Question
Quelle est la différence entre le mode proxy transparent et en avant ?
Le but d'un proxy est d'être l'homme moyen (proxy) entre les clients de HTTP et les serveurs HTTP. Ceci signifie spécifiquement que l'appliance de sécurité Web de Cisco (WSA), comme proxy de Web, aura deux ensembles de sockets de TCP par demande de client :
Client - > WSA
WSA - > serveur d'origine
Comment le proxy HTTP WSA obtient la demande du client peut être définie en tant qu'une de deux manières : D'une manière transparente ou explicitement.
Chacun de ces déploiements a plusieurs options de configuration spécifiques :
| Déploiement |
Méthode |
Description |
| Transparent |
Commutateur de la couche 4 (PBR) |
Un commutateur de la couche 4 est utilisé pour réorienter basé sur la destination port 80 |
| Transparent |
WCCP |
Un périphérique activé par v2 WCCP (typiquement un routeur, un commutateur, un PIX, ou une ASA) réoriente le port 80 |
| Transparent |
Mode traversier |
Doubles NIC, pratiquement appareillés. Le trafic entre dans un NIC et l'autre (non disponible) |
| Explicite |
Navigateur configuré |
Le navigateur de client est explicitement configuré pour utiliser un proxy |
| Explicite |
Fichier .PAC configuré |
Le navigateur de client est explicitement configuré à nous un fichier .PAC, qui consécutivement, met en référence le proxy |
Le WSA peut utiliser tous ces déploiements excepté le mode traversier. On s'attend à ce que ceci soit disponible dans un avenir proche.
Quand des demandes sont réorientées au WSA d'une manière transparente, le WSA doit feindre pour être l'OCS (serveur de contenu d'origine), puisque le client est inconscient de l'existence d'un proxy. Au contraire, si une demande est explicitement envoyée au WSA, le WSA répondra avec lui est de posséder les informations IP.
Il y a quelques différences entre les demandes de HTTP explicites et transparentes de client :
1. Une demande explicite a une adresse IP de destination du proxy configuré. Une demande transparente a une adresse IP de destination du web server destiné (DN résolus du client).
2. L'URI pour une demande transparente ne contient pas le protocole avec l'hôte :
| Transparent |
OBTIENNENT/HTTP/1.1 |
| Explicite |
OBTENEZ http://www.google.com/ HTTP/1.1 |
Chacun des deux contiendront une en-tête d'hôte de HTTP qui spécifie l'hôte de DN.
Configuration WSA
Le WSA peut être configuré pour « transparent » ou « en avant ». C'est légèrement fallacieux, comme c'est vraiment mode « transparent » ou « explicite », qui sont des déploiements en avant de proxy. Le proxy inverse est où le proxy est destiné pour être sur le même réseau comme les serveurs HTTP et son but est pour servir satisfait pour ces serveurs HTTP.
La seule difference majeure entre le mode transparent et en avant sur le WSA est celle en mode transparent, le WSA répondra aux demandes de HTTP transparentes et explicites. Considérant que dans explicite, le WSA répond SEULEMENT aux demandes de HTTP explicites.
Le WSA enverra toujours sa demande en amont comme demande transparente de style, puisque le WSA agit en tant que lui est de posséder le client, À MOINS QUE le WSA soit configuré pour utiliser spécifiquement un proxy en amont explicite.
Ce qui suit est une autre différence entre l'authentification transparente et explicite :
| Transparent |
401 - est envoyés du WSA quand l'authentification est exigée. Est également ce ce que l'OCS enverrait. |
| Explicite |
407 - est envoyés du WSA pour indiquer au client qu'un proxy HTTP exige l'authentification. |
Commentaires