Guide PoC : Redirection d’URL avec Secure Browser et Citrix ADC dans Azure

Vue d’ensemble

Voici les兵站de配置倒配置un ADC, configurer SSL Forward Proxy et Interception SSL à l’aide du dernier modèle de marché Citrix ADC. La fonction Redirection d’URL vers Secure Browser de l’ADC permet aux administrateurs de définir automatiquement des catégories de sites Web spécifiques à rediriger du navigateur local vers Secure Browser. Le Citrix ADC agit comme un proxy intermédiaire pour effectuer l’interception entre la navigation locale et Internet, ce qui permet d’isoler le Web et de protéger le réseau d’entreprise. Cette fonctionnalité améliore la sécurité sans compromettre l’expérience utilisateur.

Architecture conceptuelle

Scope

Ce guide de validation de concept décrit les éléments suivants :

1. Obtenir un compte d’évaluation du navigateur sécurisé
2. Configurer ADC dans Azure
3. Configurer l’appliance Citrix ADC en tant que proxy
4. Configurer l’interception SSL
5. Configurer la stratégie et les actions de réécriture

Étapes de déploiement

Section 1 : Obtenir un compte d’évaluation sécurisé du navigateur

Document de référence pour Secure Browser Service

Demander une version d’essai du navigateur sécurisé

1. Accédez à votre compte Citrix Cloud et entrez le nom d’utilisateur et le mot de passe

2. Cliquez sur Sign In. Si votre compte gère plus d’un client, sélectionnez le

   

3. Double-cliquez sur lavignette du navigateur sécurisé.

   

4. Si vous savez qui est votre équipe de compte, contactez-lui pour obtenir l’évaluation approuvée. Si vous ne savez pas qui est votre équipe de compte, passez à l’étape suivante.

5. Cliquez surDemander un appel

   

6. Entrez vos coordonnées et dans la sectionCommentairesspécifiez« Version d’essai du Secure Browser Service ».

7. Cliquez surSubmit.

   

   Remarque :

   Citrix Sales vous contactera pour vous donner accès au service. Ce n’est pas immédiat, un représentant commercial Citrix contactera

8. Une fois la version d’évaluation de Secure Browser approuvée, consultez lasectionPublier un navigateur sécurisédu document Citrixpour publier une application Secure Browser.

Activer les paramètres d’URL

1. Dans votre abonnement Citrix Cloud, double-cliquez sur la vignetteSecure Browser

2. Dans votre navigateur publié, appelé « navigateur » dans cet exemple, cliquez sur les trois points et sélectionnezStratégies

   

3. Activerla stratégie Paramètres d’URLsur votre navigateur publié

   

Section 2 : Configurer ADC dans Azure

L’ADC peut être configuré dans n’importe quel cloud de votre choix. Dans cet exemple, Azure est notre Cloud de choix.

Configurer une instance ADC

1. Accédez àToutes les ressourceset cliquez sur+ le bouton Ajouter, recherchez Citrix ADC

2. Sélectionner unmodèle Citrix ADC

3. Sélectionnez le plan logiciel en fonction de vos besoins (dans cet exemple Bring Your Own License)

4. Cliquez surCréer

   

Configurer la carte NIC

1. Accédez àToutes les ressourceset sélectionnez la carte NIC pour l’instance ADC

2. SélectionnezConfigurations IP, notez l’adresse de gestion ADC

3. Activez les paramètres de transfert IP, enregistrez les modifications.

   

Configurer l’adresse IP virtuelle

1. Cliquez surAjouter, définissezvirtualipcomme nom de la nouvelle configuration.

2. SélectionnezStaticet ajoutez une nouvelle adresse IP après l’adresse de gestion

3. Activer l’option Adresse publique et créer une nouvelle adresse IP publique

4. Enregistrer les modifications

   

Configurer le nom de domaine complet sur le client

1. Accédez à la ressource Adresse IP publique créée pour lavirtualipconfiguration

2. Cliquez surConfigurationet ajoutez une étiquette DNS (dans cet exemple,urlredirection.eastus.cloudapp.azure.com)

   

Configurer les règles de mise en réseau

1. Ajouter les règles de mise en réseau suivantes

   

   Remarque :

   Vous pouvez choisir de fermer les ports 22 et 443 une fois la configuration terminée, car ces ports ne sont nécessaires qu’à la connexion à la console de gestion à des fins de configuration.

2. À ce stade,l’instance ADC dans Azure est configurée

Section 3 : Configurer l’appliance Citrix ADC en tant que proxy

Configurez l’ADC en tant que proxy pour acheminer le trafic depuis le navigateur client vers Internet.

Se connecter à la console de gestion ADC

1. Accédez à la console de gestion Citrix ADC en entrant l’adresse IP publique de l’instance dans la barre de recherche de votre navigateur

   Remarque :

   Utilisez l’adresse IP de la machine que vous avez provisionnée dans les étapes précédentes, dans cet exemplehttps://40.88.150.164/

2. Connectez-vous à la console en saisissant le nom d’utilisateur et le mot de passe que vous avez configurés lors des étapes précédentes

   

3. Dans l’écran de configuration initiale, cliquez surContinuer

Télécharger les licences

1. Accédez àSystème > Licences > Gérer les licences

2. Chargez les licences nécessaires pour ADC.

   Remarque :

   Les licences que vous apportez doivent prendre en charge les fonctionnalités mises en évidence dans les étapes 11 et 13 sous Configurer les fonctionnalités de base et configurer les fonctionnalités avancées (par exemple CNS_v3000_Server_plt_retail.lic et CNS_webf_sserver_retail.lic)

   

3. Redémarrezle serveur après avoir téléchargé les deux licences.

4. Après le redémarrage, connectez-vous à nouveau à la gestion

5. Accédez àSystème > Paramètres > Configurer les modes

6. Seules deux options doivent être activées letransfert basé sur Macet ladécouverte du MTU de chemin

   

   

7. Accédez àSystème > Paramètres > Configurer les fonctionnalités de base

   

8. Sélectionnez :SSL OffloadingLoad Balancing,RewriteAuthentication, Authorization, and Auditing,Content Switching, etIntegrated Caching

   

9. Accédez àSystème > Paramètres > Configurer les fonctionnalités avancées

   

10. Sélectionnez :Cache Redirection,IPv6 Protocol Translation,AppFlow,Reputation,Forward Proxy,Content Inspection,Responder,URL Filtering, etSSL Interception

    

Configurer le serveur NTP

1. Accédez àSystème > Serveurs NTP > Ajouter

   

2. Créer un serveur par exemplepool.ntp.org

   

3. Activer NTP lorsque vous y êtes invité et définissez le serveur sur activé

   

4. Enregistrer la configuration à partir de l’action d’enregistrement du portail de gestion

   

5. Ouvrez une session SSH à l’adresse de gestion ADC, connectez-vous avec les informations d’identification que vous avez utilisées lors du provisionnement de l’ADC à partir d’Azure

Configurer le profil TCP et vServer

1. Obtenir les étapesvirtualipde la Section 2 et entrer dans la commande (dans cet exemple 10.1.0.5)

2. Exécutez les commandes suivantes avec l’adressesslproxy, par exemplevirtualip:

3. Pour ajouter un profil TCP :

   add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE 

4. Pour ajouter un serveur virtuel

   add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2 set cs vserver sslproxy01 -netProfile proxy-netprofile01 set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend save ns config 

5. 将修饰符莱斯paramètres du cache, revenez à la session de gestion sur le navigateur

6. Accédez àOptimisation > Mise en cache intégrée

7. Accédez àParamètres > Modifier les paramètres du cache

   

8. Définissezla limite d’utilisation de la mémoiresur250 MBet cliquez surOK

   

Configurer le client pour la redirection d’URL

1. Sur un client, par exemple Firefox

2. Configurer le proxy de votre navigateur pourvirtualip, IP publique ou nom de domaine complet : 8080 que vous avez configuré dans la Section 2 (par exemple,urlredirection.eastus.cloudapp.azure.com:8080)

   

3. Maintenant que nous avons un ADC configuré, testez toute connectivité de site Web à partir du navigateur avec l’ADC agissant comme un proxy.

Section 4 : Configurer l’interception SSL

L’interception SSL utilise une stratégie qui spécifie le trafic à intercepter, bloquer ou autoriser. Citrix vous recommande de configurer une stratégie générique pour intercepter le trafic et des stratégies plus spécifiques pour contourner un certain trafic.

Références :

Interception SSL

Catégories d’URL

Exemple vidéo de configuration

Créer une clé RSA

1. Accédez àGestion du trafic > SSL > Fichiers SSL > Clés

2. SélectionnezCréer une clé RSA

   

3. Sélectionnez le nom du fichier de clé et la taille de clé requise

   

4. Une fois la clé créée, téléchargez le.keyfichier pour une utilisation ultérieure

   

Créer une demande de signature de certificat (CSR)

1. Accédez àGestion du trafic > SSL > Fichiers SSL > CSR > Créer une demande de signature de certificat (CSR)

   

2. Nommez le fichier de requête, par exemplesemesec_req1.req

   

3. Cliquez sur Nom du继续教育文件>贴花le nom du fichier clé est celui créé à l’étape précédente, dans cet exemplesmesec_key1.key

   

4. Après avoir sélectionné la clé, continuez à remplir les espaces requis : Nom commun, Nom de l’organisation et État ou province

5. Cliquez sur Créer

Créer un certificat

1. Accédez àGestion du trafic > SSL > Fichiers SSL > Certificats > Créer un certificat

   

2. Donnez un nom au certificat et choisissez le fichier de demande de certificat (.req) et le nom de fichier de clé (.key) créés lors des étapes précédentes

   

3. Cliquez sur Créer

4. Une fois le certificat créé, téléchargez le.certfichier pour une utilisation ultérieure

   

Créer une stratégie SSL INTERCEPT

1. Accédez àGestion du trafic > SSL > Stratégies

2. Cliquez sur Ajouter.

   

3. Donnez un nom à la stratégie et sélectionnez l’action INTERCEPT

4. Expression pour intercepter les nouvelles :

   client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

5. Cliquez sur Créer

   

6. Pour lier la stratégie Interception au serveur virtuel, accédez àSécurité > Proxy de transfert SSL > Serveurs virtuels proxy

   

7. Sélectionnez le serveur virtuel, dans cet exemplesslproxy01

8. SélectionnezAjouter des stratégies SSLet cliquez surAucune liaison de stratégie SSL.

9. Liez la stratégie d’interception :

   

Créer une stratégie de contournement SSL

1. Accédez àGestion du trafic > SSL > Stratégies

2. Cliquez sur Ajouter.

   

3. Donnez un nom à la stratégie et sélectionnez l’action NOOP - il n’y a pas d’option BYPASS, voir étape suivante

4. Expression pour contourner la stratégie :CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

   

5. Accédez àSécurité > Proxy de transfert SSL > Stratégies d’interceptionSSL

   

6. Sélectionnez la stratégie pour la modifier

7. Changer l’action de NOOP à BYPASS

8. Cliquez sur OK

   

9. Vérifiez que l’action est maintenant BYPASS

10. Retournez àGestion du trafic > SSL > Stratégiespour vérifier la modification

    

11. Pour lier la stratégie de contournement au serveur virtuel, accédez àSécurité > Proxy de transfert SSL > Serveurs virtuels proxy

    

12. Double-cliquez sur le serveur virtuel, dans cet exemplesslproxy01

13. SélectionnezAjouter des stratégies SSLet cliquez surLiaison de stratégie SSL.

14. Liez la stratégie de contournement > Ajouter

    

15. Cliquez sur Bind

    

    Remarque :

    Cette stratégie est créée pour contourner l’interception ADC pour le trafic vers un navigateur sécurisélaunch.cloud.com

Créer un profil SSL

1. Accédez àSystème > Profils > Profil SSL > Ajouter

   

2. Créez le profil en lui donnant un nom, dans cet exemplesmesec_swg_sslprofile

   

3. Cochez la case pour activer l’interception des sessions SSL, puis cliquez sur OK.

   

4. Cliquez sur OK pour créer un profil SSL.

5. Doit installer la paire de clés de certificat

6. Assurez-vous d’avoir un.pfxformat de la paire de clés cert-clef avant. Reportez-vous à l’étape suivante pour obtenir des instructions sur la façon de générer un.pfxfichier à partir des.keyfichiers.certet que vous avez précédemment téléchargés.

Préparer une paire de clés cert-clé

1. Commencez parinstaller l’outil SSL

2. Ajouter le cheminopenssld’installation aux variables d’environnement système

   

3. À partir de PowerShell, exécutez la commande :

   openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

   

Lier un certificat d’autorité de certification d’interception SSL au profil SSL

1. Accédez àSystème > Profils > Profil SSL

2. Sélectionnez le profil créé précédemment

3. 集团+氯é de certificat

4. Cliquez sur Installer

5. Choisissez le fichier .pfx préparé précédemment

6. Créez un mot de passe (vous en aurez besoin plus tard)

7. Cliquez sur Installer

   

Liez le profil SSL au serveur virtuel

1. Accédez àSécurité > Proxy de transfert SSL > Serveurs virtuels proxy

   

2. Sélectionnez le serveur virtuel, dans cet exemplesslproxy01

3. Cliquez pour modifier le profil SSL

   

4. Choisissez le profil SSL créé précédemment, dans cet exemplesmesec_swg_sslprofile

5. Terminé

Section 5 : Configurer des stratégies et des actions de réécriture

Une stratégie de réécriture consiste en une règle et une action. La règle détermine le trafic sur lequel la réécriture est appliquée et l’action détermine l’action à entreprendre par Citrix ADC. La stratégie de réécriture est nécessaire pour que la redirection d’URL se produise vers Secure Browser en fonction de la catégorie de l’URL saisie dans le navigateur, dans cet exemple « Actualités ».

Référence

Créer une stratégie et une action de réécriture

1. Accédez àAppExpert > Reecrire >策略

2. Cliquez sur Ajouter.

   

3. Créez la stratégie en la nommant, cloud_pol dans cet exemple et utilisez l’expression :HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

4. Cliquez sur Créer

   

5. Créer l’action dans PuTTY

6. Exécutez la commande suivante :

   add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com//?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

   Remarque :

   dans la commande remplacezpar votre nom de compte client Citrix Cloud et remplacez par普勒德l 'application publiee安全浏览器r lequel la stratégie de paramètres d’URL est activée. Se référant à l’application publiée que vous avez créée dans la section 1.

Lier la stratégie de réécriture au serveur virtuel

1. Retour à la console de gestion ADC

2. Accédez àAppExpert > Reecrire >策略

3. Accédez à la stratégie cloud_pol et changez l’action en cloud_act (celle créée précédemment)

   

4. Pour choisir le type de stratégie de réécriture, accédez àSécurité > Proxy de transfert SSL > Serveurs virtuels proxy

5. Sélectionnez « + Stratégies »

6. Stratégie : Réécrire

7. Type : Réponse

   

8. Sélectionnez la stratégie créée, dans cet exemplecloud_pol

9. Priorité : 10

10. Lier

    

11. Cliquez sur Terminé

12. Enregistrer la configuration

Lier la clé de certificat au profil

1. Accédez àSystème > Profils > Profil SSL

2. Sélectionnez le profil créé, par exemplesmesec_swg_sslprofile

3. Double-cliquez+ Clé de certificat

   

4. Sélectionnez la clé de certificat, par exemplesmesec_cert_overall

   

5. Cliquez sur Sélectionner
6. Cliquez sur Bind
7. Cliquez sur Terminé
8. Enregistrer la configuration

Importer le fichier de certificat dans le navigateur

1. Téléchargez le certificat dans firefox (par exemple avec les sites Web de la catégorie Nouvelles)

2. Accédez àOptionsdans votre navigateur de choix, Firefox dans cet exemple

3. Rechercher« certs » > cliquez sur « Afficher les certificats »

   

4. Dans la fenêtre Gestionnaire de certificats, cliquez sur « Importer… »

   

5. Recherchez votre certificat et cliquez sur Ouvrir,smesec_cert1.certdans cet exemple

   

6. Saisissez le mot de passe que vous avez créé lors de la création du certificat

7. Votre autorité de certification doit être installée correctement

   

Démo

Les sites Web d’actualité du navigateur local sont automatiquement redirigés vers Secure Browser. Voir ladémosuivante

Résumé

在ce指导de PoC,你们有appris配置r Citrix ADC dans Azure et à configurer SSL Forward Proxy et SSL Interception. Cette intégration permet la fourniture dynamique de ressources en redirigeant la navigation vers le Secure Browser Service. Ainsi, protéger le réseau de l’entreprise sans sacrifier l’expérience utilisateur.