Acerca del Proxy HTTPS

HTTPS (Protocolo de Transferencia de Hipertexto sobre Nivel de Seguridad de la Conexión o HTTP sobre SSL) es un protocolo de solicitud/respuesta entre clientes y servidores utilizado para comunicaciones y transacciones seguras. Puede utilizar el proxy HTTPS para asegurar un servidor web protegido por su Firebox, o para examinar el tráfico HTTPS solicitado por clientes en su red. De forma predeterminada, cuando el cliente HTTPS inicia una solicitud, establece una conexión del TCP (Protocolo de Control de Transmisión) en el puerto 443. La mayoría de los servidores HTTPS detectan solicitudes en el puerto 443.

HTTPS es más seguro que HTTP porque HTTPS usa un certificado digital para asegurar una conexión, validar la identidad del servidor web e intercambiar la clave compartida. Luego, el Firebox puede cifrar y descifrar el tráfico HTTPS. Cifra y descifra las solicitudes de página del usuario, así como las páginas que devuelve el servidor web. El Firebox debe descifrar una página antes de que pueda examinarse. Después de examinar el contenido, el Firebox cifra el tráfico con un certificado y lo envía al destino previsto.

Puede exportar el certificado predeterminado creado por su dispositivo Firebox para esta función o importar un certificado para que el dispositivo lo use. Si se usa el Proxy HTTPS para examinar el tráfico web solicitado por los usuarios de la red, se recomienda exportar el certificado predeterminado y distribuirlo a cada usuario para que no reciban advertencias del explorador acerca de certificados que no son de confianza. Si usa el Proxy HTTPS para asegurar un servidor web que acepte solicitudes de una red externa, se recomienda importar el certificado del servidor web existente por la misma razón.

Cuando un cliente o servidor HTTPS utiliza un puerto diferente al puerto 443 en su organización, le recomendamos que cree una política personalizada para el puerto que necesita. Utilice el proxy-HTTPS como plantilla para crear esta política. Para más información, consulte Agregar una Política de Proxy a la Configuración.

Qué Acción de Proxy Usar

Cuando configura una política de proxy, debe seleccionar una acción de proxy apropiada para la política. Para una política de proxy que permite conexiones desde sus clientes internos hacia Internet, use la acción de proxy Cliente. Para una política de proxy que permite conexiones a sus servidores internos desde Internet, use la acción de proxy Servidor.

Las acciones de proxy predefinidas como Estándar adjuntas al nombre de la acción de proxy incluyen los ajustes estándar recomendados que reflejan las últimas tendencias de tráfico de red de Internet.

Es importante seleccionar la acción de proxy correcta para las conexiones HTTPS entrantes o salientes a fin de que el proxy utilice el certificado adecuado. Las acciones de proxy HTTPS-Client utilizan el certificado CA de la Autoridad de Proxy saliente. Las acciones de proxy HTTPS-Server utilizan el certificado del servidor web del Servidor Proxy.

En Fireware v11.12 y superior, el Web Setup Wizard y el WSM Quick Setup Wizard agregan automáticamente una política de proxy HTTPS que usa la acción de proxy Default-HTTPS-Client. La acción de proxy Default-HTTPS-Client se basa en la acción de proxy HTTPS-Client.Standard y habilita los servicios de suscripción bajo licencia en la llave de licencia cuando se ejecutó el asistente de instalación. Si agrega una nueva política de proxy HTTPS, la acción de proxy Default-HTTPS-Client podría ser una mejor opción que la acción de proxy HTTPS-Client.Standard. Para obtener más información sobre la acción de proxy Default-HTTPS-Client, consulte Políticas y Ajustes Predeterminados del Asistente Setup Wizard.

Configurar el HTTPS-Proxy

Estas secciones describen las pestañas de configuración de Proxy HTTPS en Fireware Web UI.

Pestaña de Ajustes

En la pestaña de Ajustes, puede seleccionar información básica acerca de una política de proxy, como por ejemplo si esta permite o niega tráfico, crear reglas de acceso para una política, habilitar cuotas de ancho de banda y tiempo, y configurar NAT estático y un balance de carga en el servidor. La pestaña de Ajustes también muestra el puerto y protocolo para la política, así como también una descripción opcional de la política. Los ajustes en esta pestaña pueden utilizarse para definir las preferencias de registro, notificaciones, bloqueo automático y tiempo de espera.

Las conexiones son — Especificar si las conexiones son Permitidas, Denegadas o Denegadas (enviar restablecer) y definir quién aparece en la lista Desde y Hacia (en la pestaña de Política de la definición de proxy). Consulte Definir Reglas de Acceso para una Política.
También puede configurarse NAT estática o el balance de carga en el servidor. Consulte Configurar NAT Estática (SNAT) y Configurar el Balance de Carga del Servidor.
Para definir las configuraciones de la generación de registros para la política, establezca las configuraciones en la sección Generación de registros.

Para obtener más información, consulte Establecer las Preferencias de Generación de Registros y Notificación.
Si fija la lista desplegable de Las conexiones están en Denegadas o Denegadas (enviar restablecer), puede bloquear sitios que intenten utilizar el HTTPS.
Para más información, consulte Bloquear Sitios Temporalmente con la Configuración de Políticas.
Para modificar el tiempo de espera inactivo establecido por Firebox o por el servidor de autenticación, consulte Configurar un Tiempo de Espera Inactivo Personalizado.
Para habilitar el ancho de banda y límites de tiempo, consulte Acerca de las Cuotas.

Pestaña SD-WAN

En la pestaña SD-WAN, puede seleccionar aplicar una acción de SD-WAN a la política. También puede agregar una nueva acción de SD-WAN. Para más información acerca del enrutamiento SD-WAN, consulte Acerca de SD-WAN.

SD-WAN reemplaza el enrutamiento basado en la política en Fireware v12.3 o superior.

Pestaña de Application Control

Si se habilita Application Control en su Firebox, puede establecer la acción que este proxy utiliza para Application Control.

Seleccione la pestaña Application Control.
En la lista desplegable Acción de Application Control, seleccione una acción de Application Control para utilizar en esta política o cree una nueva acción.
(Opcional) Edite la configuración de Application Control para la acción seleccionada.
Haga clic en Guardar.

Para más información, consulte Activar Application Control en una Política.

Pestaña de Geolocation

Si Geolocation está habilitada en su Firebox, en la pestaña Geolocation puede seleccionar la acción de Geolocation para este proxy. También puede agregar una nueva acción de Geolocation. Para más información acerca de Geolocation, consulte Configurar Geolocation.

Para aplicar una acción de Geolocation en una política:

Seleccione la pestaña Geolocation.
En la lista desplegable Acción de Control de Geolocation, seleccione una acción de Geolocation.

O para crear una nueva acción de Geolocation, haga clic en Agregar.
Haga clic en Guardar.

La pestaña Geolocation está disponible en Fireware 12.3 o superior.

Pestaña de Administración de Tráfico

En la pestaña de Administración de Tráfico, puede seleccionar la acción de Administración de Tráfico para la política. También puede crear una nueva acción de Administración de Tráfico. Para más información acerca de las acciones de Administración de Tráfico, consulte Definir una Acción de Administración de Tráfico en v11.8.x e Inferiores y Agregar una Acción de Administración de Tráfico a una Política.

Para aplicar una acción de Administración de Tráfico en una política:

Seleccione la pestaña Administración de Tráfico.
En la lista desplegable de Acción de Administración de Tráfico, seleccione una acción de Administración de Tráfico.

O para crear una nueva Acción de Administración de Tráfico, seleccione Crear nueva y ajuste la configuración tal como se describe en el tema Definir una Acción de Administración de Tráfico en v11.8.x e Inferiores.
Haga clic en Guardar.

Pestaña de Acción de Proxy

Usted puede elegir una acción de proxy predefinida o configurar una definida por el usuario para este proxy. Para más información acerca de cómo configurar acciones de proxy, consulte Acerca de las Acciones de Proxy.

Para configurar la acción de proxy:

Seleccione la pestaña Acción de Proxy.
En la lista desplegable Acción de Proxy, seleccione la acción de proxy que utilizará para esta política.

Para obtener información acerca de acciones de proxy, consulte Acerca de las Acciones de Proxy.
Haga clic en Guardar.

Para el Proxy HTTPS, puede definir estas categorías de configuración para una acción de Proxy:

Pestaña de Programación

En la pestaña de Programación, puede especificar un programa de operación para la política. Puede especificar un programa existente o crear un nuevo programa.

Seleccione la pestaña Programación.
En la lista desplegable Acción de Programa, seleccione un programa.
O para crear un nuevo programa, seleccione Crear Nuevo y ajuste la configuración tal como se describe en los temas Crear Cronogramas para las Acciones de Firebox y Establecer un Cronograma Operativo.
Haga clic en Guardar.

Pestaña Avanzada

La pestaña Avanzada incluye la configuración para opciones NAT, QoS, multi-WAN e ICMP.

Para editar o agregar un comentario a la configuración de esta política de proxy, ingrese el comentario en el cuadro de texto Comentario.

Para más información sobre las opciones para esta pestaña, consulte:

Estas secciones describen las pestañas de configuración de Proxy HTTPS en Policy Manager.

Pestaña Política

Para establecer las reglas de acceso y otras opciones, seleccione la pestaña Política.

Las conexiones de Proxy HTTPS son — Especificar si las conexiones son Permitidas, Denegadas o Denegadas (enviar restablecer) y definir quién aparece en la lista Desde y Hacia (en la pestaña de Política de la definición de proxy). Consulte Definir Reglas de Acceso para una Política.
Enrutar el tráfico saliente usando > SD-WAN — Vea Acerca de SD-WAN. ¡Consejo!
Habilitar Application Control — Habilite Application Control y seleccione la acción de Application Control que se usará para esta política. Para más información, consulte Activar Application Control en una Política.
Habilitar Geolocation — Habilite la Geolocation y seleccione la acción de Geolocation que se usará para esta política. Para más información, consulte Configurar Geolocation.
Habilitar IPS — Habilite IPS para esta política. Para más información, consulte Habilitar o Deshabilitar el IPS para una Política.
También puede configurarse NAT estática o el balance de carga en el servidor. Consulte Configurar NAT Estática (SNAT) y Configurar el Balance de Carga del Servidor.
Acción de proxy — Seleccione la acción de proxy que utilizará para esta política. También puede editar los conjuntos de normas para las acciones proxy.
Para habilitar el ancho de banda y límites de tiempo, consulte Acerca de las Cuotas.

Pestaña Propiedades

En la pestaña Propiedades, puede configurar las siguientes opciones:

Para editar o agregar un comentario a la configuración de esta política, ingrese el comentario en el cuadro de texto Comentario.
Para definir la configuración de la generación de registros para la política, haga clic en Generación de registros.

Para obtener más información, consulte Establecer las Preferencias de Generación de Registros y Notificación.
Si establece la lista desplegable Las conexiones de proxy HTTPS están (en la pestaña Política) en Denegadas o Denegadas (enviar restablecer), puede bloquear los sitios que intenten usar HTTPS.
Para más información, consulte Bloquear Sitios Temporalmente con la Configuración de Políticas.
Para modificar el tiempo de espera inactivo establecido por Firebox o por el servidor de autenticación, consulte Configurar un Tiempo de Espera Inactivo Personalizado.

Pestaña Avanzada

También puede usar estas opciones en la definición de proxy:

Establecer un Cronograma Operativo
Agregar una Acción de Administración de Tráfico a una Política
Definir la Administración de Errores de ICMP
Aplicar Reglas NAT (Tanto 1-to-1 NAT como NAT dinámico están habilitados por defecto en todas las políticas.)
Configure los Límites de la Tasa de Conexión
Habilitar el Marcado QoS y la Priorización para una Política
Definir la Duración de Sticky Connection para una Política

Configurar la Acción de Proxy

Para el Proxy HTTPS, puede definir estas categorías de configuración para una acción de Proxy:

Si habilita WebBlocker en una acción de proxy HTTPS, pero no habilita la inspección de contenido, los usuarios no ven un deny message cuando WebBlocker rechaza el contenido. Sin inspección de contenido, la protección es menos completa. WebBlocker solo puede ver el nombre común o la información del dominio del nombre del servidor, no la URL. Para más información, consulte Proxy HTTPS: WebBlocker.

Ver También

Acerca de las Políticas de Proxy y ALG

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.