Proxy Inverso para el Access Portal

En Fireware v12.5 o superior, puede configurar acciones de proxy inverso en la configuración de Access Portal. Con los servidores proxy inversos, los usuarios remotos pueden conectarse de forma segura a aplicaciones web internas y servicios de Microsoft Exchange sin un cliente VPN. El proxy inverso reenvía el tráfico HTTP desde redes externas a servidores de Exchange u otras aplicaciones web en redes internas que están detrás de un Firebox.

Por ejemplo, puede configurar acciones de proxy inverso para que los usuarios remotos puedan conectarse a aplicaciones web empresariales comunes. Las aplicaciones deben usar HTML, HTML5 o JavaScript. Los exploradores deben ser compatibles con TLS (recomendamos TLS 1.2 o superior).

Recomendamos que limite la cantidad de conexiones RDP simultáneas según la memoria RAM asignada a cada Firebox. Cada sesión RDP o SSH consume aproximadamente 15 MB de RAM.

También puede configurar una acción de proxy inverso para Microsoft Exchange. Para conectarse a los servicios de Exchange, los usuarios remotos pueden conectarse a una URL externa con cualquiera de estos métodos:

  • Dispositivos móviles con clientes de correo Microsoft (a través de ActiveSync)
  • Microsoft Outlook
  • Microsoft Outlook Web Access
  • Microsoft Outlook Web Access a través del Access Portal (con inicio de sesión automático)

Requisitos

Cuando configure acciones de proxy inverso para aplicaciones web internas, tenga en cuenta estos requisitos:

  • Debe tener un FQDN para el Access Portal y debe iniciar sesión en el Access Portal con el FQDN (no la dirección IP)
  • Cada aplicación web interna debe tener un FQDN que esté en el mismo dominio que el Access Portal (por ejemplo, si el FQDN del Access Portal es portal.ejemplo.com, la aplicación web debe ser <valor>.ejemplo.com)
  • No puede configurar la misma URL para una aplicación web y una acción de proxy inverso.
  • Cuando agrega una acción de ruta URL, para Autenticación del Cliente, debe elegir Access Portal (no HTTP Basic)
  • Si una aplicación web usa HTTPS, los Certificados CA en la cadena de confianza deben almacenarse en el Firebox, o bien debe seleccionar la opción Certificado de Confianza para la acción de proxy inverso

Para evitar advertencias de certificados en el lado del cliente, el certificado web del Firebox debe incluir los nombres de host de sus aplicaciones web como nombres alternativos de sujeto, o bien usar como nombre común un nombre de host comodín, como *.ejemplo.com.

Autenticación y Acceso a Aplicaciones Web

Para acceder a las aplicaciones web internas, los usuarios pueden autenticarse de estas maneras:

  • Exchange ActiveSync a través del Firebox para aplicaciones de correo electrónico móvil
  • HTTP por TLS a través del Firebox para aplicaciones de correo electrónico selectas
  • MFA a través del Firebox para acceder a aplicaciones web internas

Recomendamos que las aplicaciones web empresariales personalizadas usen el Access Portal por razones de seguridad para proporcionar una capa de autenticación y autorización basada en las opciones mencionadas anteriormente.

Reenviar las Credenciales de Access Portal

Con las acciones de proxy inverso, hay una opción para reenviar las credenciales de Access Portal. Habilite esta opción para iniciar sesión automáticamente para los usuarios en las aplicaciones web con sus credenciales de Access Portal.

Cuando esta función está habilitada, Access Portal almacena en caché las credenciales de usuario. Las credenciales almacenadas en caché se envían a la aplicación web con el encabezado de autorización HTTP por TLS.

Para iniciar sesión en aplicaciones web con credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP. El Access Portal y la aplicación web también deben compartir el mismo dominio de autenticación.

No habilite la opción de reenviar las credenciales de Access Portal en estos casos:

  • Los usuarios inician sesión en Access Portal con SAML
  • Los usuarios inician sesión en Access Portal con un dominio de autenticación diferente al de la aplicación web (por ejemplo, con Firebox-DB)

Habilitar Proxy Inverso

Para habilitar la funcionalidad de proxy inverso desde la Web UI o Policy Manager:

  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Si aún no lo ha hecho, seleccione Habilitar Access Portal.
  3. Seleccione la pestaña Proxy Inverso.
  4. Seleccione Habilitar Proxy Inverso.

Después de habilitar la funcionalidad de proxy inverso, debe agregar una o más acciones de proxy inverso.

Agregar Acciones de Proxy Inverso

Puede agregar una acción de proxy inverso con un asistente, o bien puede omitir el asistente para configurar manualmente una acción.

Para configurar los servicios de Exchange, recomendamos el asistente porque incluye configuraciones predefinidas para servicios basados en Exchange.

Agregar Acciones de Proxy Inverso con el Asistente

Agregar Manualmente Acciones de Proxy Inverso

Acciones de Ruta URL

Las Acciones de Ruta URL determinan la traducción de URL necesaria que ocurre cuando un usuario navega a la URL de Access Portal y se autentica con éxito.

La Acción de Ruta predeterminada (de “/” a “/”) permite cualquier cosa desde el host externo al host interno. Puede agregar una Acción de Ruta URL si solo desea exponer rutas específicas.

Cuando agrega una acción de ruta URL:

  • Recomendamos que la ruta De y la ruta A coincidan
  • Las rutas distinguen entre mayúsculas y minúsculas
  • Si la ruta es un directorio virtual en el servidor web, recomendamos que la ruta finalice con una barra diagonal (/)
  • Las rutas seguidas de una cadena de consulta no deben terminar con una barra diagonal (/)
  • Para aplicaciones web internas, a fin de realizar la Autenticación de Cliente, debe seleccionar Access Portal

Las acciones de proxy inverso para Access Portal no admiten la redirección de URL.

Ver También

Configurar el Access Portal

Precedencia y Herencia de los Ajustes SSL/TLS

Personalizar el Diseño del Access Portal