ADC

Modes proxy

L’appliance NetScaler agit en tant que proxy du client pour se connecter à Internet et aux applications SaaS. En tant que proxy, il accepte tout le trafic et détermine le protocole du trafic. À moins que le trafic ne soit HTTP ou SSL, il est transféré tel quel vers la destination. Lorsque l’appliance reçoit une demande d’un client, elle intercepte la demande et exécute certaines actions, telles que l’authentification des utilisateurs, la catégorisation des sites et la redirection. Il utilise des stratégies pour déterminer le trafic à autoriser et le trafic à bloquer.

L’appliance gère deux sessions différentes, l’une entre le client et le proxy et l’autre entre le proxy et le serveur d’origine. Le proxy s’appuie sur des politiques définies par le client pour autoriser ou bloquer le trafic HTTP et HTTPS. Il est donc important que vous définissiez des stratégies pour contourner les données sensibles, telles que les informations financières. L’appliance propose un ensemble complet d’attributs de trafic de couche 4 à 7 et d’attributs d’identité utilisateur pour créer des stratégies de gestion du trafic.

Pour le trafic SSL, le proxy vérifie le certificat du serveur d’origine et établit une connexion légitime avec le serveur. Il émule ensuite le certificat de serveur, le signe à l’aide d’un certificat CA installé sur NetScaler et présente le certificat de serveur créé au client. Vous devez ajouter le certificat CA en tant que certificat de confiance au navigateur du client pour que la session SSL soit correctement établie.

L’appliance prend en charge les modes proxy transparents et explicites. En mode proxy explicite, le client doit spécifier une adresse IP dans son navigateur, à moins que l’organisation n’envoie le paramètre sur le périphérique du client. Cette adresse est l’adresse IP d’un serveur proxy configuré sur l’appliance ADC. Toutes les demandes client sont envoyées à cette adresse IP. Pour un proxy explicite, vous devez configurer un serveur virtuel de commutation de contenu de type PROXY et spécifier une adresse IP et un numéro de port valide. De plus, lorsque le paramètre markconnReqInval est défini sur ON globalement sur le profil HTTP par défaut, vous devez lier un autre profil HTTP avec markconnReqInval défini sur OFF au serveur virtuel de commutation de contenu.

Exemple pour lier un profil HTTP personnalisé au serveur virtuel de commutation de contenu proxy :

add ns httpprofile custom_http_profile1 -markconnReqInval OFF
set cs vserver swgVS -httpprofileName custom_http_profile1
<!--NeedCopy-->

Un proxy transparent, comme son nom l’indique, est transparent pour le client. En d’autres termes, les clients peuvent ne pas savoir qu’un serveur proxy effectue la médiation de leurs demandes. L’appliance ADC est configurée dans le cadre d’un déploiement en ligne et accepte de manière transparente tout le trafic HTTP et HTTPS. Pour un proxy transparent, vous devez configurer un serveur virtuel de commutation de contenu de type PROXY, avec des astérisques (* *) comme adresse IP et port. Lorsque vous utilisez l’ assistant SSL Forward Proxy dans l’interface graphique, vous n’avez pas à spécifier d’adresse IP ni de port.

Remarque

Pour intercepter des protocoles autres que HTTP et HTTPS en mode proxy transparent, vous devez ajouter une stratégie d’écoute et la lier au serveur proxy.

Configurer un proxy de transfert SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

Arguments :

Nom :

Nom du serveur proxy. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du serveur virtuel CS.

L’exigence suivante s’applique uniquement à l’interface de ligne de commande :

Si le nom comporte un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « mon serveur » ou « mon serveur »).

Cet argument est obligatoire. Longueur maximale : 127

Adresse IP :

Adresse IP du serveur proxy.

Port :

Numéro de port du serveur proxy. Valeur minimale : 1

Exemple de proxy explicite :

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

Exemple de proxy transparent :

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

Ajoutez une stratégie d’écoute au serveur proxy transparent à l’aide de l’interface graphique

  1. Accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy. Sélectionnez le serveur proxy transparent et cliquez sur Modifier.
  2. Modifiez les paramètres de base, puis cliquez sur Plus.
  3. Dans Priorité d’écoute, saisissez 1.
  4. Dans Expression de stratégie d’écoute, entrez l’expression suivante :

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

Remarque

Cette expression suppose des ports standard pour le trafic HTTP et HTTPS. Si vous avez configuré différents ports, par exemple 8080 pour HTTP ou 8443 pour HTTPS, modifiez l’expression précédente pour spécifier ces ports.

Bloquer les ports en amont privilégiés

Pour bloquer l’accès aux ports en amont privilégiés (<1024) à l’exception des ports 80 et 443 à l’aide du proxy de transfert, liez la politique de réponse suivante au serveur virtuel de commutation de contenu du proxy direct en mode explicite.

Utilisation de la CLI

À l’invite de commandes, tapez :

add responder policy web_only "(HTTP.REQ.METHOD.EQ(CONNECT) && (HTTP.REQ.HOSTNAME.PORT.LT(1024) && HTTP.REQ.HOSTNAME.PORT.NE(":80") && HTTP.REQ.HOSTNAME.PORT.NE(":443") && HTTP.REQ.HOSTNAME.PORT.LENGTH.NE(0))  || (HTTP.REQ.URL.AFTER_STR(":").TYPECAST_NUM_AT.NE(80) &&
HTTP.REQ.URL.AFTER_STR(":").TYPECAST_NUM_AT.NE(443) && HTTP.REQ.URL.AFTER_STR(":").TYPECAST_NUM_AT.LE(1024) ) )" RESET
bind cs vserver <proxy_vs_name> -policyName web_only -priority 9 -gotoPriorityExpression END -type REQUEST
<!--NeedCopy-->

Utilisation de l’interface graphique

  1. Accédez à Sécurité > SSL Forward Proxy > Serveurs virtuels proxy.
  2. Ajoutez un serveur virtuel proxy ou sélectionnez un serveur virtuel et cliquez sur Modifier.
  3. Dans Paramètres avancés, cliquez sur Stratégies.
  4. Dans Choisir une politique, sélectionnez Répondeur. Cliquez sur Continuer.
  5. Cliquez sur Add Binding.
  6. Dans Policy Binding, cliquez sur Cliquez pour sélectionner.
  7. Cliquez sur Add pour ajouter une nouvelle stratégie.
  8. Donnez le nom de la politique, sélectionnez l’action RESET et mettez à jour l’expression en conséquence pour l’interface graphique.
  9. Cliquez sur Créer.
  10. Cliquez sur Sélectionner.
  11. Sous Policy Binding, attribuez une priorité et cliquez sur Lier.
  12. Cliquez sur Fermer.
  13. Cliquez sur Terminé.
Modes proxy