ADC

Premiers pas avec la fonctionnalité de proxy de transfert SSL

Important :

  • La vérification OCSP nécessite une connexion Internet pour vérifier la validité des certificats. Si votre appliance n’est pas accessible depuis Internet à l’aide de l’adresse NSIP, ajoutez des listes de contrôle d’accès (ACL) pour effectuer la NAT de l’adresse NSIP à l’adresse IP du sous-réseau (SNIP). Le SNIP doit être en mesure d’accéder à Internet. Par exemple,

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP “!=” 10.0.0.0-10.255.255.255
    
     add rnat RNAT-1 a1
    
     bind rnat RNAT-1 <SNIP>
    
     apply acls
     <!--NeedCopy-->
    
  • Spécifiez un serveur de noms DNS pour résoudre les noms de domaine.
  • Assurez-vous que la date de l’appliance est synchronisée avec celle des serveurs NTP. Si la date n’est pas synchronisée, l’appliance ne peut pas vérifier efficacement si un certificat du serveur d’origine a expiré.

Pour utiliser la fonctionnalité de proxy de transfert SSL, vous devez effectuer les tâches suivantes :

  • Ajoutez un serveur proxy en mode explicite ou transparent.
  • Activez l’interception SSL.
    • Configurez un profil SSL.
    • Ajoutez et liez des stratégies SSL au serveur proxy.
    • Ajoutez et liez une paire de clés de certification CA pour l’interception SSL.

Remarque :

Une appliance ADC configurée en mode proxy transparent ne peut intercepter que les protocoles HTTP et HTTPS. Pour contourner tout autre protocole, tel que telnet, vous devez ajouter la stratégie d’écoute suivante sur le serveur virtuel proxy.

Le serveur virtuel accepte désormais uniquement le trafic entrant HTTP et HTTPS.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`
<!--NeedCopy-->

Vous devrez peut-être configurer les fonctionnalités suivantes, en fonction de votre déploiement :

  • Service d’authentification (recommandé) : pour authentifier les utilisateurs. Sans le service d’authentification, l’activité de l’utilisateur est basée sur l’adresse IP du client.
  • Filtrage d’URL : pour filtrer les URL par catégories, score de réputation et listes d’URL.
  • Analyses : pour visualiser l’activité des utilisateurs, les indicateurs de risque des utilisateurs, la consommation de bande passante et la ventilation des transactions dans NetScaler Application Delivery Management (ADM).

Remarque : SSL Forward Proxy implémente les normes HTTP et HTTPS les plus courantes, suivies de produits similaires. Cette implémentation est faite sans navigateur spécifique à l’esprit et est compatible avec la plupart des navigateurs courants. SSL Forward Proxy a été testé avec des navigateurs courants et des versions récentes de Google Chrome, Internet Explorer et Mozilla Firefox.

Assistant de transfert de proxy SSL

L’assistant de proxy de transfert SSL fournit aux administrateurs un outil permettant de gérer l’intégralité du déploiement du proxy de transfert SSL à l’aide d’un navigateur Web. Il aide les clients à mettre en place rapidement un service proxy de transfert SSL et simplifie la configuration en suivant une séquence d’étapes bien définies.

  1. Accédez à Sécurité > Proxy de transfert SSL. Dans Mise en route, cliquez sur Assistant proxy de transfert SSL.

    Nouveau magicien

  2. Suivez les étapes de l’assistant pour configurer votre déploiement.

Ajouter une stratégie d’écoute au serveur proxy transparent

  1. Accédez à Sécurité > Proxy SSL Forward > Serveurs virtuels proxy. Sélectionnez le serveur proxy transparent et cliquez sur Modifier.

  2. Modifiez les paramètres de base, puis cliquez sur Plus.

  3. Dans Priorité d’écoute, saisissez 1.

  4. Dans Expression de stratégie d’écoute, entrez l’expression suivante :

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

    Cette expression suppose des ports standard pour le trafic HTTP et HTTPS. Si vous avez configuré différents ports, par exemple 8080 pour HTTP ou 8443 pour HTTPS, modifiez l’expression pour refléter ces ports.

Limitations

Le proxy de transfert SSL n’est pas pris en charge dans une configuration de cluster, dans les partitions d’administration et sur une appliance NetScaler FIPS.

Premiers pas avec la fonctionnalité de proxy de transfert SSL