Sécurité : Dispositifs de sécurité Web Cisco IronPort

Différence entre le mode proxy transparent et en avant

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Jakob Dohrmann et Siddharth Rajpathak, ingénieurs TAC Cisco.

Question

Quelle est la différence entre le mode proxy transparent et en avant ?

Le but d'un proxy est d'être l'homme moyen (proxy) entre les clients de HTTP et les serveurs HTTP. Ceci signifie spécifiquement que l'appliance de sécurité Web de Cisco (WSA), comme proxy de Web, aura deux ensembles de sockets de TCP par demande de client :

Client - > WSA 
WSA - > serveur d'origine

Comment le proxy HTTP WSA obtient la demande du client peut être définie en tant qu'une de deux manières : D'une manière transparente ou explicitement.

Chacun de ces déploiements a plusieurs options de configuration spécifiques :

DéploiementMéthodeDescription
TransparentCommutateur de la couche 4 (PBR) Un commutateur de la couche 4 est utilisé pour réorienter basé sur la destination port 80
 Transparent WCCP Un périphérique activé par v2 WCCP (typiquement un routeur, un commutateur, un PIX, ou une ASA) réoriente le port 80
TransparentMode traversierDoubles NIC, pratiquement appareillés. Le trafic entre dans un NIC et l'autre (non disponible)
ExpliciteNavigateur configuréLe navigateur de client est explicitement configuré pour utiliser un proxy
ExpliciteFichier .PAC configuréLe navigateur de client est explicitement configuré à nous un fichier .PAC, qui consécutivement, met en référence le proxy

Le WSA peut utiliser tous ces déploiements excepté le mode traversier. On s'attend à ce que ceci soit disponible dans un avenir proche.

Quand des demandes sont réorientées au WSA d'une manière transparente, le WSA doit feindre pour être l'OCS (serveur de contenu d'origine), puisque le client est inconscient de l'existence d'un proxy. Au contraire, si une demande est explicitement envoyée au WSA, le WSA répondra avec lui est de posséder les informations IP.

Il y a quelques différences entre les demandes de HTTP explicites et transparentes de client :

1. Une demande explicite a une adresse IP de destination du proxy configuré. Une demande transparente a une adresse IP de destination du web server destiné (DN résolus du client).

2. L'URI pour une demande transparente ne contient pas le protocole avec l'hôte :

TransparentOBTIENNENT/HTTP/1.1
ExpliciteOBTENEZ http://www.google.com/ HTTP/1.1

Chacun des deux contiendront une en-tête d'hôte de HTTP qui spécifie l'hôte de DN.

Configuration WSA

Le WSA peut être configuré pour « transparent » ou « en avant ». C'est légèrement fallacieux, comme c'est vraiment mode « transparent » ou « explicite », qui sont des déploiements en avant de proxy. Le proxy inverse est où le proxy est destiné pour être sur le même réseau comme les serveurs HTTP et son but est pour servir satisfait pour ces serveurs HTTP.

La seule difference majeure entre le mode transparent et en avant sur le WSA est celle en mode transparent, le WSA répondra aux demandes de HTTP transparentes et explicites. Considérant que dans explicite, le WSA répond SEULEMENT aux demandes de HTTP explicites.

Le WSA enverra toujours sa demande en amont comme demande transparente de style, puisque le WSA agit en tant que lui est de posséder le client, À MOINS QUE le WSA soit configuré pour utiliser spécifiquement un proxy en amont explicite.

Ce qui suit est une autre différence entre l'authentification transparente et explicite :

Transparent  401 - est envoyés du WSA quand l'authentification est exigée. Est également ce ce que l'OCS enverrait.
Explicite407 - est envoyés du WSA pour indiquer au client qu'un proxy HTTP exige l'authentification.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 117940