Proxy Explícita: Túneles HTTP CONNECT
La Proxy Explícita en su Firebox soporta Habilitación de Túnel HTTP CONNECT para el tráfico HTTPS. Cuando utiliza la habilitación de túnel CONNECT, un cliente envía solicitudes al Firebox a través de la Proxy Explícita sobre el puerto 3128. Estas solicitudes HTTP utilizan el método CONNECT para contactar el puerto configurado en los ajustes de Proxy Explícita (número de puerto HTTPS 443 de manera predeterminada). También puede configurar otros puertos para servidores web HTTPS personalizados. La Proxy Explícita luego establece una conexión TCP al destino especificado. Cuando se realiza la conexión, la Proxy Explícita responde a la solicitud HTTP original con la respuesta HTTP al cliente y luego este puede enviar los datos al destino.
Con la Proxy Explícita puede permitir, rechazar o bloquear una solicitud basada en puertos especificados o configurar una acción de proxy HTTPS para el tráfico de túnel de HTTP CONNECT.
Configure la Proxy Explícita para la Habilitación de Túnel HTTP CONNECT
- Seleccione Firewall > Políticas de Firewall.
Aparecerá la página Políticas. - Haga clic en Agregar Política.
Aparece la página Agregar Política de Firewall. - Seleccione Servidores Proxy.
- De la lista desplegable Servidores Proxy, seleccione Proxy Explícita.
- Haga clic en Agregar Política.
- Seleccione Editar > Agregar Política.
Aparece el cuadro de diálogo Agregar Política. - Expanda la lista de Servidores Proxy.
- Seleccione Proxy-Explícita.
- Haga clic en Agregar.
Configure una Acción de Proxy para la Proxy Explícita
Cuando agrega la política de Proxy-Explícita, la acción de proxy Explicit-Web.Standard predefinida se selecciona automáticamente. Dado que no puede editar una acción de proxy predefinida, debe clonar la acción de proxy y luego configurar los ajustes de la acción de proxy clonada.
- En la página de Proxy Explícita Agregar Política, seleccione la pestaña Acción de Proxy.
Aparece la página de Acción de Proxy con todas las pestañas de ajustes de categoría.
Si aparece (predefinida) junto a la lista desplegable Acción de Proxy, debe clonar la acción de proxy antes de configurar los ajustes de la acción de proxy. - En la lista desplegable Acción de Proxy, seleccione Clonar la acción de proxy actual.
La página se actualiza y aparece la acción de proxy clonada, con todas las opciones disponibles. Por defecto, el nombre de la acción de proxy clonada es Explicit-Web.Standard.1. - Para cambiar el nombre de la acción de proxy clonada, ingrese un nuevo nombre descriptivo para la acción de proxy en el cuadro de texto Nombre.
- En la lista despegable Proxy de Web Explícita, seleccione Habilitación de Túnel CONNECT.
Aparece la lista de Habilitación de Túnel CONNECT, con la regla predeterminada que permite el tráfico HTTPS en el puerto 443 con la generación de registros habilitada.
La opción de Habilitación de Túnel CONNECT
La lista de Habilitación de Túnel CONNECT con la regla de tráfico HTTPS predeterminada
- Para agregar una nueva regla, haga clic en Agregar. ¡Consejo!
Aparece el cuadro de diálogo Agregar Regla.
- En el cuadro de texto Nombre de Regla, ingrese un nombre descriptivo para la regla.
- En la lista desplegable Tipo, seleccione Puerto Único o Rango de Puertos.
- Si seleccionó Puerto Único, en el cuadro de texto Puerto, ingrese el número de puerto
Si seleccionó Rango de Puerto, en los cuadros de texto Puerto de Inicio y Puerto Final, ingrese los números de puerto de inicio y finales para el rango de puerto. - En la lista desplegable Acción, seleccione una acción para esta regla:
- Permitir — Permite la conexión.
- Rechazar — Rechaza una solicitud específica pero mantiene la conexión si es posible. Envía una respuesta al cliente.
- Descartar — Rechaza la solicitud específica y descarta la conexión. No envía una respuesta al remitente.
- Bloquear — Rechaza la solicitud, descarta la conexión y bloquea el sitio. Todo el tráfico desde la dirección IP del sitio se rechaza para la cantidad de tiempo que especifica en la configuración de Sitios Bloqueados.
Para más información sobre sitios bloqueados, consulte Acerca de los Sitios Bloqueados. - Acción de Proxy HTTPS — Cuando selecciona esta opción, aparece una lista desplegable con las acciones de proxy HTTPS que están disponibles en la configuración del Firebox. Seleccione la acción de proxy HTTPS para aplicar a este tráfico.
- Haga clic en Aceptar para guardar la regla.
- Desde la lista desplegable Acción a tomar hay coincidencia con ninguna regla anterior, seleccione una acción que se debe realizar para el tráfico que no coincide con una regla de la lista de Habilitación de Túnel CONNECTION.
- Permitir — Permite la conexión.
- Rechazar — Rechaza una solicitud específica pero mantiene la conexión si es posible. Envía una respuesta al cliente.
- Descartar — Rechaza la solicitud específica y descarta la conexión. No envía una respuesta al remitente.
- Bloquear — Rechaza la solicitud, descarta la conexión y bloquea el sitio. Todo el tráfico desde la dirección IP del sitio se rechaza para la cantidad de tiempo que especifica en la configuración de Sitios Bloqueados.
Para obtener más información acerca de los sitios bloqueados, consulte Acerca de los Sitios Bloqueados. - Acción de Proxy HTTPS — Cuando selecciona esta opción, aparece una lista desplegable con las acciones de proxy HTTPS que están disponibles en la configuración del Firebox. Seleccione la acción de proxy HTTPS para aplicar a este tráfico.
- Haga clic en Guardar.
- Seleccione Configuración > Acciones > Servidores Proxy, seleccione la acción de proxy Explicit-Web.Standard y haga clic en Clonar.
Alternativamente, en el cuadro Propiedades de Política Nueva para la política Proxy-Explícita, junto a la lista desplegable Acción-Proxy, haga clic en .
Aparece la Clonar Configuración de Acción de Proxy Web Explícita. Por defecto, el nombre de la acción de proxy clonada es Explicit-Web.Standard.1. - Para cambiar el nombre de la acción de proxy clonada, ingrese un nuevo nombre descriptivo para la acción de proxy en el cuadro de texto Nombre.
- En el árbol Categorías, expanda Proxy de Web Explícita y seleccione Habilitación de Túnel CONNECT.
Aparece la lista de Habilitación de Túnel CONNECT, con la regla predeterminada que permite el tráfico HTTPS en el puerto 443 con la generación de registros habilitada.
- Para agregar una nueva regla, haga clic en Agregar. ¡Consejo!
Aparece el cuadro de diálogo Nueva Regla de Habilitación de Túnel CONNECT.
- En el cuadro de texto Nombre de Regla, ingrese un nombre descriptivo para la regla.
- En la lista desplegable Tipo, seleccione Puerto Único o Rango de Puertos.
- Si seleccionó Puerto Único, en el cuadro de texto Puerto, ingrese el número de puerto
Si seleccionó Rango de Puerto, en los cuadros de texto Puerto de Inicio y Puerto Final, ingrese los números de puerto de inicio y finales para el rango de puerto. - En la lista desplegable Acción, seleccione una acción para esta regla:
- Permitir — Permite la conexión.
- Rechazar — Rechaza una solicitud específica pero mantiene la conexión si es posible. Envía una respuesta al cliente.
- Descartar — Rechaza la solicitud específica y descarta la conexión. No envía una respuesta al remitente.
- Bloquear — Rechaza la solicitud, descarta la conexión y bloquea el sitio. Todo el tráfico desde la dirección IP del sitio se rechaza para la cantidad de tiempo que especifica en la configuración de Sitios Bloqueados.
Para más información sobre sitios bloqueados, consulte Acerca de los Sitios Bloqueados. - Acción de Proxy HTTPS — Cuando selecciona esta opción, aparece una lista desplegable con las acciones de proxy HTTPS que están disponibles en la configuración del Firebox. Seleccione la acción de proxy HTTPS para aplicar a este tráfico.
- Haga clic en Aceptar para guardar la regla.
- Desde la lista desplegable Acción a tomar hay coincidencia con ninguna regla anterior, seleccione una acción que se debe realizar para el tráfico que no coincide con una regla de la lista de Habilitación de Túnel CONNECTION.
- Permitir — Permite la conexión.
- Rechazar — Rechaza una solicitud específica pero mantiene la conexión si es posible. Envía una respuesta al cliente.
- Descartar — Rechaza la solicitud específica y descarta la conexión. No envía una respuesta al remitente.
- Bloquear — Rechaza la solicitud, descarta la conexión y bloquea el sitio. Todo el tráfico desde la dirección IP del sitio se rechaza para la cantidad de tiempo que especifica en la configuración de Sitios Bloqueados.
Para obtener más información acerca de los sitios bloqueados, consulte Acerca de los Sitios Bloqueados. - Acción de Proxy HTTPS — Cuando selecciona esta opción, aparece una lista desplegable con las acciones de proxy HTTPS que están disponibles en la configuración del Firebox. Seleccione la acción de proxy HTTPS para aplicar a este tráfico.
- Guardar la configuración en el Firebox.