代理模式
Citrix Secure Web Gateway™ (SWG) 设备充当客户端的代理,用于连接到互联网和 SaaS 应用程序。作为代理,它接受所有流量并确定流量协议。除非流量是 HTTP 或 SSL,否则它会按原样转发到目标。当设备收到来自客户端的请求时,它会拦截该请求并执行一些操作,例如用户身份验证、站点分类和重定向。它使用策略来确定允许哪些流量以及阻止哪些流量。
设备维护两个不同的会话,一个在客户端和代理之间,另一个在代理和源服务器之间。代理依赖客户定义的策略来允许或阻止 HTTP 和 HTTPS 流量。因此,定义策略以绕过敏感数据(例如财务信息)非常重要。该设备提供了一组丰富的第 4 层到第 7 层流量属性和用户身份属性,用于创建流量管理策略。
对于 SSL 流量,代理会验证源服务器的证书,并与服务器建立合法连接。然后,它会模拟服务器证书,使用安装在 Citrix® SWG 上的 CA 证书对其进行签名,并将创建的服务器证书呈现给客户端。您必须将 CA 证书作为受信任证书添加到客户端的浏览器中,才能成功建立 SSL 会话。
设备支持透明代理模式和显式代理模式。在显式代理模式下,客户端必须在其浏览器中指定一个 IP 地址,除非组织将该设置推送到客户端设备。此地址是 SWG 设备上配置的代理服务器的 IP 地址。所有客户端请求都发送到此 IP 地址。对于显式代理,您必须配置一个类型为 PROXY 的内容交换虚拟服务器,并指定一个 IP 地址和有效的端口号。
透明代理,顾名思义,对客户端是透明的。也就是说,客户端可能不知道有代理服务器正在调解其请求。SWG 设备以内联部署方式配置,并透明地接受所有 HTTP 和 HTTPS 流量。对于透明代理,您必须配置一个类型为 PROXY 的内容交换虚拟服务器,并将星号 (* *) 作为 IP 地址和端口。在 GUI 中使用 Secure Web Gateway 向导时,您无需指定 IP 地址和端口。
注意
要在透明代理模式下拦截除 HTTP 和 HTTPS 之外的协议,您必须添加侦听策略并将其绑定到代理服务器。
使用 Citrix SWG CLI 配置 SSL 正向代理
在命令提示符下,键入:
add cs vserver <name> PROXY <ipaddress> <port>
<!--NeedCopy-->
参数:
名称:
代理服务器的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且只能包含 ASCII 字母数字、下划线、井号 (#)、句点 (.)、空格、冒号 (:)、at (@)、等号 (=) 和连字符 (-) 字符。CS 虚拟服务器创建后无法更改。
以下要求仅适用于 CLI:
如果名称包含一个或多个空格,请将名称用双引号或单引号引起来(例如,“my server”或“my server”)。
这是一个强制参数。最大长度:127
IP 地址:
代理服务器的 IP 地址。
端口:
代理服务器的端口号。最小值:1
显式代理示例:
add cs vserver swgVS PROXY 192.0.2.100 80
<!--NeedCopy-->
透明代理示例:
add cs vserver swgVS PROXY * *
<!--NeedCopy-->
使用 Citrix SWG GUI 将侦听策略添加到透明代理服务器
- 导航到“Secure Web Gateway”>“代理服务器”。选择透明代理服务器,然后单击“编辑”。
- 编辑“基本设置”,然后单击“更多”。
- 在“侦听优先级”中,输入 1。
-
在“侦听策略表达式”中,输入以下表达式:
(CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443)) <!--NeedCopy-->
注意
此表达式假定 HTTP 和 HTTPS 流量使用标准端口。如果您配置了不同的端口,例如 HTTP 的 8080 或 HTTPS 的 8443,请修改上述表达式以指定这些端口。