Introduction
Ce document décrit la différence entre le mode transparent et le mode proxy sur l'appareil de sécurité Web Cisco (WSA).
Quelle est la différence entre le mode proxy transparent et le mode proxy de transfert ?
Le but d'un proxy est d'être l'homme intermédiaire (proxy) entre les clients HTTP et les serveurs HTTP. Cela signifie spécifiquement que l'appliance de sécurité Web (WSA), en tant que proxy Web, dispose de deux ensembles de sockets TCP par requête client :
Client > WSA
WSA > Serveur d'origine
La manière dont le proxy HTTP WSA obtient la requête du client peut être définie comme l'une des deux méthodes suivantes : De manière transparente ou explicite.
Chacun de ces déploiements comporte plusieurs options de configuration spécifiques :
Déploiement |
Méthode |
Description |
Transparence |
Commutateur de couche 4 (PBR) |
Un commutateur de couche 4 est utilisé pour la redirection en fonction du port de destination 80 |
Transparence |
WCCP |
Un périphérique compatible WCCP v2 (généralement un routeur, un commutateur, un PIX ou un ASA) redirige le port 80 |
Transparence |
Mode ponté |
Deux cartes réseau, virtuellement jumelées. Le trafic entre dans une carte réseau et en sort (non disponible) |
Explicite |
Navigateur configuré |
Le navigateur du client est explicitement configuré pour utiliser un proxy |
Explicite |
Fichier .PAC configuré |
Le navigateur client est explicitement configuré pour nous un fichier .PAC, qui, à son tour, fait référence au proxy |
Le WSA peut utiliser tous ces déploiements sauf pour le mode ponté. Cette information devrait être disponible dans un proche avenir.
Lorsque les requêtes sont redirigées vers le WSA de manière transparente, le WSA doit prétendre être le OCS (serveur de contenu d'origine), car le client ne connaît pas l'existence d'un proxy. Au contraire, si une requête est explicitement envoyée au WSA, le WSA répond avec ses propres informations IP.
Il existe quelques différences entre les requêtes HTTP client explicites et transparentes :
- Une requête explicite a une adresse IP de destination du proxy configuré. Une requête transparente a une adresse IP de destination du serveur Web prévu (DNS résolu par le client).
- L'URI d'une requête transparente ne contient pas le protocole avec l'hôte :
Tous deux contiennent un en-tête d'hôte HTTP qui spécifie l'hôte DNS.
Configuration du WSA
Le WSA peut être configuré pour "transparent" ou "forward« . C'est un peu trompeur, car il s'agit en réalité d'un mode "transparent" ou "explicite« , deux modes de déploiement de proxy avant. Le proxy inverse est l'endroit où le proxy est destiné à se trouver sur le même réseau que les serveurs HTTP et son objectif est de servir le contenu de ces serveurs HTTP.
La seule différence majeure entre le mode transparent et avant sur le WSA est qu'en mode transparent, le WSA répond aux requêtes HTTP transparentes et explicites. Tandis que dans explicite, WSA ONLY répond aux requêtes HTTP explicites.
Le WSA envoie toujours sa requête en amont comme une requête de style transparent, puisque le WSA agit comme son propre client, SAUF si le WSA est configuré pour utiliser spécifiquement un proxy en amont explicite.
Voici une autre différence entre une authentification transparente et explicite :
Transparence |
401 - est envoyé à partir du WSA lorsque l'authentification est requise. C'est également ce que le Bureau des services de contrôle interne enverrait. |
Explicite |
407 - est envoyé à partir du WSA pour indiquer au client qu'un proxy HTTP nécessite une authentification. |