代理模式
Citrix Secure Web Gateway™ (SWG) 设备充当客户端的代理,用于连接到互联网和 SaaS 应用程序。作为代理,它接受所有流量并确定流量协议。除非流量是 HTTP 或 SSL,否则它会按原样转发到目标。当设备收到来自客户端的请求时,它会拦截该请求并执行一些操作,例如用户身份验证、站点分类和重定向。它使用策略来确定允许哪些流量以及阻止哪些流量。
设备维护两个不同的会话,一个在客户端和代理之间,另一个在代理和源服务器之间。代理依赖客户定义的策略来允许或阻止 HTTP 和 HTTPS 流量。因此,定义策略以绕过敏感数据(例如财务信息)非常重要。该设备提供了一组丰富的第 4 层到第 7 层流量属性和用户身份属性,用于创建流量管理策略。
对于 SSL 流量,代理会验证源服务器的证书,并与服务器建立合法连接。然后,它会模拟服务器证书,使用安装在 Citrix® SWG 上的 CA 证书对其进行签名,并将创建的服务器证书呈现给客户端。您必须将 CA 证书作为受信任证书添加到客户端的浏览器中,才能成功建立 SSL 会话。
设备支持透明代理模式和显式代理模式。在显式代理模式下,客户端必须在其浏览器中指定一个 IP 地址,除非组织将该设置推送到客户端设备。此地址是 SWG 设备上配置的代理服务器的 IP 地址。所有客户端请求都发送到此 IP 地址。对于显式代理,您必须配置一个类型为 PROXY 的内容交换虚拟服务器,并指定一个 IP 地址和有效的端口号。
透明代理,顾名思义,对客户端是透明的。也就是说,客户端可能不知道有代理服务器正在调解其请求。SWG 设备以内联部署方式配置,并透明地接受所有 HTTP 和 HTTPS 流量。对于透明代理,您必须配置一个类型为 PROXY 的内容交换虚拟服务器,并将星号 (* *) 作为 IP 地址和端口。在 GUI 中使用 Secure Web Gateway 向导时,您无需指定 IP 地址和端口。
注意
要在透明代理模式下拦截除 HTTP 和 HTTPS 之外的协议,您必须添加侦听策略并将其绑定到代理服务器。
使用 Citrix SWG CLI 配置 SSL 正向代理
在命令提示符下,键入:
add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->
参数:
名称:
代理服务器的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且只能包含 ASCII 字母数字、下划线、井号 (#)、句点 (.)、空格、冒号 (:)、at (@)、等号 (=) 和连字符 (-) 字符。CS 虚拟服务器创建后无法更改。
以下要求仅适用于 CLI:
如果名称包含一个或多个空格,请将名称用双引号或单引号引起来(例如,“my server”或“my server”)。
这是一个强制参数。最大长度:127
IP 地址:
代理服务器的 IP 地址。
端口:
代理服务器的端口号。最小值:1
显式代理示例:
add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->
透明代理示例:
add cs vserver swgVS PROXY * *
<!--NeedCopy-->
使用 Citrix SWG GUI 将侦听策略添加到透明代理服务器
- 导航到“Secure Web Gateway”>“代理服务器”。选择透明代理服务器,然后单击“编辑”。
- 编辑“基本设置”,然后单击“更多”。
- 在“侦听优先级”中,输入 1。
-
在“侦听策略表达式”中,输入以下表达式:
(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
<!--NeedCopy-->
注意
此表达式假定 HTTP 和 HTTPS 流量使用标准端口。如果您配置了不同的端口,例如 HTTP 的 8080 或 HTTPS 的 8443,请修改上述表达式以指定这些端口。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.