Seguridad : Dispositivo de seguridad web Cisco

Diferencia entre el modo de representación transparente y delantero

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Contenido

Contribuido por Jacobo Dohrmann y Siddharth Rajpathak, ingenieros de Cisco TAC.

Pregunta

¿Cuál es la diferencia entre el modo de representación transparente y delantero?

La meta de un proxy es ser el hombre medio (proxy) entre los clientes HTTP y los servidores HTTP. Esto significa específicamente que el dispositivo de seguridad de la red de Cisco (WSA), como Web Proxy (Proxy Web), tendrá dos conjuntos de los socketes TCP por el pedido de cliente:

Cliente - > WSA 
WSA - > servidor de origen

Cómo el proxy de HTTP WSA obtiene la petición del cliente se puede definir como una de dos maneras: Transparente o explícitamente.

Cada uno de estas implementaciones tiene varias opciones de configuración específicas:

DespliegueMétodoDescripción
Transparente(PBR) del 4 Switch de la capa Un 4 Switch de la capa se utiliza para reorientar basado en el puerto destino 80
 Transparente WCCP Un dispositivo habilitado v2 WCCP (típicamente router, un Switch, un PIX, o un ASA) reorienta el puerto 80
TransparenteModo de puenteNIC duales, emparejados virtualmente. El tráfico entra en un NIC y hacia fuera el otro (no disponible)
ExplícitoNavegador configuradoConfiguran al buscador del cliente explícitamente para utilizar un proxy
ExplícitoArchivo .PAC configuradoConfiguran al buscador del cliente explícitamente a nosotros un archivo .PAC, que a su vez, se refiere al proxy

El WSA puede utilizar todas estas implementaciones a excepción del modo de puente. Se espera que esto esté disponible en un futuro próximo.

Cuando las peticiones se están reorientando al WSA transparente, el WSA debe fingir ser el OCS (servidor contento del origen), puesto que el cliente está inconsciente de la existencia de un proxy. Por el contrario, si una petición se envía explícitamente al WSA, el WSA responderá con él es poseer la información IP.

Hay algunas diferencias entre los pedidos de HTTP explícitos y transparentes del cliente:

1. Una petición explícita tiene un IP Address de destino del proxy configurado. Una petición transparente tiene un IP Address de destino del servidor Web previsto (DNS resuelto por el cliente).

2. URI para una petición transparente no contiene el protocolo con el host:

TransparenteGET/HTTP/1.1
ExplícitoGET http://www.google.com/ HTTP/1.1

Ambos contendrán una encabezado del host HTTP que especifique el host DNS.

Configuración WSA

El WSA se puede configurar para “transparente” o “delantero”. Esto es levemente engañoso, como éste es realmente “modo transparente” o “explícito”, que es implementaciones delanteras del proxy. La representación inversa es donde el proxy se piensa para estar en la misma red que los servidores HTTP y su propósito es servir para arriba contento para estos servidores HTTP.

La única diferencia principal entre el modo transparente y delantero en el WSA es ésa en el modo transparente, el WSA responderá a los pedidos de HTTP transparentes y explícitos. Considerando que en explícito, el WSA responde SOLAMENTE a los pedidos de HTTP explícitos.

El WSA enviará siempre su petición por aguas arriba como petición transparente del estilo, puesto que el WSA está actuando como él es poseer al cliente, A MENOS QUE el WSA se configure para utilizar específicamente un proxy ascendente explícito.

Lo que sigue es otra diferencia entre la autenticación transparente y explícita:

Transparente  401 - se envía del WSA cuando se requiere la autenticación. Esto es también lo que enviaría el OCS.
Explícito407 - se envía del WSA para decir al cliente que un proxy de HTTP requiere la autenticación.


Document ID: 117940