Integración con IPS o NGFW como dispositivos en línea

Los dispositivos de seguridad como el sistema de prevención de intrusiones (IPS) y el firewall de próxima generación (NGFW) protegen los servidores contra ataques de red. Estos dispositivos pueden inspeccionar el tráfico en vivo y, por lo general, se implementan en el modo en línea de capa 2. Citrix Secure Web Gateway (SWG) proporciona seguridad a los usuarios y a la red empresarial al acceder a recursos en Internet.

Un dispositivo Citrix SWG se puede integrar con uno o más dispositivos en línea para evitar amenazas y proporcionar protección de seguridad avanzada. Los dispositivos en línea pueden ser cualquier dispositivo de seguridad, como IPS y NGFW.

Algunos casos de uso en los que puede beneficiarse con el dispositivo Citrix SWG y la integración de dispositivos en línea son:

  • Inspección del tráfico cifrado: la mayoría de los dispositivos IPS y NGFW evitan el tráfico cifrado, lo que puede dejar a los servidores vulnerables a los ataques. Un dispositivo Citrix SWG puede descifrar el tráfico y enviarlo a los dispositivos en línea para su inspección. Esta integración mejora la seguridad de la red del cliente.

  • Descarga de dispositivos en línea del procesamiento TLS/SSL: El procesamiento TLS/SSL es costoso, lo que puede resultar en una alta utilización de CPU en dispositivos IPS o NGFW si también descifran el tráfico. Un dispositivo Citrix SWG ayuda a descargar el procesamiento TLS/SSL de los dispositivos en línea. Como resultado, los dispositivos en línea pueden inspeccionar un mayor volumen de tráfico.

  • Equilibrio de carga de dispositivos en línea: si ha configurado varios dispositivos en línea para administrar el tráfico pesado, un dispositivo Citrix SWG puede equilibrar la carga y distribuir el tráfico de manera uniforme a estos dispositivos.

  • Selección inteligente del tráfico: en lugar de enviar todo el tráfico al dispositivo en línea para su inspección, el dispositivo realiza una selección inteligente del tráfico. Por ejemplo, omite el envío de archivos de texto para su inspección a los dispositivos en línea.

Integración de Citrix SWG con dispositivos en línea

El siguiente diagrama muestra cómo se integra un Citrix SWG con dispositivos de seguridad en línea.

vista general de ips

Cuando integra dispositivos en línea con el dispositivo Citrix SWG, los componentes interactúan de la siguiente manera:

  1. Un cliente envía una solicitud a un dispositivo Citrix SWG.

  2. El dispositivo envía los datos al dispositivo en línea para la inspección de contenido en función de la evaluación de directivas. Para el tráfico HTTPS, el dispositivo descifra los datos y los envía en texto sin formato al dispositivo en línea para la inspección del contenido.

    Nota:

    Si hay dos o más dispositivos en línea, la carga del dispositivo equilibra los dispositivos y envía el tráfico.

  3. El dispositivo en línea inspecciona los datos en busca de amenazas y decide si quiere eliminar, restablecer o enviar los datos al dispositivo.

  4. Si hay amenazas de seguridad, el dispositivo modifica los datos y los envía al dispositivo.

  5. Para el tráfico HTTPS, el dispositivo vuelve a cifrar los datos y reenvía la solicitud al servidor back-end.

  6. El servidor back-end envía la respuesta al dispositivo.

  7. El dispositivo vuelve a descifrar los datos y los envía al dispositivo en línea para su inspección.

  8. El dispositivo en línea inspecciona los datos. Si hay amenazas de seguridad, el dispositivo modifica los datos y los envía al dispositivo.

  9. El dispositivo vuelve a cifrar los datos y envía la respuesta al cliente.

Configuración de la integración de dispositivos en línea

Puede configurar un dispositivo Citrix SWG con un dispositivo en línea de tres maneras diferentes, como se indica a continuación:

Caso 1: Uso de un único dispositivo en línea

Para integrar un dispositivo de seguridad (IPS o NGFW) en modo en línea, debe habilitar la inspección de contenido y el reenvío basado en MAC (MBF) en modo global en el dispositivo SWG. A continuación, agregue un perfil de inspección de contenido, un servicio TCP, una acción de inspección de contenido para que los dispositivos en línea restablezcan, bloqueen o descarten el tráfico basándose en la inspección. Agregue también una directiva de inspección de contenido que el dispositivo utiliza para decidir el subconjunto de tráfico que se va a enviar a los dispositivos en línea. Por último, configure el servidor virtual proxy con la conexión de capa 2 habilitada en el servidor y vincule la directiva de inspección de contenido a este servidor virtual proxy.

dispositivo en línea único

Siga estos pasos:

  1. Habilite el modo de reenvío basado en Mac (MPF).

  2. Habilite la función de inspección de contenido.

  3. Agregue un perfil de inspección de contenido para el servicio. El perfil de inspección de contenido contiene la configuración del dispositivo en línea que integra el dispositivo SWG con un dispositivo en línea.

  4. (Opcional) Agregue un monitor TCP.

    Nota:

    Los dispositivos transparentes no tienen una dirección IP. Por lo tanto, para realizar comprobaciones de estado, debe vincular explícitamente un monitor.

  5. Agregar un servicio. Un servicio representa un dispositivo en línea.

  6. (Opcional) Enlazar el servicio al monitor TCP.

  7. Agregue una acción de inspección de contenido para el servicio.

  8. Agregue una directiva de inspección de contenido y especifique la acción.

  9. Agregue un servidor virtual de proxy HTTP o HTTPS (cambio de contenido).

  10. Enlazar la directiva de inspección de contenido al servidor virtual.

Configuración mediante la CLI

Escriba los siguientes comandos en el símbolo del sistema. Los ejemplos se dan después de la mayoría de los comandos.

  1. Habilitar MBF.

    enable ns mode mbf
    <!--NeedCopy-->
    
  2. Habilite la función.

    enable ns feature contentInspection
    <!--NeedCopy-->
    
  3. Agregar un perfil de inspección de contenido.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection profile ipsprof -type InlineInspection -ingressinterface "1/2" -egressInterface "1/3"
    <!--NeedCopy-->
    
  4. Agregar un servicio. Especifique una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establezca use source IP address (USIP) en YES. Ajuste useproxyport en NO. Apague el monitor de salud. Active la supervisión de estado solo si vincula este servicio a un monitor TCP. Si vincula un monitor a un servicio, establezca la opción TRANSPARENTE del monitor en ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Ejemplo:

    add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof
    
    <!--NeedCopy-->
    
  5. Agregar una acción de inspección de contenido.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
    <!--NeedCopy-->
    
  6. Agregar una directiva de inspección de contenido.

    add contentInspection policy <name> -rule <expression> -action <string>
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    <!--NeedCopy-->
    
  7. Agregue un servidor virtual proxy.

    add cs vserver <name> PROXY <IPAddress> <port> -cltTimeout <secs> -Listenpolicy <expression> -authn401 ( ON | OFF ) -authnVsName <string> -l2Conn ON
    <!--NeedCopy-->
    

    Ejemplo:

    add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn ON
    <!--NeedCopy-->
    
  8. Enlazar la directiva al servidor virtual.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    <!--NeedCopy-->
    

    Ejemplo:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    

Configuración mediante la GUI

  1. Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar modos.

    Parámetros del sistema

    Habilitar reenvío basado en Mac

  2. Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar funciones avanzadas.

    Parámetros avanzados

    Habilitar inspección de contenido

  3. Vaya a Secure Web Gateway > Inspección de contenido > Perfiles de inspección de contenido. Haga clic en Agregar.

    Perfil de inspección de contenido

  4. Desplácese hasta Equilibrio de carga > Servicios > Agregar y agregar un servicio. En Configuración avanzada, haga clic en Perfiles. En la lista Nombre de perfil de CI, seleccione el perfil de inspección de contenido creado anteriormente. En Configuración del servicio, establezca Usar dirección IP de origenen YES y Usar puerto proxyen No. En Configuración básica, establezca Supervisión del estadoen NO. Active la supervisión de estado solo si vincula este servicio a un monitor TCP. Si vincula un monitor a un servicio, establezca la opción TRANSPARENTE en monitor en ON.

    Vincular el perfil de inspección de contenido al servicio

    Parámetros adicionales

    Configuración de supervisión del estado

  5. Vaya a Secure Web Gateway > Servidores virtuales Proxy > Agregar. Especifique un nombre, una dirección IP y un puerto. En Configuración avanzada, seleccione Directivas. Haga clic en el signo “+”.

    Agregar directiva

  6. En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.

    Directiva de inspección de contenido

  7. Haga clic en Agregar. Especifique un nombre. En Acción, haga clic en Agregar.

    Agregar acción

  8. Especifique un nombre. En Tipo, seleccione INLINEINSPECTION. En Nombre del servidor, seleccione el servicio TCP creado anteriormente.

    Acción de inspección de contenido

  9. Haga clic en Crear. Especifique la regla y haga clic en Crear.

    Agregar regla de directiva

  10. Haga clic en Bind.

  11. Haga clic en Done.

Caso 2: Equilibrio de carga de varios dispositivos en línea con interfaces dedicadas

Si utiliza dos o más dispositivos en línea, puede equilibrar la carga de los dispositivos mediante diferentes servicios de inspección de contenido con interfaces dedicadas. En este caso, la carga del dispositivo Citrix SWG equilibra el subconjunto de tráfico enviado a cada dispositivo a través de una interfaz dedicada. El subconjunto se decide en función de las directivas configuradas. Por ejemplo, es posible que los archivos TXT o de imagen no se envíen para su inspección a los dispositivos en línea.

varios dispositivos en línea

La configuración básica sigue siendo la misma que en el caso 1. Sin embargo, debe crear un perfil de inspección de contenido para cada dispositivo en línea y especificar la interfaz de entrada y salida en cada perfil. Agregue un servicio para cada dispositivo en línea. Agregue un servidor virtual de equilibrio de carga y especifíquelo en la acción de inspección de contenido. Realice los siguientes pasos adicionales:

  1. Agregue perfiles de inspección de contenido para cada servicio.

  2. Agregue un servicio para cada dispositivo.

  3. Agregue un servidor virtual de equilibrio de carga.

  4. Especifique el servidor virtual de equilibrio de carga en la acción de inspección de contenido.

Configuración mediante la CLI

Escriba los siguientes comandos en el símbolo del sistema. Se dan ejemplos después de cada comando.

  1. Habilitar MBF.

    enable ns mode mbf
    <!--NeedCopy-->
    
  2. Habilite la función.

    enable ns feature contentInspection
    <!--NeedCopy-->
    
  3. Agregar perfil 1 para el servicio 1.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
    <!--NeedCopy-->
    
  4. Agregar perfil 2 para el servicio 2.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
    <!--NeedCopy-->
    
  5. Agregar servicio 1. Especifique una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establezca use source IP address (USIP) en YES. Ajuste useproxyport en NO. Apague el monitor de salud. Active la supervisión de estado solo si vincula este servicio a un monitor TCP. Si vincula un monitor a un servicio, establezca la opción TRANSPARENTE del monitor en ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Ejemplo:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
    <!--NeedCopy-->
    
  6. Agregar servicio 2. Especifique una dirección IP ficticia que no sea propiedad de ninguno de los dispositivos, incluidos los dispositivos en línea. Establezca use source IP address (USIP) en YES. Ajuste useproxyport en NO. Apague el monitor de salud. Active la supervisión de estado solo si vincula este servicio a un monitor TCP. Si vincula un monitor a un servicio, establezca la opción TRANSPARENTE del monitor en ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Ejemplo:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO  -contentInspectionProfileName ipsprof2
    <!--NeedCopy-->
    
  7. Agregue un servidor virtual de equilibrio de carga.

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
    <!--NeedCopy-->
    

    Ejemplo:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
    <!--NeedCopy-->
    
  8. Enlazar los servicios al servidor virtual de equilibrio de carga.

    bind lb vserver <LB_VSERVER_NAME> <service_name>
    bind lb vserver <LB_VSERVER_NAME> <service_name>
    <!--NeedCopy-->
    

    Ejemplo:

    bind lb vserver lb_inline_vserver ips_service1
    bind lb vserver lb_inline_vserver ips_service2
    <!--NeedCopy-->
    
  9. Especifique el servidor virtual de equilibrio de carga en la acción de inspección de contenido.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
    <!--NeedCopy-->
    
  10. Agregar una directiva de inspección de contenido. Especifique la acción de inspección de contenido en la directiva.

    add contentInspection policy <name> -rule <expression> -action <string>
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    <!--NeedCopy-->
    
  11. Agregue un servidor virtual proxy.

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    <!--NeedCopy-->
    

    Ejemplo:

    add cs vserver transparentcs PROXY * * -l2Conn ON
    <!--NeedCopy-->
    
  12. Enlazar la directiva de inspección de contenido al servidor virtual.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    <!--NeedCopy-->
    

    Ejemplo:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    

Configuración mediante la GUI

  1. Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar modos.

    Parámetros del sistema

    Habilitar reenvío basado en Mac

  2. Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar funciones avanzadas.

    Parámetros avanzados

    Habilitar inspección de contenido

  3. Vaya a Secure Web Gateway > Inspección de contenido > Perfiles de inspección de contenido. Haga clic en Agregar.

    Perfil de inspección de contenido

    Especifique las interfaces de entrada y salida.

    Especificar interfaces de entrada y salida

    Cree dos perfiles. Especifique una interfaz de entrada y salida diferente en el segundo perfil.

  4. Desplácese hasta Equilibrio de carga > Servicios > Agregar y agregar un servicio. En Configuración avanzada, haga clic en Perfiles. En la lista Nombre de perfil de CI, seleccione el perfil de inspección de contenido creado anteriormente. En Configuración del servicio, establezca Usar dirección IP de origenen YES y Usar puerto proxyen No. En Configuración básica, establezca Supervisión del estadoen NO. Active la supervisión de estado solo si vincula este servicio a un monitor TCP. Si vincula un monitor a un servicio, establezca la opción TRANSPARENTE en monitor en ON.

    Vincular el perfil de inspección de contenido al servicio

    Parámetros adicionales

    Configuración de supervisión del estado

    Cree dos servicios. Especifique direcciones IP ficticias que no pertenecen a ninguno de los dispositivos, incluidos los dispositivos en línea.

  5. Desplácese hasta Equilibrio de carga > Servidores virtuales > Agregar. Cree un servidor virtual de equilibrio de carga TCP.

    Servidor virtual de equilibrio de carga

    Haga clic en OK.

  6. Haga clic dentro de la sección Enlace del servicio de servidor virtual de equilibrio de carga. En Enlace de servicio, haga clic en la flecha de Seleccionar servicio. Seleccione los dos servicios creados anteriormente y haga clic en Seleccionar. Haga clic en Bind.

    Flecha de clic

    Seleccionar servicios para enlazar

    Vincular servicios al servidor virtual

  7. Vaya a Secure Web Gateway > Servidores virtuales Proxy > Agregar. Especifique un nombre, una dirección IP y un puerto. En Configuración avanzada, seleccione Directivas. Haga clic en el signo “+”.

    Agregar directiva

  8. En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.

    Directiva de inspección de contenido

  9. Haga clic en Agregar. Especifique un nombre. En Acción, haga clic en Agregar.

    Agregar acción

  10. Especifique un nombre. En Tipo, seleccione INLINEINSPECTION. En Nombre del servidor, seleccione el servidor virtual de equilibrio de carga creado anteriormente.

    Acción de inspección de contenido

  11. Haga clic en Crear. Especifique la regla y haga clic en Crear.

    Agregar regla de directiva

  12. Haga clic en Bind.

  13. Haga clic en Done.

Caso 3: Equilibrio de carga de varios dispositivos en línea con interfaces compartidas

Si utiliza dos o más dispositivos en línea, puede equilibrar la carga de los dispositivos mediante diferentes servicios de inspección de contenido con interfaces compartidas. En este caso, la carga del dispositivo Citrix SWG equilibra el subconjunto de tráfico enviado a cada dispositivo a través de una interfaz compartida. El subconjunto se decide en función de las directivas configuradas. Por ejemplo, es posible que los archivos TXT o de imagen no se envíen para su inspección a los dispositivos en línea.

varios dispositivos en línea con interfaz compartida

La configuración básica sigue siendo la misma que en el caso 2. Para este caso, vincule las interfaces a diferentes VLAN para segregar el tráfico de cada dispositivo en línea. Especifique las VLAN en los perfiles de inspección de contenido. Realice los siguientes pasos adicionales:

  1. Enlazar las interfaces compartidas a diferentes VLAN.

  2. Especifique las VLAN de entrada y salida en los perfiles de inspección de contenido.

Configuración mediante la CLI

Escriba los siguientes comandos en el símbolo del sistema. Se dan ejemplos después de cada comando.

  1. Habilitar MBF.

    enable ns mode mbf
    <!--NeedCopy-->
    
  2. Habilite la función.

    enable ns feature contentInspection
    <!--NeedCopy-->
    
  3. Enlazar las interfaces compartidas a diferentes VLAN.

    bind vlan <id> -ifnum <interface> -tagged
    <!--NeedCopy-->
    

    Ejemplo:

    bind vlan 100 –ifnum 1/2 tagged
    bind vlan 200 –ifnum 1/3 tagged
    bind vlan 300 –ifnum 1/2 tagged
    bind vlan 400 –ifnum 1/3 tagged
    <!--NeedCopy-->
    
  4. Agregar perfil 1 para el servicio 1. Especifique las VLAN de entrada y salida en el perfil.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection profile ipsprof1 -type InlineInspection -egressInterface "1/3" -ingressinterface "1/2" –egressVlan 100 -ingressVlan 300
    <!--NeedCopy-->
    
  5. Agregar perfil 2 para el servicio 2. Especifique las VLAN de entrada y salida en el perfil.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection profile ipsprof2 -type InlineInspection -egressInterface "1/3" -ingressinterface "1/2" –egressVlan 200 -ingressVlan 400
    <!--NeedCopy-->
    
  6. Agregar servicio 1.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Ejemplo:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
    <!--NeedCopy-->
    
  7. Agregar servicio 2.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Ejemplo:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
    <!--NeedCopy-->
    
  8. Agregue un servidor virtual de equilibrio de carga.

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
    <!--NeedCopy-->
    

    Ejemplo:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
    <!--NeedCopy-->
    
  9. Enlazar los servicios al servidor virtual de equilibrio de carga.

    bind lb vserver <LB_VSERVER_NAME> <service_name>
    bind lb vserver <LB_VSERVER_NAME> <service_name>
    <!--NeedCopy-->
    

    Ejemplo:

    bind lb vserver lb_inline_vserver ips_service1
    bind lb vserver lb_inline_vserver ips_service2
    <!--NeedCopy-->
    
  10. Especifique el servidor virtual de equilibrio de carga en la acción de inspección de contenido.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
    <!--NeedCopy-->
    
  11. Agregar una directiva de inspección de contenido. Especifique la acción de inspección de contenido en la directiva.

    add contentInspection policy <name> -rule <expression> -action <string>
    <!--NeedCopy-->
    

    Ejemplo:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    <!--NeedCopy-->
    
  12. Agregue un servidor virtual proxy.

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    <!--NeedCopy-->
    

    Ejemplo:

    add cs vserver transparentcs PROXY * * -l2Conn ON
    <!--NeedCopy-->
    
  13. Enlazar la directiva de inspección de contenido al servidor virtual.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    <!--NeedCopy-->
    

    Ejemplo:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    

Configuración mediante la GUI

  1. Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar modos.

    Parámetros del sistema

    Habilitar reenvío basado en Mac

  2. Vaya a Sistema > Configuración. En Modos y funciones, haga clic en Configurar funciones avanzadas.

    Parámetros avanzados

    Habilitar inspección de contenido

  3. Vaya a Sistema > Red > VLAN > Agregar. Agregue cuatro VLAN y etiquetarlas a las interfaces.

    Crear VLAN 100

    Crear VLAN 200

    Crear VLAN 300

    Crear VLAN 400

  4. Vaya a Secure Web Gateway > Inspección de contenido > Perfiles de inspección de contenido. Haga clic en Agregar.

    Perfil de inspección de contenido

    Especifique las VLAN de entrada y salida.

    Especificar interfaces y VLAN para el perfil 1

    Cree otros perfiles. Especifique una VLAN de entrada y salida diferente en el segundo perfil.

    Especificar interfaces y VLAN para el perfil 2

  5. Desplácese hasta Equilibrio de carga > Servicios > Agregar y agregar un servicio. En Configuración avanzada, haga clic en Perfiles. En la lista Nombre de perfil de CI, seleccione el perfil de inspección de contenido creado anteriormente. En Configuración del servicio, establezca Usar dirección IP de origenen YES y Usar puerto proxyen No. En Configuración básica, establezca Supervisión del estadoen NO.

    Cree dos servicios. Especifique direcciones IP ficticias que no pertenecen a ninguno de los dispositivos, incluidos los dispositivos en línea. Especifique el perfil 1 en el servicio 1 y el perfil 2 en el servicio 2.

    Enlace el perfil de inspección de contenido 1 al servicio 1

    Vincular el perfil de inspección de contenido 2 al servicio 2

    Parámetros adicionales

    Configuración de supervisión del estado

  6. Desplácese hasta Equilibrio de carga > Servidores virtuales > Agregar. Cree un servidor virtual de equilibrio de carga TCP.

    Servidor virtual de equilibrio de carga

    Haga clic en OK.

  7. Haga clic dentro de la sección Enlace del servicio de servidor virtual de equilibrio de carga. En Enlace de servicio, haga clic en la flecha de Seleccionar servicio. Seleccione los dos servicios creados anteriormente y haga clic en Seleccionar. Haga clic en Bind.

    Flecha de clic

    Seleccionar servicios para enlazar

    Vincular servicios al servidor virtual

  8. Vaya a Secure Web Gateway > Servidores virtuales Proxy > Agregar. Especifique un nombre, una dirección IP y un puerto. En Configuración avanzada, seleccione Directivas. Haga clic en el signo “+”.

    Agregar directiva

  9. En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.

    Directiva de inspección de contenido

  10. Haga clic en Agregar. Especifique un nombre. En Acción, haga clic en Agregar.

    Agregar acción

  11. Especifique un nombre. En Tipo, seleccione INLINEINSPECTION. En Nombre del servidor, seleccione el servidor virtual de equilibrio de carga creado anteriormente.

    Acción de inspección de contenido

  12. Haga clic en Crear. Especifique la regla y haga clic en Crear.

    Agregar regla de directiva

  13. Haga clic en Bind.

  14. Haga clic en Done.

Integración con IPS o NGFW como dispositivos en línea