代理模式
Citrix Secure Web Gateway (SWG) 设备用作连接到 Internet 和 SaaS 应用程序的客户端代理。作为代理,它接受所有流量并确定流量的协议。除非流量是 HTTP 或 SSL,否则流量按原样转发到目标。当设备收到来自客户端的请求时,它会拦截请求并执行一些操作,例如用户身份验证、站点分类和重定向。它使用策略来确定允许哪些流量以及要阻止哪些流量。
设备维护两个不同的会话,一个在客户端和代理之间,另一个在代理和源服务器之间。代理依赖于客户定义的策略来允许或阻止 HTTP 和 HTTPS 流量。因此,定义策略以绕过敏感数据(如财务信息)非常重要。设备提供了一套丰富的 4 层到 7 层流量属性和用户身份属性以创建流量管理策略。
对于 SSL 流量,代理验证源服务器的证书并与服务器建立合法连接。然后它模拟服务器证书,使用 Citrix SWG 上安装的 CA 证书对其进行签名,然后将创建的服务器证书呈现给客户端。您必须将 CA 证书作为受信任证书添加到客户端的浏览器,以便成功建立 SSL 会话。
设备支持透明和显式的代理模式。在显式代理模式下,客户端必须在浏览器中指定 IP 地址,除非组织将设置推送到客户端的设备上。此地址是在 SWG 设备上配置的代理服务器的 IP 地址。所有客户端请求都发送到此 IP 地址。对于显式代理,必须配置 Proxy 类型的内容交换虚拟服务器,并指定 IP 地址和有效端口号。
顾名思义,透明代理对客户端是透明的。也就是说,客户端可能不知道代理服务器正在调解他们的请求。SWG 设备是在内联部署中配置的,并以透明方式接受所有 HTTP 和 HTTPS 流量。对于透明代理,您必须配置一个内容交换虚拟服务器的 PROOPE 类型,并使用星号 (*) 作为 IP 地址和端口。在 GUI 中使用 Secure Web Gateway 向导时,无需指定 IP 地址和端口。
注意
要在透明代理模式下拦截 HTTP 和 HTTPS 以外的协议,必须添加侦听策略并将其绑定到代理服务器。
使用 Citrix SWG CLI 配置 SSL 转发代理
在命令提示符下,键入:
add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->
参数:
名称:
代理服务器的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。创建 CS 虚拟服务器后无法更改。
以下要求仅适用于 CLI:
如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的服务器” 或 “我的服务器”)。
这是一个强制性的论点。最大长度:127
IP 地址:
代理服务器的 IP 地址。
端口:
代理服务器的端口号。最小值:1
显式代理示例:
add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->
透明代理的示例:
add cs vserver swgVS PROXY * *
<!--NeedCopy-->
使用 Citrix SWG GUI 向透明代理服务器添加侦听策略
- 导航到 Secure Web Gateway > Proxy Servers(代理服务器)。选择透明代理服务器,然后单击 编辑。
- 编辑 基本设置,然后单击 更多。
- 在“聆听优先级”中,输入 1。
-
在“侦听策略表达式”中,输入以下表达式:
(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
<!--NeedCopy-->
注意
此表达式假定 HTTP 和 HTTPS 流量的标准端口。如果您配置了不同的端口,例如 HTTP 的 8080 或 HTTPS 的 8443,请修改上述表达式以指定这些端口。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.