代理模式

Citrix Secure Web Gateway (SWG) 设备用作连接到 Internet 和 SaaS 应用程序的客户端代理。作为代理,它接受所有流量并确定流量的协议。除非流量是 HTTP 或 SSL,否则流量按原样转发到目标。当设备收到来自客户端的请求时,它会拦截请求并执行一些操作,例如用户身份验证、站点分类和重定向。它使用策略来确定允许哪些流量以及要阻止哪些流量。

设备维护两个不同的会话,一个在客户端和代理之间,另一个在代理和源服务器之间。代理依赖于客户定义的策略来允许或阻止 HTTP 和 HTTPS 流量。因此,定义策略以绕过敏感数据(如财务信息)非常重要。设备提供了一套丰富的 4 层到 7 层流量属性和用户身份属性以创建流量管理策略。

对于 SSL 流量,代理验证源服务器的证书并与服务器建立合法连接。然后它模拟服务器证书,使用 Citrix SWG 上安装的 CA 证书对其进行签名,然后将创建的服务器证书呈现给客户端。您必须将 CA 证书作为受信任证书添加到客户端的浏览器,以便成功建立 SSL 会话。

设备支持透明和显式的代理模式。在显式代理模式下,客户端必须在浏览器中指定 IP 地址,除非组织将设置推送到客户端的设备上。此地址是在 SWG 设备上配置的代理服务器的 IP 地址。所有客户端请求都发送到此 IP 地址。对于显式代理,必须配置 Proxy 类型的内容交换虚拟服务器,并指定 IP 地址和有效端口号。

顾名思义,透明代理对客户端是透明的。也就是说,客户端可能不知道代理服务器正在调解他们的请求。SWG 设备是在内联部署中配置的,并以透明方式接受所有 HTTP 和 HTTPS 流量。对于透明代理,您必须配置一个内容交换虚拟服务器的 PROOPE 类型,并使用星号 (*) 作为 IP 地址和端口。在 GUI 中使用 Secure Web Gateway 向导时,无需指定 IP 地址和端口。

注意

要在透明代理模式下拦截 HTTP 和 HTTPS 以外的协议,必须添加侦听策略并将其绑定到代理服务器。

使用 Citrix SWG CLI 配置 SSL 转发代理

在命令提示符下,键入:

add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->

参数

名称:

代理服务器的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 CS 虚拟服务器后无法更改。

以下要求仅适用于 CLI:

如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的服务器” 或 “我的服务器”)。

这是一个强制性的论点。最大长度:127

IP 地址

代理服务器的 IP 地址。

端口

代理服务器的端口号。最小值:1

显式代理示例

add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->

透明代理的示例

add cs vserver swgVS PROXY * *
<!--NeedCopy-->

使用 Citrix SWG GUI 向透明代理服务器添加侦听策略

  1. 导航到 Secure Web Gateway > Proxy Servers(代理服务器)。选择透明代理服务器,然后单击 编辑
  2. 编辑 基本设置,然后单击 更多
  3. 在“聆听优先级”中,输入 1。
  4. 在“侦听策略表达式”中,输入以下表达式:

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    <!--NeedCopy-->
    

注意

此表达式假定 HTTP 和 HTTPS 流量的标准端口。如果您配置了不同的端口,例如 HTTP 的 8080 或 HTTPS 的 8443,请修改上述表达式以指定这些端口。

代理模式