Prise en main d’une appliance Citrix ADC MPX et VPX SWG
Après avoir installé votre matériel (MPX) ou logiciel (VPX) et effectué la configuration initiale, vous êtes prêt à le configurer en tant qu’appliance de passerelle Web sécurisée pour recevoir du trafic.
Important :
-
La vérification OCSP nécessite une connexion Internet pour vérifier la validité des certificats. Si votre appliance n’est pas accessible depuis Internet à l’aide de l’adresse NSIP, ajoutez des listes de contrôle d’accès (ACL) pour effectuer NAT à partir de l’adresse NSIP à l’adresse SNIP du sous-réseau (SNIP). Le SNIP doit être accessible à partir d’Internet. Par exemple,
add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255 set rnat a1 -natIP <SNIP> apply acls <!--NeedCopy-->
- Spécifiez un serveur de noms DNS pour résoudre les noms de domaine. Pour de plus amples informations, consultez la section Configuration initiale.
- Assurez-vous que la date de l’appliance est synchronisée avec les serveurs NTP. Si la date n’est pas synchronisée, l’appliance ne peut pas vérifier efficacement si un certificat de serveur d’origine est expiré.
Pour utiliser l’appliance Citrix SWG, vous devez effectuer les tâches suivantes :
- Ajoutez un serveur proxy en mode explicite ou transparent.
- Activer l’interception SSL.
- Configurez un profil SSL.
- Ajouter et lier des stratégies SSL au serveur proxy.
- Ajoutez et liez une paire de clés de certification CA pour l’interception SSL.
Remarque : une appliance Citrix SWG configurée en mode proxy transparent peut intercepter uniquement les protocoles HTTP et HTTPS. Pour contourner tout autre protocole, tel que telnet, vous devez ajouter la stratégie d’écoute suivante sur le serveur virtuel proxy.
Le serveur virtuel accepte désormais uniquement le trafic entrant HTTP et HTTPS.
set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`
<!--NeedCopy-->
Vous devrez peut-être configurer les fonctionnalités suivantes, en fonction de votre déploiement :
- Service d’authentification (recommandé) — pour authentifier les utilisateurs. Sans le service d’authentification, l’activité de l’utilisateur est basée sur l’adresse IP du client.
- Filtrage d’URL : pour filtrer les URL par catégories, score de réputation et listes d’URL.
- Analytics : permet d’afficher l’activité utilisateur, les indicateurs de risque utilisateur, la consommation de bande passante et les transactions dans Citrix Application Delivery Management (ADM).
Remarque : SWG implémente la majorité des normes HTTP et HTTPS typiques suivies par des produits similaires. Cette implémentation est faite sans navigateur spécifique à l’esprit et est compatible avec la plupart des navigateurs courants. SWG a été testé avec des navigateurs courants et des versions récentes de Google Chrome, Internet Explorer et Mozilla Firefox.
Assistant Passerelle Web sécurisée
L’assistant SWG fournit aux administrateurs un outil permettant de gérer l’ensemble du déploiement SWG à l’aide d’un navigateur Web. Il aide les clients à mettre en place rapidement un service SWG et simplifie la configuration en suivant une séquence d’étapes bien définies.
-
Ouvrez votre navigateur Web et entrez l’adresse NSIP que vous avez spécifiée lors de la configuration initiale. Pour plus d’informations sur la configuration initiale, reportez-vous à la section Configuration initiale.
-
Saisissez votre nom d’utilisateur et votre mot de passe.
-
Si vous n’avez pas spécifié d’adresse IP de sous-réseau (SNIP), l’écran suivant s’affiche.
Dans Adresse IP du sous-réseau, entrez une adresse IP et un masque de sous-réseau. La coche dans un cercle vert indique que la valeur est configurée.
-
Dans Nom d’hôte, Adresse IP DNS et Fuseau horaire, ajoutez l’adresse IP d’un serveur DNS pour résoudre les noms de domaine et spécifiez votre fuseau horaire.
-
Cliquez sur Continuer.
-
(Facultatif) Vous pouvez voir un point d’exclamation, comme suit :
Cette marque indique que la fonction n’est pas activée. Pour activer l’entité, cliquez avec le bouton droit sur l’entité, puis cliquez sur Activer la fonction.
-
Dans le volet de navigation, cliquez sur Secure Web Gateway. Dans Mise en route, cliquez sur Assistant Secure Web Gateway.
-
Suivez les étapes de l’Assistant pour configurer votre déploiement.
Ajouter une stratégie d’écoute au serveur proxy transparent
-
Accédez à Secure Web Gateway > Serveurs proxy. Sélectionnez le serveur proxy transparent et cliquez sur Modifier.
-
Modifiez les paramètres de base, puis cliquez sur Plus.
-
Dans Priorité d’écoute, entrez 1.
-
Dans Listen Policy Expression, entrez l’expression suivante :
(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443)) <!--NeedCopy-->
Cette expression suppose des ports standard pour le trafic HTTP et HTTPS. Si vous avez configuré différents ports, par exemple 8080 pour HTTP ou 8443 pour HTTPS, modifiez l’expression pour refléter ces ports.
Limitations
SWG n’est pas pris en charge dans une configuration de cluster, dans les partitions d’administration et sur une appliance Citrix ADC FIPS.