プロキシモード
Citrix Secure Web Gateway(SWG)アプライアンスは、インターネットおよびSaaSアプリケーションに接続するためのクライアントのプロキシとして機能します。プロキシとして、すべてのトラフィックを受け入れ、トラフィックのプロトコルを決定します。トラフィックが HTTP または SSL でない限り、そのまま宛先に転送されます。アプライアンスはクライアントから要求を受信すると、要求を傍受し、ユーザー認証、サイトの分類、リダイレクトなどのアクションを実行します。ポリシーを使用して、許可するトラフィックとブロックするトラフィックを決定します。
アプライアンスは、クライアントとプロキシの間で、もう一方はプロキシとオリジンサーバー間の2つの異なるセッションを維持します。プロキシは、ユーザーが定義したポリシーを使用して、HTTP および HTTPS トラフィックを許可またはブロックします。したがって、財務情報などの機密データをバイパスするポリシーを定義することが重要です。アプライアンスは、トラフィック管理ポリシーを作成するために、レイヤ 4 からレイヤ 7 へのトラフィック属性とユーザ ID 属性の豊富なセットを提供します。
SSL トラフィックの場合、プロキシはオリジンサーバーの証明書を確認し、サーバーとの正当な接続を確立します。次に、サーバー証明書をエミュレートし、Citrix SWGにインストールされたCA証明書を使用して署名し、作成したサーバー証明書をクライアントに提示します。SSL セッションを正常に確立するには、信頼された証明書として CA 証明書をクライアントのブラウザに追加する必要があります。
アプライアンスは、透過および明示的なプロキシモードをサポートします。明示的なプロキシモードでは、組織が設定をクライアントのデバイスにプッシュしない限り、クライアントはブラウザで IP アドレスを指定する必要があります。このアドレスは、SWG アプライアンス上で構成されているプロキシサーバーの IP アドレスです。すべてのクライアント要求は、この IP アドレスに送信されます。明示的なプロキシの場合は、タイプ PROXY のコンテンツスイッチング仮想サーバを設定し、IP アドレスと有効なポート番号を指定する必要があります。
透過プロキシは、名前が示すように、クライアントに対して透過的です。つまり、クライアントは、プロキシサーバーが要求を仲介していることを認識していない可能性があります。SWG アプライアンスはインライン展開で構成され、すべての HTTP および HTTPS トラフィックを透過的に受け入れます。トランスペアレントプロキシの場合、IP アドレスおよびポートとしてアスタリスク(*)を使用して、タイプ PROXY のコンテンツスイッチング仮想サーバを設定する必要があります。GUIでSecure Web Gateway ウィザードを使用する場合、IPアドレスとポートを指定する必要はありません。
注
透過プロキシモードで HTTP および HTTPS 以外のプロトコルを代行受信するには、リッスンポリシーを追加し、プロキシサーバにバインドする必要があります。
Citrix SWG CLIを使用してSSL転送プロキシを構成する
コマンドプロンプトで、次のように入力します。
add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->
引数:
名前:
プロキシサーバーの名前。ASCII 英数字またはアンダースコア (_) 文字で始まり、ASCII 英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等しい (=)、およびハイフン (-) 文字のみを含める必要があります。CS 仮想サーバの作成後は変更できません。
次の要件は、CLI だけに適用されます。
名前に 1 つ以上のスペースが含まれている場合は、名前を二重引用符または一重引用符で囲みます (「my server」や「my server」など)。
これは必須の引数です。最大長:127
IPAddress:
プロキシサーバの IP アドレス。
port:
プロキシサーバのポート番号。最小値:1
明示的なプロキシの例:
add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->
透過プロキシの例:
add cs vserver swgVS PROXY * *
<!--NeedCopy-->
Citrix SWG GUIを使用して透過プロキシサーバーにリッスンポリシーを追加する
- [ Secure Web Gateway ] > [ プロキシサーバー] に移動します。透過プロキシサーバを選択し、[Edit] をクリックします。
- [基本設定]を編集し、[その他] をクリックします。
- [リッスンプライオリティ] に 1 を入力します。
-
[リッスンポリシー式] に、次の式を入力します。
(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443)) <!--NeedCopy-->
注
この式は、HTTP および HTTPS トラフィックの標準ポートを想定しています。HTTP の場合は 8080、HTTPS の場合は 8443 など、異なるポートを設定している場合は、上記の式を変更して、これらのポートを指定します。