Configurer le proxy en amont dans l'appliance Web sécurisée

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (823.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (719.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:28 avril 2026
ID du document:225825

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit les étapes de configuration du proxy en amont dans l'appareil Web sécurisé (SWA).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Administration SWA.
  • Protocoles réseau et proxy de base.

Cisco recommande d'installer les outils suivants :

  • SWA physique ou virtuel
  • Accès administratif à l'interface utilisateur graphique (GUI) de SWA
  • Accès administratif à l'interface de ligne de commande (CLI) SWA

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configuration du proxy en amont

Suivez ces étapes pour configurer un proxy en amont dans SWA.

Étapes

Étapes

Étape 1. (Facultatif) Créez une catégorie d'URL personnalisée pour les URL

Remarque : Si vous souhaitez définir le proxy en amont pour tout le trafic, vous pouvez ignorer cette étape.

Étape 1.1.Dans l'interface utilisateur graphique, sélectionnez Gestionnaire de sécurité Web, puis cliquez sur Catégories d'URL personnalisées et externes.
Étape 1.2.Cliquez sur Ajouter une catégorie pour ajouter une catégorie d'URL personnalisée.
Étape 1.3.Attribuez un CategoryName unique.
Étape 1.4. (Facultatif) Ajoutez une description.

Étape 1.5. Dans Ordre des listes, choisissez la première catégorie sur laquelle vous souhaitez vous positionner.

Étape 1.6. Dans la liste déroulante Type de catégorie, sélectionnez Catégorie personnalisée locale.

Étape 1.7. Ajoutez les URL souhaitées dans la section Sites.

Étape 1.8. Envoyer

Image - Create a Custom URL CategoryImage - Créer une catégorie d'URL personnalisée

Étape 2. (Facultatif) Créez un profil d'identification pour utiliser le proxy en amont

Remarque : Si vous souhaitez définir le proxy en amont pour tout le trafic, vous pouvez ignorer cette étape.

Étape 2.1.Dans l’interface utilisateur graphique, sélectionnez Gestionnaire de sécurité Web, puis cliquez sur Profils d’identification.
Étape 2.2.Cliquez sur Ajouter un profil pour ajouter un profil.
Étape 2.3.Utilisez la case à cocher Activer le profil d'identification pour activer ce profil ou le désactiver rapidement sans le supprimer.
Étape 2.4.Attribuez un profileName unique.
Étape 2.5. (Facultatif) Ajoutez une description.
Étape 2.6.Dans la liste déroulante Insérer ci-dessus, choisissez l'emplacement de ce profil dans le tableau.

Étape 2.7. Si vous ne souhaitez pas authentifier les utilisateurs qui appliquent cette stratégie, dans la section Méthode d'identification des utilisateurs, choisissez Exempt from authentication/ identification, sinon configurez les paramètres d'authentification. 

Étape 2.8.Dans le champ Define Members by Subnet (Définir les membres par sous-réseau), laissez ce champ vide pour inclure toutes les adresses IP client, sauf si vous souhaitez transmettre le trafic pour certaines adresses IP. 

Étape 2.9. (Facultatif : si vous devez utiliser un proxy en amont pour des utilisateurs spécifiques accédant à certains sites Web, complétez cette étape.) Dans la section Avancé, choisissez Catégories d'URL personnalisées, puis ajoutez la catégorie d'URL personnalisée qui a été créée à l'étape 1

Étape 2.10. Envoyer

Image - Create an Identification ProfileImage - Créer un profil d'identification

Étape 3. Création du proxy en amont

Étape 3.1.Dans l'interface utilisateur graphique, sélectionnez Réseau, puis cliquez sur Proxy en amont.

Étape 3.2. Cliquez sur Ajouter un groupe.

Étape 3.3.Attribuez un nom unique.
Étape 3.4. Définition de l'adresse proxy et du numéro de port.
Étape 3.5. (Facultatif) Si vous disposez de plusieurs Proxy en amont, cliquez sur Ajouter une ligne pour définir le Proxy suivant.

Étape 3.6. (Facultatif) Si vous avez saisi plusieurs Proxy en amont dans la section Équilibrage de charge, définissez la méthode d'équilibrage de charge souhaitée : 

  • Aucun (basculement) : le proxy Web dirige les transactions vers un proxy externe du groupe. Il tente de se connecter aux proxys dans l'ordre dans lequel ils sont répertoriés. Si un proxy n'est pas accessible, le proxy Web tente de se connecter au proxy suivant de la liste.
  • Le plus petit nombre de connexions : le proxy Web effectue le suivi du nombre de demandes actives avec les différents proxys du groupe et dirige une transaction vers le proxy qui traite actuellement le moins de connexions.
  • Basé sur le hachage : moins récemment utilisé. Le proxy Web dirige une transaction vers le proxy qui a reçu une transaction au moins récemment si tous les proxys sont actuellement actifs. Ce paramètre est similaire au round robin, à ceci près que le proxy Web prend également en compte les transactions qu'un proxy a reçues en étant membre d'un groupe de proxies différent. En d'autres termes, si un proxy est répertorié dans plusieurs groupes de proxies, l'option « le moins récemment utilisé » est moins susceptible de surcharger ce proxy.
  • Round robin : le proxy Web effectue des cycles de transactions égaux entre tous les proxys du groupe dans l'ordre indiqué.

Étape 3.7. Choisissez l'option Failure Handling selon votre stratégie interne.

  • Connexion directe : envoie les requêtes directement à leurs serveurs de destination.
  • Supprimer des requêtes :Ignorez les requêtes sans les transférer.

Étape 3.8. Envoyer.

Image - Add Upstream Proxy GroupImage - Ajouter un groupe de proxys en amont

Étape 4. (Facultatif) Téléchargez le certificat de déchiffrement

Remarque : Si le proxy en amont ne déchiffre pas le trafic ou si son serveur AC est déjà approuvé dans le SWA, vous pouvez ignorer cette étape

Étape 4.1.Dans l'interface utilisateur graphique, sélectionnez Réseau, puis cliquez sur Gestion des certificats.

Étape 4.2. Dans la section Certificate Management, cliquez sur Manage Trusted Root Certificates.

Image - Manage Trusted Root CertificateImage - Gérer le certificat racine de confiance

Étape 4.3. Soumettre et valider les modifications

Attention : si les certificats d'autorité de certification racine et intermédiaire sont requis, téléchargez d'abord le certificat d'autorité de certification racine, puis cliquez sur Envoyer et valider. Une fois la validation terminée, importez le certificat d'autorité de certification intermédiaire, puis soumettez et validez à nouveau les modifications.

Étape 5 : configuration de la politique de routage

Étape 5.1. Dans l’interface utilisateur graphique, sélectionnez Gestionnaire de sécurité Web, puis cliquez sur Stratégie de routage.

Étape 5.2. (Facultatif) Si vous souhaitez utiliser le proxy en amont pour des utilisateurs ou des sites Web spécifiques, cliquez sur Ajouter une stratégie, puis sélectionnez le profil d'identification que vous avez créé à l'étape 2

Image - Adding ID Profile to Routing PolicyImage - Ajout d'un profil ID à la stratégie de routage

Étape 5.3. Pour les conditions souhaitées, que vous souhaitez utiliser le proxy en amont, cliquez sur le lien Destination de routage et sélectionnez le groupe de proxy en amont que vous avez créé à l'étape 3.

Image - Configuring Routing DestinationImage : configuration de la destination de routage

Remarque : Si vous souhaitez que tout le trafic utilise le proxy en amont, dans la Politique de routage globale, sélectionnez le proxy en amont souhaité.

Étape 5.4. Soumettre et valider les modifications

Étape 6. (Facultatif) Configuration des paramètres de temporisation de non-réponse du proxy en amont

Conseil : il est recommandé de ne pas modifier ces valeurs à moins que vous ne compreniez parfaitement leur comportement et leur impact potentiel.

Étape 6.1. Connectez-vous à l’interface de ligne de commande et exécutez advanced proxyconfig

Étape 6.2. Sélectionner DIVERS 

Étape 6.3. Appuyez sur Entrée jusqu'à ce que la fenêtre Enter minimum idle timeout for check unresponse upstream proxy (in seconds) s'affiche.  Si vous pouvez configurer la durée minimale, SWA attend pour retenter le proxy en amont qui a été précédemment déclaré Sick. La valeur par défaut est de 10 secondes.

Étape 6.4. Appuyez sur Entrée pour passer au paramètre suivant. Lors de la définition du délai d'inactivité maximal pour la vérification d'un proxy en amont qui ne répond pas, notez que si cette valeur de délai d'attente est atteinte avant que le nombre configuré de tentatives de reconnexion soit épuisé (étape 3), le SWA considère le proxy en amont hors ligne.

Étape 6.7. Continuez à appuyer sur Entrée, jusqu'à ce que vous quittiez l'Assistant, exécutez commit pour enregistrer les modifications.

Journalisation

Journaux d'accès

Dans les Accesslogs, le trafic qui a été routé vers le proxy en amont est affiché comme DEFAULT_PARENT suivi du nom du proxy en amont. voici un exemple :

1775659642.780 462 10.20.3.15 TCP_MISS_SSL/200 129 CONNECT tunnel://www.cisco.com:443/ "AMOJARRA\amojarra" DEFAULT_PARENT/10.48.48.182 - DECRYPT_WEBCAT_7-DPurl-Auith-NONE-NONE-NONE-DefaultGroup-NONE <"IW_comp",8.7,1,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_comp",-,"-","Computers and Internet","-","Unknown","Unknown","-","-",2.23,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -

Proxylogs

À partir des journaux de proxy, vous pouvez vérifier l'état de santé des proxies en amont. 

Conseil : Vous pouvez filtrer pour peer pour examiner les journaux liés au proxy en amont.

Voici quelques exemples, puisque nous avons configuré les tentatives de reconnexion à l'étape 3 à deux reprises, après deux échecs de connexion au proxy en amont, le proxy en amont est déclaré add et SWA supprime ce proxy en amont de la liste jusqu'à ce que le processus proxy soit redémarré. 

Thu Apr  2 13:52:35 2026 Info: PROX_CONNTRACK : 940 : [15968:0] Peer-upstream 10.48.48.182:3128 was healthy, now sick. 
Thu Apr  2 13:52:36 2026 Info: PROX_CONNTRACK : 940 : [15968:0] Peer 10.48.48.182:3128 was sick, now healthy.
...
Thu Apr  2 13:59:37 2026 Info: PROX_CONNTRACK : 60 : [71197:0] Peer 10.48.48.183:3128 remains sick after 2 failures.
Thu Apr  2 13:59:39 2026 Warning: PROX_CONNTRACK : 70 : [71197:0] Peer-upstream 10.48.48.183:3128 declared dead.

Remarque : Si le proxy en amont ne répond pas aux requêtes SYN TCP, ne renvoie pas de code de réponse HTTP ou renvoie une réponse HTTP 504 (délai d'expiration de la passerelle), le SWA considère que le proxy en amont n'est pas disponible et change son état de Healthy à Sick.

Conseil : Le SWA considère qu'un proxy en amont est sain s'il renvoie un en-tête VIA.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
28-Apr-2026
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Amirhossein Mojarrad
    Ingénieur-conseil technique

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco