conscientes de que un servidor proxy está mediando sus solicitudes. El dispositivo SWG está configurado en una implementación en línea y acepta de forma transparente todo el tráfico HTTP y HTTPS. Para proxy transparente, debe configurar un servidor virtual de conmutación de contenido de tipo PROXY, con asteriscos (*) como dirección IP y puerto. Al utilizar el asistente Secure Web Gateway en la GUI, no es necesario especificar una dirección IP ni un puerto.
Nota
Para interceptar protocolos distintos de HTTP y HTTPS en modo proxy transparente, debe agregar una directiva de escucha y vincularla al servidor proxy.
Configurar proxy de reenvío SSL mediante la CLI de Citrix SWG
En el símbolo del sistema, escriba:
add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->
Argumentos:
Nombre:
Nombre del servidor proxy. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar después de crear el servidor virtual CS.
El siguiente requisito solo se aplica a la CLI:
Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi servidor” o “mi servidor”).
Este es un argumento obligatorio. Longitud máxima: 127
Dirección IP:
Dirección IP del servidor proxy.
puerto:
Número de puerto para el servidor proxy. Valor mínimo: 1
Ejemplo de proxy explícito:
add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->
Ejemplo de proxy transparente:
add cs vserver swgVS PROXY * *
<!--NeedCopy-->
Agregar una directiva de escucha al servidor proxy transparente mediante la GUI de Citrix SWG
- Vaya a Secure Web Gateway > Servidores proxy. Seleccione el servidor proxy transparente y haga clic en Modificar.
- Modifique la configuración básica y haga clic en Más.
- En Prioridad de escucha, escriba 1.
-
En Expresión de directiva de escucha, escriba la siguiente expresión:
(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443)) <!--NeedCopy-->
Nota
Esta expresión asume puertos estándar para el tráfico HTTP y HTTPS. Si ha configurado puertos diferentes, por ejemplo 8080 para HTTP o 8443 para HTTPS, modifique la expresión anterior para especificar esos puertos.