Proxy Inverso para el Access Portal

En Fireware v12.5 o superior, puede configurar acciones de proxy inverso en la configuración de Access Portal. Con los servidores proxy inversos, los usuarios remotos pueden conectarse de forma segura a aplicaciones web internas y servicios de Microsoft Exchange sin un cliente VPN. El proxy inverso reenvía el tráfico HTTP desde redes externas a servidores de Exchange u otras aplicaciones web en redes internas que están detrás de un Firebox.

Por ejemplo, puede configurar acciones de proxy inverso para que los usuarios remotos puedan conectarse a aplicaciones web empresariales comunes. Las aplicaciones deben usar HTML, HTML5 o JavaScript. Los exploradores deben ser compatibles con TLS (recomendamos TLS 1.2 o superior).

Recomendamos que limite la cantidad de conexiones RDP simultáneas según la memoria RAM asignada a cada Firebox. Cada sesión RDP o SSH consume aproximadamente 15 MB de RAM.

También puede configurar una acción de proxy inverso para Microsoft Exchange. Para conectarse a los servicios de Exchange, los usuarios remotos pueden conectarse a una URL externa con cualquiera de estos métodos:

  • Dispositivos móviles con clientes de correo Microsoft (a través de ActiveSync)
  • Microsoft Outlook
  • Microsoft Outlook Web Access
  • Microsoft Outlook Web Access a través del Access Portal (con inicio de sesión automático)

Requisitos

Cuando configure acciones de proxy inverso para aplicaciones web internas, tenga en cuenta estos requisitos:

  • Debe tener un FQDN para el Access Portal y debe iniciar sesión en el Access Portal con el FQDN (no la dirección IP)
  • Cada aplicación web interna debe tener un FQDN que esté en el mismo dominio que el Access Portal (por ejemplo, si el FQDN del Access Portal es portal.ejemplo.com, la aplicación web debe ser <valor>.ejemplo.com)
  • No puede configurar la misma URL para una aplicación web y una acción de proxy inverso.
  • Cuando agrega una acción de ruta URL, para Autenticación del Cliente, debe elegir Access Portal (no HTTP Basic)
  • Si una aplicación web usa HTTPS, los Certificados CA en la cadena de confianza deben almacenarse en el Firebox, o bien debe seleccionar la opción Certificado de Confianza para la acción de proxy inverso

Para evitar advertencias de certificados en el lado del cliente, el certificado web del Firebox debe incluir los nombres de host de sus aplicaciones web como nombres alternativos de sujeto, o bien usar como nombre común un nombre de host comodín, como *.ejemplo.com.

Autenticación y Acceso a Aplicaciones Web

Para acceder a las aplicaciones web internas, los usuarios pueden autenticarse de estas maneras:

  • Exchange ActiveSync a través del Firebox para aplicaciones de correo electrónico móvil
  • HTTP por TLS a través del Firebox para aplicaciones de correo electrónico selectas
  • MFA a través del Firebox para acceder a aplicaciones web internas

Recomendamos que las aplicaciones web empresariales personalizadas usen el Access Portal por razones de seguridad para proporcionar una capa de autenticación y autorización basada en las opciones mencionadas anteriormente.

Reenviar las Credenciales de Access Portal

Con las acciones de proxy inverso, hay una opción para reenviar las credenciales de Access Portal. Habilite esta opción para iniciar sesión automáticamente para los usuarios en las aplicaciones web con sus credenciales de Access Portal.

Cuando esta función está habilitada, Access Portal almacena en caché las credenciales de usuario. Las credenciales almacenadas en caché se envían a la aplicación web con el encabezado de autorización HTTP por TLS.

Para iniciar sesión en aplicaciones web con credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP. El Access Portal y la aplicación web también deben compartir el mismo dominio de autenticación.

No habilite la opción de reenviar las credenciales de Access Portal en estos casos:

  • Los usuarios inician sesión en Access Portal con SAML
  • Los usuarios inician sesión en Access Portal con un dominio de autenticación diferente al de la aplicación web (por ejemplo, con Firebox-DB)

Habilitar Proxy Inverso

Para habilitar la funcionalidad de proxy inverso desde la Web UI o Policy Manager:

  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Si aún no lo ha hecho, seleccione Habilitar Access Portal.
  3. Seleccione la pestaña Proxy Inverso.
  4. Seleccione Habilitar Proxy Inverso.

Después de habilitar la funcionalidad de proxy inverso, debe agregar una o más acciones de proxy inverso.

Agregar Acciones de Proxy Inverso

Puede agregar una acción de proxy inverso con un asistente, o bien puede omitir el asistente para configurar manualmente una acción.

Para configurar los servicios de Exchange, recomendamos el asistente porque incluye configuraciones predefinidas para servicios basados en Exchange.

Agregar Acciones de Proxy Inverso con el Asistente

  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Seleccione la pestaña Proxy Inverso.
  3. Haga clic en Agregar.

  1. Haga clic en Siguiente para continuar con el asistente.

  1. En la página Acción de Proxy Inverso, seleccione Conjunto predefinido de Acciones de Proxy Inverso para.
  2. En la lista desplegable, seleccione Microsoft Exchange.

  1. Haga clic en Siguiente.
  2. En el cuadro de texto URL Interna, ingrese la URL del host interno para las aplicaciones web de Microsoft Exchange Server.
  3. En el cuadro de texto Dominio de Correo Electrónico, ingrese su dominio de correo electrónico de Microsoft Exchange.
  4. Seleccione si el servicio web usa un certificado autofirmado.

  1. Haga clic en Siguiente.
  2. En el cuadro de texto URL Externa, ingrese la URL que los usuarios remotos usarán para acceder a este servicio.
  3. Si el valor prellenado en el cuadro de texto Autodescubrir URL no es correcto, ingrese la URL que los clientes remotos usarán para descubrir este servicio.

  1. Haga clic en Siguiente.
  2. Seleccione si desea agregar Outlook Web Access como una aplicación web en el Access Portal.
  3. Seleccione si desea reenviar las credenciales desde el Access Portal a Outlook Web Access. Habilite esta opción para iniciar sesión automáticamente para los usuarios en las aplicaciones web selectas con sus credenciales de Access Portal.

    Para iniciar sesión en aplicaciones web selectas con las credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP, y el Access Portal y la aplicación web deben compartir el mismo dominio de autenticación.

  1. Haga clic en Siguiente.
  2. Haga clic en Finalizar. Puede seleccionar editar la acción después de que se cierre el asistente. Puede hacer esto si desea especificar una Acción de Ruta URL. Para obtener más información, consulte Acciones de Ruta URL.

    Las Acciones de Ruta URL determinan la traducción de URL necesaria que ocurre cuando un usuario navega a la URL de Access Portal y se autentica con éxito.

  1. En el servidor Exchange, debe habilitar la autenticación básica para las rutas virtuales que se utilizan, Autodescubrir, EWS y mapi.
  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Seleccione la pestaña Proxy Inverso.
  3. Haga clic en Agregar.

  1. Haga clic en Siguiente para continuar con el asistente.

  1. En la página Acción de Proxy Inverso, seleccione Conjunto predefinido de Acciones de Proxy Inverso para.
  2. En la lista desplegable, seleccione Microsoft Exchange.

  1. Haga clic en Siguiente.
  2. En el cuadro de texto URL Interna, ingrese la URL del host interno para las aplicaciones web de Microsoft Exchange Server.
  3. En el cuadro de texto Dominio de Correo Electrónico, ingrese su dominio de correo electrónico de Microsoft Exchange.
  4. Seleccione si el servicio web usa un certificado autofirmado.

  1. Haga clic en Siguiente.
  2. En el cuadro de texto URL Externa, ingrese la URL que los usuarios remotos usarán para acceder a este servicio.
  3. Si el valor en el cuadro de texto Autodescubrir URL no es correcto, ingrese la URL que los clientes remotos usarán para descubrir este servicio.

  1. Haga clic en Siguiente.
  2. Seleccione si desea agregar Outlook Web Access como una aplicación web en el Access Portal.
  3. Seleccione si desea reenviar las credenciales desde el Access Portal a Outlook Web Access. Habilite esta opción para iniciar sesión automáticamente para los usuarios en las aplicaciones web selectas con sus credenciales de Access Portal.

    Para iniciar sesión en aplicaciones web selectas con las credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP, y el Access Portal y la aplicación web deben compartir el mismo dominio de autenticación.

  1. Haga clic en Siguiente.
  2. Haga clic en Finalizar. Puede seleccionar editar la acción después de que se cierre el asistente. Puede hacer esto si desea especificar una Acción de Ruta URL. Para obtener más información, consulte Acciones de Ruta URL.

    Las Acciones de Ruta URL determinan la traducción de URL necesaria que ocurre cuando un usuario navega a la URL de Access Portal y se autentica con éxito.

  1. En el servidor Exchange, debe habilitar la autenticación básica para las rutas virtuales que se utilizan, Autodescubrir, EWS y mapi.
  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Seleccione la pestaña Proxy Inverso.
  3. Haga clic en Agregar.

  1. Haga clic en Siguiente para continuar con el asistente.

  1. Seleccione Agregar Acción de Proxy Inverso Simple.

  1. Haga clic en Siguiente.
  2. En el cuadro de texto URL Externa, especifique la URL externa para las conexiones de usuario.

  1. Haga clic en Siguiente.
  2. En el cuadro de texto URL Interna, especifique la URL interna del servidor.
  3. Seleccione si el servicio web usa un certificado autofirmado.

  1. Haga clic en Siguiente.
  2. Seleccione si desea autenticar a los usuarios con Access Portal o HTTP Basic.
  3. Seleccione si desea agregar esta URL como una aplicación web en el Access Portal.

  1. Haga clic en Siguiente.
  2. Si elige no agregar esta URL como una aplicación web en el Access Portal, ingrese un nombre y una descripción para la acción de asignación de URL.

  1. Si elige agregar esta URL como una aplicación web en el Access Portal, debe especificar lo siguiente:
    • Nombre de la aplicación
    • Descripción de la aplicación
    • Ícono personalizado (opcional)
    • Si se deben reenviar las credenciales desde el Access Portal a la URL

    Para iniciar sesión en aplicaciones web selectas con las credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP, y el Access Portal así como la aplicación web deben compartir el mismo dominio de autenticación.

  1. Haga clic en Siguiente.
  2. Haga clic en Finalizar. Puede seleccionar editar la acción después de que se cierre el asistente. Puede hacer esto si desea especificar una Acción de Ruta URL. Para obtener más información, consulte Acciones de Ruta URL.

    Las Acciones de Ruta URL determinan la traducción de URL necesaria que ocurre cuando un usuario navega a la URL de Access Portal y se autentica con éxito. La Acción de Ruta predeterminada (de “/” a “/”) permite cualquier cosa desde el host externo al host interno.

  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Seleccione la pestaña Proxy Inverso.
  3. Haga clic en Agregar.

  1. Haga clic en Siguiente para continuar con el asistente.

  1. Seleccione Agregar Acción de Proxy Inverso Simple.

  1. Haga clic en Siguiente.
  2. En el cuadro de texto URL Externa, especifique la URL externa para las conexiones de usuario.

  1. Haga clic en Siguiente.
  2. En el cuadro de texto URL Interna, especifique la URL interna del servidor.
  3. Seleccione si el servicio web usa un certificado autofirmado.

  1. Haga clic en Siguiente.
  2. Seleccione la opción apropiada para autenticar usuarios.
  3. Seleccione si desea agregar esta URL como una aplicación web en el Access Portal.

  1. Haga clic en Siguiente.
  2. Si elige no agregar esta URL como una aplicación web en el Access Portal, ingrese un nombre y una descripción para la acción de asignación de URL. Para más información, consulte Acciones de Ruta URL.

  1. Si elige agregar esta URL como una aplicación web en el Access Portal, también debe especificar lo siguiente:
    • Nombre de la aplicación
    • Descripción de la aplicación
    • Ícono personalizado (opcional)
    • Si se deben reenviar las credenciales desde el Access Portal a la URL

    Para iniciar sesión en aplicaciones web selectas con las credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP, y el Access Portal así como la aplicación web deben compartir el mismo dominio de autenticación.

  1. Haga clic en Siguiente.
  2. Haga clic en Finalizar. Puede seleccionar editar la acción después de que se cierre el asistente. Puede hacer esto si desea especificar una Acción de Ruta URL. Para obtener más información, consulte Acciones de Ruta URL.

    Las Acciones de Ruta URL determinan la traducción de URL necesaria que ocurre cuando un usuario navega a la URL de Access Portal y se autentica con éxito. La Acción de Ruta predeterminada (de “/” a “/”) permite cualquier cosa desde el host externo al host interno.

Agregar Manualmente Acciones de Proxy Inverso

  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Seleccione la pestaña Proxy Inverso.
  3. Haga clic en Agregar.

  1. Haga clic en Omitir para omitir el asistente y agregar manualmente una acción de proxy inverso.

  1. Ingrese un Nombre y una Descripción para su acción de proxy inverso.
  2. En el cuadro de texto URL Externa, ingrese la URL que los usuarios remotos usarán para acceder a este servicio web.
  3. En el cuadro de texto URL Interna, ingrese la URL interna del servicio web.
  4. Si el servicio utiliza un certificado autofirmado y usted confía en la conexión y el servidor, marque la casilla de selección Certificado de Confianza.

  1. (Opcional) Para agregar una Acción de Ruta URL, en la sección Acción de Ruta URL, haga clic en Agregar. Puede usar esta opción si solo desea exponer rutas específicas. Para más información, consulte Acciones de Ruta URL.

    Las Acciones de Ruta URL determinan la traducción de URL necesaria que ocurre cuando un usuario navega a la URL de Access Portal y se autentica con éxito. La Acción de Ruta predeterminada (de “/” a “/”) permite cualquier cosa desde el host externo al host interno.

  1. En los cuadros de texto De y A, ingrese su ruta URL. Las rutas distinguen entre mayúsculas y minúsculas. Recomendamos que la ruta De y la ruta A coincidan.

    Si la ruta es un directorio virtual en el servidor web, recomendamos que esta finalice con una barra diagonal (/). Las rutas seguidas de una cadena de consulta no deben terminar con una barra diagonal (/).

  2. Seleccione si desea reenviar las credenciales desde el Access Portal a la aplicación web. Habilite esta opción para iniciar sesión automáticamente para los usuarios en las aplicaciones web selectas con sus credenciales de Access Portal.

    Para iniciar sesión en aplicaciones web selectas con las credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP, y el Access Portal y la aplicación web deben compartir el mismo dominio de autenticación.

  1. Haga clic en Aceptar para agregar la acción de ruta URL.
  2. Haga clic en Aceptar para agregar su acción de proxy inverso.

  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Seleccione la pestaña Proxy Inverso.
  3. Haga clic en Agregar.

  1. Haga clic en Omitir para omitir el asistente y agregar manualmente una acción de proxy inverso.

  1. Ingrese un Nombre y una Descripción para su acción de proxy inverso.
  2. En el cuadro de texto URL Externa, ingrese la URL que los usuarios remotos usarán para acceder a este servicio web.
  3. En el cuadro de texto URL Interna, ingrese la URL interna del servicio web.
  4. Si el servicio utiliza un certificado autofirmado y usted confía en la conexión y el servidor, marque la casilla de selección Certificado de Confianza.

  1. (Opcional) Para agregar una Acción de Ruta URL, haga clic en Agregar. Puede usar esta opción si solo desea exponer rutas específicas. Para más información, consulte Acciones de Ruta URL.

    Las Acciones de Ruta URL determinan la traducción de URL necesaria que ocurre cuando un usuario navega a la URL de Access Portal y se autentica con éxito. La Acción de Ruta predeterminada (de “/” a “/”) permite cualquier cosa desde el host externo al host interno.

  2. En los cuadros de texto De y A, ingrese su ruta URL. Las rutas distinguen entre mayúsculas y minúsculas. Recomendamos que la ruta De y la ruta A coincidan.

    Si la ruta es un directorio (virtual) en el servidor web, recomendamos que esta finalice con una barra diagonal (/). Las rutas seguidas de una cadena de consulta no deben terminar con una barra diagonal (/).

  3. Seleccione si desea reenviar las credenciales desde el Access Portal a Exchange. Habilite esta opción para iniciar sesión automáticamente para los usuarios en las aplicaciones web selectas con sus credenciales de Access Portal.

    Para iniciar sesión en aplicaciones web selectas con las credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP, y el Access Portal y la aplicación web deben compartir el mismo dominio de autenticación.

  1. Haga clic en Aceptar para agregar la acción de ruta URL.
  2. Haga clic en Aceptar para agregar su acción de proxy inverso.

Acciones de Ruta URL

Las Acciones de Ruta URL determinan la traducción de URL necesaria que ocurre cuando un usuario navega a la URL de Access Portal y se autentica con éxito.

La Acción de Ruta predeterminada (de “/” a “/”) permite cualquier cosa desde el host externo al host interno. Puede agregar una Acción de Ruta URL si solo desea exponer rutas específicas.

Cuando agrega una acción de ruta URL:

  • Recomendamos que la ruta De y la ruta A coincidan
  • Las rutas distinguen entre mayúsculas y minúsculas
  • Si la ruta es un directorio virtual en el servidor web, recomendamos que la ruta finalice con una barra diagonal (/)
  • Las rutas seguidas de una cadena de consulta no deben terminar con una barra diagonal (/)
  • Para aplicaciones web internas, a fin de realizar la Autenticación de Cliente, debe seleccionar Access Portal

Las acciones de proxy inverso para Access Portal no admiten la redirección de URL.

  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Seleccione la pestaña Proxy Inverso.
  3. Seleccione la acción de proxy inverso a la que desea agregar una Acción de Ruta URL y haga clic en Editar.
  4. En la sección Acción de Ruta URL, haga clic en Agregar.

  1. En los cuadros de texto De y A, ingrese su ruta URL. Las rutas distinguen entre mayúsculas y minúsculas. Recomendamos que la ruta De y la ruta A coincidan.

    Si la ruta es un directorio virtual en el servidor web, recomendamos que esta finalice con una barra diagonal (/). Las rutas seguidas de una cadena de consulta no deben terminar con una barra diagonal (/).

  2. Seleccione si desea reenviar las credenciales desde el Access Portal a la aplicación web. Habilite esta opción para iniciar sesión automáticamente para los usuarios en las aplicaciones web selectas con sus credenciales de Access Portal.

    Para iniciar sesión en aplicaciones web selectas con las credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP, y el Access Portal y la aplicación web deben compartir el mismo dominio de autenticación.

  1. Haga clic en Aceptar para agregar la acción de ruta URL.
  2. Haga clic en Aceptar para guardar los cambios en su acción de proxy inverso.

  1. Seleccione Servicios de Suscripción > Access Portal.
  2. Seleccione la pestaña Proxy Inverso.
  3. Seleccione la acción de proxy inverso a la que desea agregar una Acción de Ruta URL y haga clic en Editar.
  4. En la sección Acción de Ruta URL, haga clic en Agregar.
  5. En los cuadros de texto De y A, ingrese su ruta URL. Las rutas distinguen entre mayúsculas y minúsculas. Recomendamos que la ruta De y la ruta A coincidan.

    Si la ruta es un directorio (virtual) en el servidor web, recomendamos que esta finalice con una barra diagonal (/). Las rutas seguidas de una cadena de consulta no deben terminar con una barra diagonal (/).

  6. Seleccione si desea reenviar las credenciales desde el Access Portal a Exchange. Habilite esta opción para iniciar sesión automáticamente para los usuarios en las aplicaciones web selectas con sus credenciales de Access Portal.

    Para iniciar sesión en aplicaciones web selectas con las credenciales de Access Portal, la aplicación web debe aceptar la autenticación basada en HTTP, y el Access Portal y la aplicación web deben compartir el mismo dominio de autenticación.

  1. Haga clic en Aceptar para agregar la acción de ruta URL.
  2. Haga clic en Aceptar para guardar los cambios en su acción de proxy inverso.

Ver También

Configurar el Access Portal

Precedencia y Herencia de los Ajustes SSL/TLS

Personalizar el Diseño del Access Portal