ADC

Modes proxy

L’appliance NetScaler agit en tant que proxy du client pour se connecter à Internet et aux applications SaaS. En tant que proxy, il accepte tout le trafic et détermine le protocole du trafic. À moins que le trafic ne soit HTTP ou SSL, il est transféré tel quel vers la destination. Lorsque l’appliance reçoit une demande d’un client, elle intercepte la demande et exécute certaines actions, telles que l’authentification des utilisateurs, la catégorisation des sites et la redirection. Il utilise des politiques pour déterminer le trafic à autoriser et le trafic à bloquer.

L’appliance gère deux sessions différentes, l’une entre le client et le proxy et l’autre entre le proxy et le serveur d’origine. Le proxy s’appuie sur des politiques définies par le client pour autoriser ou bloquer le trafic HTTP et HTTPS. Il est donc important que vous définissiez des politiques pour contourner les données sensibles, telles que les informations financières. L’appliance propose un ensemble complet d’attributs de trafic de couche 4 à 7 et d’attributs d’identité utilisateur pour créer des politiques de gestion du trafic.

Pour le trafic SSL, le proxy vérifie le certificat du serveur d’origine et établit une connexion légitime avec le serveur. Il émule ensuite le certificat de serveur, le signe à l’aide d’un certificat CA installé sur NetScaler et présente le certificat de serveur créé au client. Vous devez ajouter le certificat CA en tant que certificat de confiance au navigateur du client pour que la session SSL soit correctement établie.

L’appliance prend en charge les modes proxy transparents et explicites. En mode proxy explicite, le client doit spécifier une adresse IP dans son navigateur, à moins que l’organisation n’envoie le paramètre sur le périphérique du client. Cette adresse est l’adresse IP d’un serveur proxy configuré sur l’appliance ADC. Toutes les demandes client sont envoyées à cette adresse IP. Pour un proxy explicite, vous devez configurer un serveur virtuel de commutation de contenu de type PROXY et spécifier une adresse IP et un numéro de port valide.

Le proxy transparent, comme son nom l’indique, est transparent pour le client. En d’autres termes, les clients peuvent ne pas savoir qu’un serveur proxy effectue la médiation de leurs demandes. L’appliance ADC est configurée dans le cadre d’un déploiement en ligne et accepte de manière transparente tout le trafic HTTP et HTTPS. Pour un proxy transparent, vous devez configurer un serveur virtuel de commutation de contenu de type PROXY, avec des astérisques (* *) comme adresse IP et port. Lorsque vous utilisez l’ assistant SSL Forward Proxy dans l’interface graphique, vous n’avez pas à spécifier d’adresse IP ni de port.

Remarque

Pour intercepter des protocoles autres que HTTP et HTTPS en mode proxy transparent, vous devez ajouter une stratégie d’écoute et la lier au serveur proxy.

Configurer le proxy de transfert SSL à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

Arguments :

Nom :

Nom du serveur proxy. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Ne peut pas être modifié après la création du serveur virtuel CS.

L’exigence suivante s’applique uniquement à l’interface de ligne de commande :

Si le nom comporte un ou plusieurs espaces, mettez-le entre guillemets doubles ou simples (par exemple, « mon serveur » ou « mon serveur »).

Cet argument est obligatoire. Longueur maximale : 127

Adresse IP :

Adresse IP du serveur proxy.

Port :

Numéro de port du serveur proxy. Valeur minimale : 1

Exemple de proxy explicite :

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

Exemple de proxy transparent :

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

Ajoutez une politique d’écoute au serveur proxy transparent à l’aide de l’interface graphique

  1. Accédez à Sécurité > Proxy transfert SSL > Serveurs virtuels proxy. Sélectionnez le serveur proxy transparent et cliquez sur Modifier.
  2. Modifiez les paramètres de base, puis cliquez sur Plus.
  3. Dans Priorité d’écoute, saisissez 1.
  4. Dans Expression de stratégie d’écoute, entrez l’expression suivante :

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

Remarque

Cette expression suppose des ports standard pour le trafic HTTP et HTTPS. Si vous avez configuré différents ports, par exemple 8080 pour HTTP ou 8443 pour HTTPS, modifiez l’expression précédente pour spécifier ces ports.

Modes proxy