了解多云防御网关代理HTTPS流量

简介

本文档介绍在配置转发或反向代理操作时，思科多云防御网关如何处理HTTPS流量。

先决条件

要求

思科建议您了解以下主题：

• 云计算基础知识
• 计算机网络基础知识

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

显式转发代理

显式转发代理意味着您的计算机网络设置已配置为显式使用代理。来自客户端的流量发往代理服务器，代理服务器在将流量转发到实际目的地之前会对其进行检查。

显式转发代理（解密例外）

下图显示了在将多云网关置于客户端与Web服务器之间的路径中，并将多云网关配置为转发代理（解密例外）时的网络流程。

注意：解密例外是指您倾向于使用多云网关不解密和检查流量（通常适用于金融、医疗和政府网站）的情形。在这些情况下，您可以激活特定FQDN的解密例外。

图像-显式转发代理（解密例外）流

[1]在客户端和多云网关之间发起TCP三次握手。

[2]一旦握手完成，客户端将发送HTTP CONNECT。 

[3]从CONNECT报头中，多云网关识别FQDN并应用FQDN过滤策略。 

[4]如果允许流量，则网关会向服务器发起新的TCP握手请求并转发HTTP CONNECT。

[5] HTTP STATUS响应消息以透明方式转发到客户端。

[6]从此时起，所有报文直接发送，不进行任何拦截 

显式转发代理（带解密）

这是流量，而显式转发代理配置为解密流量。

图像-显式转发代理（带解密）

[1]在客户端和多云网关之间发起TCP三次握手。

[2]一旦握手完成，客户端将发送HTTP CONNECT。 

[3]从CONNECT报头中，多云网关识别FQDN并应用FQDN过滤策略。

[4] Multicloud Gateway启动与服务器的TCP握手。

[5]在多云网关与服务器之间成功完成TLS握手后，多云网关为客户端和多云网关之间的已解密流量颁发证书。

[6]从此时开始转发，客户端和服务器之间的所有流量都会被解密并再次加密。

透明转发代理

透明转发代理（解密例外）

图像-透明转发代理（解密例外）

[1]多云网关响应TCP握手。

[2]客户端向服务器发送客户端HELLO。此客户端HELLO包含服务器名称标识符(SNI)。网关拦截此数据包并执行FQDN过滤策略。

[3]如果允许流量且为URL配置了解密例外，则Multicloud网关将对SNI执行另一个DNS解析。

[4] Multicloud Gateway向服务器发起TCP握手。

[5] Multicloud Gateway将同一客户端HELLO转发到服务器（如同从客户端收到的一样）。

[6]从服务器收到的服务器HELLO将原样转发，而不做任何修改。

[7]从此时开始，所有数据包按原样发送而不执行任何操作

透明转发代理（带解密）

映像-透明转发代理（带解密）[1]多云网关响应TCP握手。

[2]客户端向服务器发送客户端HELLO。此客户端HELLO包含服务器名称标识符(SNI)。网关拦截此数据包并执行FQDN过滤策略。

[3]如果允许流量且为URL配置了解密，则Multicloud网关会对SNI执行另一个DNS解析。

[4] Multicloud Gateway开始向服务器发起TCP握手。

[5]在多云网关与服务器之间成功完成TLS握手后，多云网关为客户端和多云网关之间的已解密流量颁发证书。

[6]从此时开始转发，客户端和服务器之间的所有流量都会被解密并再次加密。

相关信息

• 思科多云防御用户指南- FQDN过滤器配置文件[思科防御协调器] -思科
• 思科多云防御用户指南-管理网关[思科防御协调器] -思科