Introduzione
In questo documento viene descritta la differenza tra la modalità trasparente e la modalità proxy su Cisco Web Security Appliance (WSA).
Qual è la differenza tra la modalità proxy trasparente e quella forward?
L'obiettivo di un proxy è quello di fungere da intermediario (proxy) tra client HTTP e server HTTP. Ciò significa in particolare che Web Security Appliance (WSA), in quanto proxy Web, dispone di due set di socket TCP per richiesta del client:
Client > WSA
WSA > Server di origine
Il modo in cui il proxy HTTP WSA ottiene la richiesta del client può essere definito in due modi: in modo trasparente o in modo esplicito.
Ognuna di queste distribuzioni dispone di diverse opzioni di configurazione specifiche:
Implementazione |
Metodo |
Descrizione |
Trasparente |
Switch di livello 4 (PBR) |
Uno switch di layer 4 viene usato per il reindirizzamento in base alla porta di destinazione 80 |
Trasparente |
WCCP |
Un dispositivo abilitato per WCCP v2 (in genere un router, uno switch, PIX o ASA) reindirizza la porta 80 |
Trasparente |
Modalità Bridged |
Doppia scheda NIC, virtualmente accoppiata. Il traffico passa da una scheda NIC all'altra (non disponibile) |
Esplicito |
Browser configurato |
Il browser client è configurato esplicitamente per l'utilizzo di un proxy |
Esplicito |
file PAC configurato |
Il browser client è configurato in modo esplicito per l'utilizzo di un file .PAC, che a sua volta fa riferimento al proxy |
WSA può utilizzare tutte queste distribuzioni ad eccezione della modalità bridge. Questa funzionalità dovrebbe essere disponibile nel prossimo futuro.
Quando le richieste vengono reindirizzate al server WSA in modo trasparente, il server WSA deve fingere di essere il server OCS (source content server), poiché il client non è a conoscenza dell'esistenza di un proxy. Al contrario, se una richiesta è inviata esplicitamente al WSA, quest'ultimo risponde con le proprie informazioni sul PI.
Esistono alcune differenze tra le richieste HTTP client esplicite e le richieste HTTP client trasparenti:
- Una richiesta esplicita ha un indirizzo IP di destinazione del proxy configurato. Una richiesta trasparente ha un indirizzo IP di destinazione del server Web previsto (DNS risolto dal client).
- L'URI per una richiesta trasparente non contiene il protocollo con l'host:
Entrambi contengono un'intestazione host HTTP che specifica l'host DNS.
Configurazione WSA
WSA può essere configurato per "transparent" o "forward". Questo è un po' un inganno, in quanto si tratta in realtà della modalità "trasparente" o "esplicita", entrambe sono implementazioni proxy di inoltro. Il proxy inverso si trova nella stessa rete dei server HTTP e ha lo scopo di servire il contenuto per tali server HTTP.
L'unica differenza importante tra la modalità trasparente e la modalità di inoltro sul WSA è che in modalità trasparente il WSA risponde sia alle richieste HTTP trasparenti che a quelle esplicite. In modalità esplicita, invece, WSA ONLY risponde a richieste HTTP esplicite.
Il WSA invia sempre la sua richiesta a monte come richiesta di stile trasparente, poiché il WSA agisce come proprio client, A MENO che il WSA non sia configurato per utilizzare specificamente un proxy a monte esplicito.
Di seguito è riportata un'altra differenza tra autenticazione trasparente ed esplicita:
Trasparente |
401 - viene inviato da WSA quando è richiesta l'autenticazione. Questo è anche ciò che invierebbe OCS. |
Esplicito |
407 - viene inviato dal WSA per comunicare al client che un proxy HTTP richiede l'autenticazione. |