Citrix Secure Web Gateway

Modos de proxy

September 29, 2025

Contribución de:

C C

El dispositivo Citrix Secure Web Gateway™ (SWG) actúa como proxy de un cliente para conectarse a internet y a las aplicaciones SaaS. Como proxy, acepta todo el tráfico y determina su protocolo. A menos que el tráfico sea HTTP o SSL, se reenvía al destino tal cual. Cuando el dispositivo recibe una solicitud de un cliente, la intercepta y realiza algunas acciones, como la autenticación de usuarios, la categorización de sitios y la redirección. Utiliza políticas para determinar qué tráfico permitir y qué tráfico bloquear.

El dispositivo mantiene dos sesiones diferentes: una entre el cliente y el proxy, y otra entre el proxy y el servidor de origen. El proxy se basa en políticas definidas por el cliente para permitir o bloquear el tráfico HTTP y HTTPS. Por lo tanto, es importante que definas políticas para omitir datos confidenciales, como información financiera. El dispositivo ofrece un amplio conjunto de atributos de tráfico de capa 4 a capa 7 y atributos de identidad de usuario para crear políticas de gestión de tráfico.

Para el tráfico SSL, el proxy verifica el certificado del servidor de origen y establece una conexión legítima con el servidor. Luego, emula el certificado del servidor, lo firma usando un certificado de CA instalado en Citrix® SWG y presenta el certificado de servidor creado al cliente. Debes agregar el certificado de CA como un certificado de confianza al navegador del cliente para que la sesión SSL se establezca correctamente.

El dispositivo admite los modos de proxy transparente y explícito. En el modo de proxy explícito, el cliente debe especificar una dirección IP en su navegador, a menos que la organización envíe la configuración al dispositivo del cliente. Esta dirección es la dirección IP de un servidor proxy configurado en el dispositivo SWG. Todas las solicitudes del cliente se envían a esta dirección IP. Para el proxy explícito, debes configurar un servidor virtual de conmutación de contenido de tipo PROXY y especificar una dirección IP y un número de puerto válido.

El proxy transparente, como su nombre indica, es transparente para el cliente. Es decir, es posible que los clientes no sean conscientes de que un servidor proxy está mediando sus solicitudes. El dispositivo SWG está configurado en una implementación en línea y acepta de forma transparente todo el tráfico HTTP y HTTPS. Para el proxy transparente, debes configurar un servidor virtual de conmutación de contenido de tipo PROXY, con asteriscos (* *) como dirección IP y puerto. Cuando usas el asistente de Secure Web Gateway en la GUI, no tienes que especificar una dirección IP y un puerto.

Nota

Para interceptar protocolos distintos de HTTP y HTTPS en modo de proxy transparente, debes agregar una política de escucha y vincularla al servidor proxy.

Configurar el proxy de reenvío SSL mediante la CLI de Citrix SWG

En el símbolo del sistema, escribe:

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

Argumentos:

Nombre:

Nombre del servidor proxy. Debe comenzar con un carácter alfanumérico ASCII o un guion bajo (_) y debe contener solo caracteres alfanuméricos ASCII, guiones bajos, almohadillas (#), puntos (.), espacios, dos puntos (:), arrobas (@), signos de igual (=) y guiones (-). No se puede cambiar después de crear el servidor virtual CS.

El siguiente requisito se aplica solo a la CLI:

Si el nombre incluye uno o más espacios, escríbelo entre comillas dobles o simples (por ejemplo, “mi servidor” o ‘mi servidor’).

Este es un argumento obligatorio. Longitud máxima: 127

Dirección IP:

Dirección IP del servidor proxy.

Puerto:

Número de puerto para el servidor proxy. Valor mínimo: 1

Ejemplo de proxy explícito:

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

Ejemplo de proxy transparente:

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

Agregar una política de escucha al servidor proxy transparente mediante la GUI de Citrix SWG

Navega a Secure Web Gateway > Proxy Servers. Selecciona el servidor proxy transparente y haz clic en Editar.
Modifica Basic Settings y haz clic en More.
En Listen priority, introduce 1.

En Listen Policy Expression, introduce la siguiente expresión:

(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
<!--NeedCopy-->

Nota

Esta expresión asume puertos estándar para el tráfico HTTP y HTTPS. Si has configurado puertos diferentes, por ejemplo 8080 para HTTP o 8443 para HTTPS, modifica la expresión anterior para especificar esos puertos.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

NetScaler Secure Deployment Guide

Modos de proxy

September 29, 2025

Contribución de:

C C

September 29, 2025

Contribución de:

C C

En este artículo

Configurar el proxy de reenvío SSL mediante la CLI de Citrix SWG
Agregar una política de escucha al servidor proxy transparente mediante la GUI de Citrix SWG

¿Le ha resultado útil?

NetScaler Secure Deployment Guide