Segurança : Cisco Web Security Appliance

Diferença entre o modo de proxy transparente e dianteiro

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Jakob Dohrmann e por Siddharth Rajpathak, engenheiros de TAC da Cisco.

Pergunta

Que é a diferença entre o modo de proxy transparente e dianteiro?

O objetivo de um proxy é ser o homem médio (proxy) entre clientes HTTP e Server do HTTP. Isto significa especificamente que a ferramenta de segurança da Web de Cisco (WSA), como um proxy da Web, terá dois grupos de soquetes TCP pelo pedido do cliente:

Cliente - > WSA 
WSA - > servidor de origem

Como o proxy HTTP WSA obtém o pedido do cliente pode ser definido como uma de duas maneiras: Transparentemente ou explicitamente.

Cada um destas disposições tem diversas opções de configuração específicas:

DesenvolvimentoMétodoDescrição
Transparente4 Switch da camada (PBR) Um 4 Switch da camada é usado para reorientar baseado na porta do destino 80
 Transparente WCCP Um dispositivo permitido v2 WCCP (tipicamente um roteador, um interruptor, um PIX, ou um ASA) reorienta a porta 80
TransparenteModo construído uma ponte sobreNIC dual, emparelhados virtualmente. O tráfego vai em um NIC e para fora no outro (não disponível)
ExplícitoNavegador configuradoO navegador cliente é configurado explicitamente para usar um proxy
ExplícitoArquivo .PAC configuradoO navegador cliente é-nos configurado explicitamente um arquivo .PAC, que por sua vez, proveja o proxy

O WSA pode usar todas estas disposições à exceção do modo construído uma ponte sobre. Isto é esperado estar disponível em um futuro próximo.

Quando os pedidos estão sendo reorientados ao WSA transparentemente, o WSA deve fingir ser os OC (server satisfeito da origem), desde que o cliente é inconsciente da existência de um proxy. Pelo contrário, se um pedido é enviado explicitamente ao WSA, o WSA responderá com ele é possuir a informação IP.

Há algumas diferenças entre pedidos do HTTP explícitos e transparentes do cliente:

1. Um pedido explícito tem um endereço IP de destino do proxy configurado. Um pedido transparente tem um endereço IP de destino do servidor de Web pretendido (DNS resolvido pelo cliente).

2. O URI para um pedido transparente não contém o protocolo com o host:

TransparenteGET/HTTP/1.1
ExplícitoGET http://www.google.com/ HTTP/1.1

Ambos conterão um encabeçamento do host HTTP que especifique o host DNS.

Configuração WSA

O WSA pode ser configurado para “transparente” ou “dianteiro”. Isto está enganando-se levemente, como este é realmente “modo transparente” ou “explícito”, ambo é disposições dianteiras do proxy. O proxy reverso é o lugar onde o proxy é pretendido estar na mesma rede que os Server do HTTP e sua finalidade são servir acima o índice para estes Server do HTTP.

A única diferença principal entre o modo transparente e dianteiro no WSA reage aquela do modo transparente, o WSA responderá aos pedidos do HTTP transparentes e explícitos. Considerando que em explícito, o WSA responde SOMENTE aos pedidos do HTTP explícitos.

O WSA enviará sempre seu pedido ascendente como um pedido transparente do estilo, desde que o WSA está atuando como ele é possuir o cliente, A MENOS QUE o WSA for configurado para usar especificamente um proxy upstream explícito.

O seguinte é uma outra diferença entre a autenticação transparente e explícita:

Transparente  401 - está enviado do WSA quando a autenticação é exigida. Este é igualmente o que os OC enviariam.
Explícito407 - são enviados do WSA para dizer ao cliente que um proxy HTTP exige a autenticação.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 117940