在Citrix ADC 13.1
在Citrix ADC
在所有产品中
产品文档
在Citrix ADC 13.1
在Citrix ADC
在所有产品中
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

代理模式

2020年12月4日
由:
C

Citrix ADC设备充当客户机的代理,连接到internet和SaaS应用程序。作为代理,它接受所有的流量并决定流量的协议。除非流量是HTTP或SSL,否则它将按原样转发到目的地。当设备接收到来自客户机的请求时,它会拦截该请求并执行一些操作,例如用户身份验证、站点分类和重定向。它使用策略来确定允许哪些流量,阻止哪些流量。

设备维护两个不同的会话,一个在客户机和代理之间,另一个在代理和源服务器之间。代理依赖于客户定义的策略来允许或阻止HTTP和HTTPS流量。因此,定义绕过敏感数据(如财务信息)的策略非常重要。该设备提供了一组丰富的第4层到第7层流量属性和用户身份属性,用于创建流量管理策略。

对于SSL流量,代理验证源服务器的证书,并与服务器建立合法连接。然后,它模拟服务器证书,使用安装在Citrix ADC上的CA证书对其进行签名,并将创建的服务器证书呈现给客户端。必须将CA证书作为受信任证书添加到客户端浏览器中,SSL会话才能建立成功。

该设备支持透明和显式代理模式。在显式代理模式下,客户端必须在其浏览器中指定IP地址,除非组织将设置推送到客户端设备上。此地址是在ADC设备上配置的代理服务器的IP地址。所有客户端请求都被发送到这个IP地址。对于显式代理,必须配置proxy类型的内容交换虚拟服务器,并指定IP地址和有效的端口号。

透明代理,顾名思义,对客户端是透明的。也就是说,客户机可能不知道代理服务器正在调解它们的请求。ADC设备在内联部署中配置,并透明地接受所有HTTP和HTTPS通信。透明代理需要配置proxy类型的内容交换虚拟服务器,IP地址和端口为“* *”。在使用SSL正向代理向导在GUI中,您不必指定IP地址和端口。

请注意

如果要以透明代理方式拦截HTTP和HTTPS以外的协议,必须添加侦听策略,并将侦听策略绑定到代理服务器。

使用CLI配置SSL正向代理

在命令提示符下,输入:

add cs vserver  PROXY

参数

名字

代理服务器的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、哈希(#)、句号(.)、空格、冒号(:)、@、等号(=)和连字符(-)。CS虚拟服务器创建完成后不能修改。

以下要求仅适用于CLI:

如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“my server”或“my server”)。

这个论证是强制性的。最大长度:127

IPAddress

代理服务器IP地址。

港口

代理服务器的端口号。最小值:1

显式代理示例

add cs vserver swgVS PROXY 192.0.2.100 80

透明代理示例

add cs vserver swgVS PROXY * *

通过使用GUI向透明代理服务器添加侦听策略

  1. 导航到安全>SSL正向代理>代理虚拟服务器.选择透明代理服务器,单击编辑
  2. 编辑基本设置,并按更多的
  3. 听着优先,输入“1”。

  4. 聆听策略表达,输入如下表达式:

    (CLIENT.TCP.DSTPORT.EQ (80) | | CLIENT.TCP.DSTPORT.EQ (443) < !——NeedCopy >

请注意

该表达式假定HTTP和HTTPS流量的标准端口。如果配置了不同的端口,例如HTTP为8080,HTTPS为8443,请修改上述表达式以指定端口。

代理模式
2020年12月4日
由:
C
2020年12月4日
由:
C

在本文中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -思杰系统有限公司版权所有。