Documentación de productos
Citrix Secure Web Gateway
12.1
Ver PDF

Integración con IPS o NGFW como dispositivos en línea

September 29, 2025
Contribución de: 
C C

Los dispositivos de seguridad, como el Sistema de Prevención de Intrusiones (IPS) y el Firewall de Próxima Generación (NGFW), protegen los servidores de los ataques de red. Estos dispositivos pueden inspeccionar el tráfico en vivo y suelen implementarse en modo en línea de capa 2. Citrix Secure Web Gateway™ (SWG) proporciona seguridad a los usuarios y a la red empresarial al acceder a recursos en Internet.

Puedes integrar un dispositivo Citrix® SWG con uno o más dispositivos en línea para prevenir amenazas y proporcionar protección de seguridad avanzada. Los dispositivos en línea pueden ser cualquier dispositivo de seguridad, como IPS y NGFW.

Algunos casos de uso en los que puedes beneficiarte de la integración del dispositivo Citrix SWG y los dispositivos en línea son:

  • Inspección del tráfico cifrado: La mayoría de los dispositivos IPS y NGFW omiten el tráfico cifrado, lo que puede dejar a los servidores vulnerables a ataques. Un dispositivo Citrix SWG puede descifrar el tráfico y enviarlo a los dispositivos en línea para su inspección. Esta integración mejora la seguridad de la red del cliente.

  • Descarga del procesamiento TLS/SSL de los dispositivos en línea: El procesamiento TLS/SSL es costoso, lo que puede resultar en una alta utilización de la CPU en los dispositivos IPS o NGFW si también descifran el tráfico. Un dispositivo Citrix SWG ayuda a descargar el procesamiento TLS/SSL de los dispositivos en línea. Como resultado, los dispositivos en línea pueden inspeccionar un mayor volumen de tráfico.

  • Equilibrio de carga de los dispositivos en línea: Si has configurado varios dispositivos en línea para gestionar un tráfico intenso, un dispositivo Citrix SWG puede equilibrar la carga y distribuir el tráfico de manera uniforme a estos dispositivos.

  • Selección inteligente del tráfico: En lugar de enviar todo el tráfico al dispositivo en línea para su inspección, el dispositivo realiza una selección inteligente del tráfico. Por ejemplo, omite el envío de archivos de texto para su inspección a los dispositivos en línea.

Integración de Citrix SWG con dispositivos en línea

El siguiente diagrama muestra cómo se integra un Citrix SWG con dispositivos de seguridad en línea.

ips overview

Cuando integras dispositivos en línea con el dispositivo Citrix SWG, los componentes interactúan de la siguiente manera:

  1. Un cliente envía una solicitud a un dispositivo Citrix SWG.

  2. El dispositivo envía los datos al dispositivo en línea para la inspección de contenido basándose en la evaluación de la política. Para el tráfico HTTPS, el dispositivo descifra los datos y los envía en texto sin formato al dispositivo en línea para la inspección de contenido.

    Nota:

    Si hay dos o más dispositivos en línea, el dispositivo equilibra la carga de los dispositivos y envía el tráfico.

  3. El dispositivo en línea inspecciona los datos en busca de amenazas y decide si descartar, restablecer o enviar los datos de vuelta al dispositivo.

  4. Si hay amenazas de seguridad, el dispositivo modifica los datos y los envía al dispositivo.

  5. Para el tráfico HTTPS, el dispositivo vuelve a cifrar los datos y reenvía la solicitud al servidor back-end.

  6. El servidor back-end envía la respuesta al dispositivo.

  7. El dispositivo vuelve a descifrar los datos y los envía al dispositivo en línea para su inspección.

  8. El dispositivo en línea inspecciona los datos. Si hay amenazas de seguridad, el dispositivo modifica los datos y los envía al dispositivo.

  9. El dispositivo vuelve a cifrar los datos y envía la respuesta al cliente.

Configuración de la integración de dispositivos en línea

Puedes configurar un dispositivo Citrix SWG con un dispositivo en línea de tres maneras diferentes, como se indica a continuación:

Escenario 1: Uso de un único dispositivo en línea

Para integrar un dispositivo de seguridad (IPS o NGFW) en modo en línea, debes habilitar la inspección de contenido y el reenvío basado en MAC (MBF) en modo global en el dispositivo SWG. Luego, agrega un perfil de inspección de contenido, un servicio TCP, una acción de inspección de contenido para que los dispositivos en línea restablezcan, bloqueen o descarten el tráfico basándose en la inspección. También agrega una política de inspección de contenido que el dispositivo utiliza para decidir el subconjunto de tráfico que se enviará a los dispositivos en línea. Finalmente, configura el servidor virtual proxy con la conexión de capa 2 habilitada en el servidor y vincula la política de inspección de contenido a este servidor virtual proxy.

single inline device

Realiza los siguientes pasos:

  1. Habilita el modo de reenvío basado en MAC (MPF).

  2. Habilita la función de inspección de contenido.

  3. Agrega un perfil de inspección de contenido para el servicio. El perfil de inspección de contenido contiene la configuración del dispositivo en línea que integra el dispositivo SWG con un dispositivo en línea.

  4. (Opcional) Agrega un monitor TCP.

    Nota:

    Los dispositivos transparentes no tienen una dirección IP. Por lo tanto, para realizar comprobaciones de estado, debes vincular explícitamente un monitor.

  5. Agrega un servicio. Un servicio representa un dispositivo en línea.

  6. (Opcional) Vincula el servicio al monitor TCP.

  7. Agrega una acción de inspección de contenido para el servicio.

  8. Agrega una política de inspección de contenido y especifica la acción.

  9. Agrega un servidor virtual proxy HTTP o HTTPS (conmutación de contenido).

  10. Vincula la política de inspección de contenido al servidor virtual.

Configuración mediante la CLI

Escribe los siguientes comandos en el símbolo del sistema. Se proporcionan ejemplos después de la mayoría de los comandos.

  1. Habilita MBF.

    enable ns mode mbf
<!--NeedCopy-->

  2. Habilita la función.

    enable ns feature contentInspection
<!--NeedCopy-->

  3. Agrega un perfil de inspección de contenido.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
<!--NeedCopy-->

    Ejemplo:

    add contentInspection profile ipsprof -type InlineInspection -ingressinterface "1/2" -egressInterface "1/3"
<!--NeedCopy-->

  4. Agrega un servicio. Especifica una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establece use source IP address (USIP) en YES. Establece useproxyport en NO. Desactiva el monitor de estado. Activa el monitoreo de estado solo si vinculas este servicio a un monitor TCP. Si vinculas un monitor a un servicio, entonces establece la opción TRANSPARENT en el monitor en ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
<!--NeedCopy-->

    Ejemplo:

    add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof

<!--NeedCopy-->

  5. Agrega una acción de inspección de contenido.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
<!--NeedCopy-->

    Ejemplo:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
<!--NeedCopy-->

  6. Agrega una política de inspección de contenido.

    add contentInspection policy <name> -rule <expression> -action <string>
<!--NeedCopy-->

    Ejemplo:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action
<!--NeedCopy-->

  7. Agrega un servidor virtual proxy.

    add cs vserver <name> PROXY <IPAddress> <port> -cltTimeout <secs> -Listenpolicy <expression> -authn401 ( ON | OFF ) -authnVsName <string> -l2Conn ON
<!--NeedCopy-->

    Ejemplo:

    add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn ON
<!--NeedCopy-->

  8. Vincula la política al servidor virtual.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
<!--NeedCopy-->

    Ejemplo:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
<!--NeedCopy-->

Configuración mediante la GUI

  1. Ve a System > Settings. En Modes and Features, haz clic en Configure Modes.

    System Settings

    Enable Mac Based Forwarding

  2. Ve a System > Settings. En Modes and Features, haz clic en Configure Advanced Features.

    Advanced settings

    Enable Content Inspection

  3. Ve a Secure Web Gateway > Content Inspection > Content Inspection Profiles. Haz clic en Add.

    Content Inspection Profile

  4. Ve a Load Balancing > Services > Add y agrega un servicio. En Advanced Settings, haz clic en Profiles. En la lista CI Profile Name, selecciona el perfil de inspección de contenido creado anteriormente. En Service Settings, establece Use Source IP Address en YES y Use Proxy Port en No. En Basic Settings, establece Health Monitoring en NO. Activa el monitoreo de estado solo si vinculas este servicio a un monitor TCP. Si vinculas un monitor a un servicio, entonces establece la opción TRANSPARENT en el monitor en ON.

    Link content inspection profile to service

    Additional settings

    Health monitoring setting

  5. Ve a Secure Web Gateway > Proxy Virtual Servers > Add. Especifica un nombre, dirección IP y puerto. En Advanced Settings, selecciona Policies. Haz clic en el signo “+”.

    Add policy

  6. En Choose Policy, selecciona Content Inspection. Haz clic en Continue.

    Content Inspection Policy

  7. Haz clic en Add. Especifica un nombre. En Action, haz clic en Add.

    Add action

  8. Especifica un nombre. En Type, selecciona INLINEINSPECTION. En Server Name, selecciona el servicio TCP creado anteriormente.

    Content Inspection Action

  9. Haz clic en Create. Especifica la regla y haz clic en Create.

    Add policy rule

  10. Haz clic en Bind.

  11. Haz clic en Done.

Escenario 2: Equilibrio de carga de múltiples dispositivos en línea con interfaces dedicadas

Si utilizas dos o más dispositivos en línea, puedes equilibrar la carga de los dispositivos utilizando diferentes servicios de inspección de contenido con interfaces dedicadas. En este caso, el dispositivo Citrix SWG equilibra la carga del subconjunto de tráfico enviado a cada dispositivo a través de una interfaz dedicada. El subconjunto se decide en función de las políticas configuradas. Por ejemplo, los archivos TXT o de imagen podrían no enviarse para su inspección a los dispositivos en línea.

multiple inline devices

La configuración básica sigue siendo la misma que en el escenario 1. Sin embargo, debes crear un perfil de inspección de contenido para cada dispositivo en línea y especificar la interfaz de entrada y salida en cada perfil. Agrega un servicio para cada dispositivo en línea. Agrega un servidor virtual de equilibrio de carga y especifícalo en la acción de inspección de contenido. Realiza los siguientes pasos adicionales:

  1. Agrega perfiles de inspección de contenido para cada servicio.

  2. Agrega un servicio para cada dispositivo.

  3. Agrega un servidor virtual de equilibrio de carga.

  4. Especifica el servidor virtual de equilibrio de carga en la acción de inspección de contenido.

Configuración mediante la CLI

Escribe los siguientes comandos en el símbolo del sistema. Se proporcionan ejemplos después de cada comando.

  1. Habilita MBF.

    enable ns mode mbf
<!--NeedCopy-->

  2. Habilita la función.

    enable ns feature contentInspection
<!--NeedCopy-->

  3. Agrega el perfil 1 para el servicio 1.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
<!--NeedCopy-->

    Ejemplo:

    add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
<!--NeedCopy-->

  4. Agrega el perfil 2 para el servicio 2.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
<!--NeedCopy-->

    Ejemplo:

    add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
<!--NeedCopy-->

  5. Agrega el servicio 1. Especifica una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establece use source IP address (USIP) en YES. Establece useproxyport en NO. Desactiva el monitor de estado. Activa el monitoreo de estado solo si vinculas este servicio a un monitor TCP. Si vinculas un monitor a un servicio, entonces establece la opción TRANSPARENT en el monitor en ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
<!--NeedCopy-->

    Ejemplo:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
<!--NeedCopy-->

  6. Agrega el servicio 2. Especifica una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establece use source IP address (USIP) en YES. Establece useproxyport en NO. Desactiva el monitor de estado. Activa el monitoreo de estado solo si vinculas este servicio a un monitor TCP. Si vinculas un monitor a un servicio, entonces establece la opción TRANSPARENT en el monitor en ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
<!--NeedCopy-->

    Ejemplo:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO  -contentInspectionProfileName ipsprof2
<!--NeedCopy-->

  7. Agrega un servidor virtual de equilibrio de carga.

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
<!--NeedCopy-->

    Ejemplo:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
<!--NeedCopy-->

  8. Vincula los servicios al servidor virtual de equilibrio de carga.

    bind lb vserver <LB_VSERVER_NAME> <service_name>
bind lb vserver <LB_VSERVER_NAME> <service_name>
<!--NeedCopy-->

    Ejemplo:

    bind lb vserver lb_inline_vserver ips_service1
bind lb vserver lb_inline_vserver ips_service2
<!--NeedCopy-->

  9. Especifica el servidor virtual de equilibrio de carga en la acción de inspección de contenido.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
<!--NeedCopy-->

    Ejemplo:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
<!--NeedCopy-->

  10. Agrega una política de inspección de contenido. Especifica la acción de inspección de contenido en la política.

    add contentInspection policy <name> -rule <expression> -action <string>
<!--NeedCopy-->

    Ejemplo:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action
<!--NeedCopy-->

  11. Agrega un servidor virtual proxy.

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
<!--NeedCopy-->

    Ejemplo:

    add cs vserver transparentcs PROXY * * -l2Conn ON
<!--NeedCopy-->

  12. Vincula la política de inspección de contenido al servidor virtual.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
<!--NeedCopy-->

    Ejemplo:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
<!--NeedCopy-->

Configuración mediante la GUI

  1. Ve a System > Settings. En Modes and Features, haz clic en Configure Modes.

    System Settings

    Enable Mac Based Forwarding

  2. Ve a System > Settings. En Modes and Features, haz clic en Configure Advanced Features.

    Advanced settings

    Enable Content Inspection

  3. Ve a Secure Web Gateway > Content Inspection > Content Inspection Profiles. Haz clic en Add.

    Content Inspection Profile

    Especifica las interfaces de entrada y salida.

    Specify ingress and egress interfaces

    Crea dos perfiles. Especifica una interfaz de entrada y salida diferente en el segundo perfil.

  4. Ve a Load Balancing > Services > Add y agrega un servicio. En Advanced Settings, haz clic en Profiles. En la lista CI Profile Name, selecciona el perfil de inspección de contenido creado anteriormente. En Service Settings, establece Use Source IP Address en YES y Use Proxy Port en No. En Basic Settings, establece Health Monitoring en NO. Activa el monitoreo de estado solo si vinculas este servicio a un monitor TCP. Si vinculas un monitor a un servicio, entonces establece la opción TRANSPARENT en el monitor en ON.

    Link content inspection profile to service

    Additional settings

    Health monitoring setting

    Crea dos servicios. Especifica direcciones IP ficticias que no sean propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea.

  5. Ve a Load Balancing > Virtual Servers > Add. Crea un servidor virtual de equilibrio de carga TCP.

    Load balancing virtual server

    Haz clic en OK.

  6. Haz clic dentro de la sección Load Balancing Virtual Server Service Binding. En Service Binding, haz clic en la flecha de Select Service. Selecciona los dos servicios creados anteriormente y haz clic en Select. Haz clic en Bind.

    Click arrow

    Select services to bind

    Bind services to virtual server

  7. Ve a Secure Web Gateway > Proxy Virtual Servers > Add. Especifica un nombre, dirección IP y puerto. En Advanced Settings, selecciona Policies. Haz clic en el signo “+”.

    Add policy

  8. En Choose Policy, selecciona Content Inspection. Haz clic en Continue.

    Content Inspection Policy

  9. Haz clic en Add. Especifica un nombre. En Action, haz clic en Add.

    Add action

  10. Especifica un nombre. En Type, selecciona INLINEINSPECTION. En Server Name, selecciona el servidor virtual de equilibrio de carga creado anteriormente.

    Content Inspection Action

  11. Haz clic en Create. Especifica la regla y haz clic en Create.

    Add policy rule

  12. Haz clic en Bind.

  13. Haz clic en Done.

Escenario 3: Equilibrio de carga de múltiples dispositivos en línea con interfaces compartidas

Si utilizas dos o más dispositivos en línea, puedes equilibrar la carga de los dispositivos utilizando diferentes servicios de inspección de contenido con interfaces compartidas. En este caso, el dispositivo Citrix SWG equilibra la carga del subconjunto de tráfico enviado a cada dispositivo a través de una interfaz compartida. El subconjunto se decide en función de las políticas configuradas. Por ejemplo, los archivos TXT o de imagen podrían no enviarse para su inspección a los dispositivos en línea.

multiple inline devices with shared interface

La configuración básica sigue siendo la misma que en el escenario 2. Para este escenario, vincula las interfaces a diferentes VLAN para segregar el tráfico de cada dispositivo en línea. Especifica las VLAN en los perfiles de inspección de contenido. Realiza los siguientes pasos adicionales:

  1. Vincula las interfaces compartidas a diferentes VLAN.

  2. Especifica las VLAN de entrada y salida en los perfiles de inspección de contenido.

Configuración mediante la CLI

Escribe los siguientes comandos en el símbolo del sistema. Se proporcionan ejemplos después de cada comando.

  1. Habilita MBF.

    enable ns mode mbf
<!--NeedCopy-->

  2. Habilita la función.

    enable ns feature contentInspection
<!--NeedCopy-->

  3. Vincula las interfaces compartidas a diferentes VLAN.

    bind vlan <id> -ifnum <interface> -tagged
<!--NeedCopy-->

    Ejemplo:

    bind vlan 100 –ifnum 1/2 tagged
bind vlan 200 –ifnum 1/3 tagged
bind vlan 300 –ifnum 1/2 tagged
bind vlan 400 –ifnum 1/3 tagged
<!--NeedCopy-->

  4. Agrega el perfil 1 para el servicio 1. Especifica las VLAN de entrada y salida en el perfil.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
<!--NeedCopy-->

    Ejemplo:

    add contentInspection profile ipsprof1 -type InlineInspection -egressInterface "1/3" -ingressinterface "1/2" –egressVlan 100 -ingressVlan 300
<!--NeedCopy-->

  5. Agrega el perfil 2 para el servicio 2. Especifica las VLAN de entrada y salida en el perfil.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
<!--NeedCopy-->

    Ejemplo:

    add contentInspection profile ipsprof2 -type InlineInspection -egressInterface "1/3" -ingressinterface "1/2" –egressVlan 200 -ingressVlan 400
<!--NeedCopy-->

  6. Agrega el servicio 1.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
<!--NeedCopy-->

    Ejemplo:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
<!--NeedCopy-->

  7. Agrega el servicio 2.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
<!--NeedCopy-->

    Ejemplo:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
<!--NeedCopy-->

  8. Agrega un servidor virtual de equilibrio de carga.

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
<!--NeedCopy-->

    Ejemplo:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
<!--NeedCopy-->

  9. Vincula los servicios al servidor virtual de equilibrio de carga.

    bind lb vserver <LB_VSERVER_NAME> <service_name>
bind lb vserver <LB_VSERVER_NAME> <service_name>
<!--NeedCopy-->

    Ejemplo:

    bind lb vserver lb_inline_vserver ips_service1
bind lb vserver lb_inline_vserver ips_service2
<!--NeedCopy-->

  10. Especifica el servidor virtual de equilibrio de carga en la acción de inspección de contenido.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
<!--NeedCopy-->

    Ejemplo:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
<!--NeedCopy-->

  11. Agrega una política de inspección de contenido. Especifica la acción de inspección de contenido en la política.

    add contentInspection policy <name> -rule <expression> -action <string>
<!--NeedCopy-->

    Ejemplo:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action
<!--NeedCopy-->

  12. Agrega un servidor virtual proxy.

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
<!--NeedCopy-->

    Ejemplo:

    add cs vserver transparentcs PROXY * * -l2Conn ON
<!--NeedCopy-->

  13. Vincula la política de inspección de contenido al servidor virtual.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
<!--NeedCopy-->

    Ejemplo:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
<!--NeedCopy-->

Configuración mediante la GUI

  1. Ve a System > Settings. En Modes and Features, haz clic en Configure Modes.

    System Settings

    Enable Mac Based Forwarding

  2. Ve a System > Settings. En Modes and Features, haz clic en Configure Advanced Features.

    Advanced settings

    Enable Content Inspection

  3. Ve a System > Network > VLANs > Add. Agrega cuatro VLAN y etiquétalas a las interfaces.

    Create VLAN 100

    Create VLAN 200

    Create VLAN 300

    Create VLAN 400

  4. Ve a Secure Web Gateway > Content Inspection > Content Inspection Profiles. Haz clic en Add.

    Content Inspection Profile

    Especifica las VLAN de entrada y salida.

    Specify interfaces and VLANs for profile 1

    Crea otro perfil. Especifica una VLAN de entrada y salida diferente en el segundo perfil.

    Specify interfaces and VLANs for profile 2

  5. Ve a Load Balancing > Services > Add y agrega un servicio. En Advanced Settings, haz clic en Profiles. En la lista CI Profile Name, selecciona el perfil de inspección de contenido creado anteriormente. En Service Settings, establece Use Source IP Address en YES y Use Proxy Port en No. En Basic Settings, establece Health Monitoring en NO.

    Crea dos servicios. Especifica direcciones IP ficticias que no sean propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Especifica el perfil 1 en el servicio 1 y el perfil 2 en el servicio 2.

    Link content inspection profile 1 to service 1

    Link content inspection profile 2 to service 2

    Additional settings

    Health monitoring setting

  6. Ve a Load Balancing > Virtual Servers > Add. Crea un servidor virtual de equilibrio de carga TCP.

    Load balancing virtual server

    Haz clic en OK.

  7. Haz clic dentro de la sección Load Balancing Virtual Server Service Binding. En Service Binding, haz clic en la flecha de Select Service. Selecciona los dos servicios creados anteriormente y haz clic en Select. Haz clic en Bind.

    Click arrow

    Select services to bind

    Bind services to virtual server

  8. Ve a Secure Web Gateway > Proxy Virtual Servers > Add. Especifica un nombre, dirección IP y puerto. En Advanced Settings, selecciona Policies. Haz clic en el signo “+”.

    Add policy

  9. En Choose Policy, selecciona Content Inspection. Haz clic en Continue.

    Content Inspection Policy

  10. Haz clic en Add. Especifica un nombre. En Action, haz clic en Add.

    Add action

  11. Especifica un nombre. En Type, selecciona INLINEINSPECTION. En Server Name, selecciona el servidor virtual de equilibrio de carga creado anteriormente.

    Content Inspection Action

  12. Haz clic en Create. Especifica la regla y haz clic en Create.

    Add policy rule

  13. Haz clic en Bind.

  14. Haz clic en Done.

Integración con IPS o NGFW como dispositivos en línea
September 29, 2025
Contribución de: 
C C
September 29, 2025
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.