Catálogo del sistemaPuertas de enlace › INSSL: puerta de enlace HTTP compatible con SSL.

Tema anterior: Filer_Solaris: dispositivo de archivador de Solaris

Tema siguiente: INSSLR: puerta de enlace de entrada HTTP redundante compatible con SSL.

INSSL: puerta de enlace HTTP compatible con SSL.

Última versión: 1.5.3-1

Dispositivo INSSL

Vista rápida

Catálogo

Sistema

Categoría

Desaprobado

Volúmenes de usuario

yes

Memoria mín.

160 M

SO

Linux

Restricciones

no

Nota: A partir de CA 3Tera AppLogic 2.8, INSSL es un encapsulador de ensamblaje desaprobado para la puerta de enlace INSSLR. Proporciona el mismo límite que INSSL en la versión de CA 3Tera AppLogic anterior a la 2.8, que permite actualizar aplicaciones de forma continua mediante la clase INSSL.

El dispositivo INSSL es una puerta de enlace de 7 niveles para solicitudes de HTTP seguras. Convierte las solicitudes en solicitudes HTTP no codificadas. Esto se puede utilizar siempre que sea necesario admitir HTTP seguro en el lado del cliente pero la infraestructura de procesamiento de back-end no admita o no pueda admitir SSL, incluido lo siguiente:

INSSL proporciona un punto de entrada de cortafuegos del tráfico de red hacia una aplicación de CA 3Tera AppLogic que se puede configurar con una dirección IP estática accesible desde Internet.

Para ser compatible con aplicaciones que tienen que aparecer en una sola dirección IP para más de un servicio, se puede configurar SSL para dirigir tráfico no HTTP de forma transparente a un terminal de salida aparte. Para este tipo de conexiones, el dispositivo actúa como un enrutador de cortafuegos/NAT de capa 3.

Límite

Recursos

Recurso

Mínimo

Máximo

Predeterminado

CPU

0,05

4

0,05

Memoria

160 M

2 G

160 M

Ancho de banda

1 Mbps

2 Gbps

200 Mbps

Terminales

Nombre

Dir.

Prot.

Descripción

http

Saliente

HTTP

Las solicitudes HTTPS o HTTP recibidas en la dirección IP externa configurada se dirigen al http de salida como solicitudes HTTP sin formato a través del puerto HTTP 80 estándar. Además de los encabezados HTTP proporcionados por el cliente, las solicitudes reenviadas también contienen los siguientes encabezados informativos:

X-Forwarded-For: dirección IP del cliente remoto. Los scripts CGI de lado de servidor deberían utilizar esto en lugar de la dirección IP remota. Tenga en cuenta que para impedir que se produzcan suplantaciones, se descartarán los encabezados X-Forwarded-For recibidos desde el cliente.

X-Forwarded-Proto: Https  Marca que el cliente está conectado por HTTPS. De la aplicación de back-end depende que se use este encabezado para distinguir entre conexiones HTTP y HTTPS.

aux

Saliente

Cualquiera

Salida para otros protocolos, si se han configurado. Consulte las propiedades de l3_accept_*.

mon

Saliente

CCE

Envía estadísticas sobre uso de recursos y rendimiento.

Propiedades

Nombre

Tipo

Descripción

ip_addr

Dirección IP

Dirección IP externa de la puerta de enlace. Esta propiedad no tiene ningún valor predeterminado y se debe establecer.

netmask

Dirección IP

Máscara de red. Esta propiedad no tiene ningún valor predeterminado y se debe establecer.
Valor predeterminado: vacío

gateway

Dirección IP

Puerta de enlace predeterminada para tráfico saliente. Valor predeterminado: vacío

l7_accept

Enum.

Esto especifica qué tipo de tráfico HTTP se debe aceptar para reenviarlo al terminal http. Valores válidos: "https", "http", "both" y "none". Si se establece como "none", el tráfico redirigirá todo sólo según las propiedades de l3_accept_*.
Valor predeterminado: bpth.

l3_accept_proto

Enum.

Especifica qué protocolos se reenviarán al terminal aux. Valores válidos: "none", "tcp", "udp", "raw" y "all".
Si se establece como "tcp" o "udp", la propiedad l3_accept_port se puede utilizar para especificar el puerto. Si se establece en "raw", la propiedad l3_accept_port especifica el número de protocolo. Si se configura como "all", el tráfico entrante de la interfaz externa se envía al terminal aux. Tenga en cuenta que la propiedad l7_accept tiene prioridad sobre esta propiedad. Si se establece l7_accept en un valor diferente a "none", todas las http se reenviarán al terminal http y el resto del tráfico irá a aux, según lo especificado en esta propiedad.
Valor predeterminado: none.

l3_accept_port

Cadena

Una lista de protocolos separada por comas o espacios para aceptar y enrutar en el protocolo especificado por l3_accept_proto al terminal aux; Los protocolos en la lista se pueden especificar como números de puerto o como nombres de protocolo estándar (por ejemplo, ftp, smtp, etc., cuando se especifican puertos tcp/udp; o gre, tcp, etc., cuando se utilizan protocolos sin formato). Se pueden especificar también intervalos de puertos (1024:10000, 0:1024). Si se deja vacío, se reenviarán todos los puertos en el protocolo especificado.
Nota: Si se establece l3_accept_proto en "raw", deberá especificar esta propiedad, la cual en este caso especificará el número de protocolo. Se puede especificar más de un protocolo sin formato pero no se puede especificar un intervalo de protocolos (p.ej. 20:30).
Valor predeterminado: all

allowed_hosts

Cadena

Lista de los hosts o subredes con los que se puede establecer una conexión. Las distintas entradas se deben separar con espacios o comas. Ejemplo de formato admitido: 192.168.1.2 192.168.1.0/24 192.168.2.0/255.255.255.0. Valor predeterminado: 0.0.0.0/0 (se permite todo)

cert_file

Cadena

Nombre de archivo (relativo a la raíz del volumen de datos) del certificado del servidor que esta instancia de puerta de enlace debería presentar al cliente. Tenga en cuenta que debe haber un certificado válido en el volumen de datos configurado (consulte Volúmenes a continuación) en la ubicación especificada por esta propiedad si se ha establecido l7_accept como "https" o "both"; de lo contrario, SSL dará error al iniciarse.
Valor predeterminado: server.pem

webdav

Enum.

Esta propiedad no tiene ningún efecto sobre el comportamiento del dispositivo, pues se guarda para hacer compatibles las versiones anteriores.
Valor predeterminado: off

timeout

Entero

Especifica cuántos segundos esperará Pound a recibir la salida del servidor de back-end. Si el servidor de back-end no envía salidas durante los segundos especificados para el tiempo de espera, la conexión se cerrará.
Valor predeterminado: 300

unsafe_ssl

Cadena

Permite el uso de cifrados ssl "no seguros" para ofrecer compatibilidad con exploradores heredados. El valor predeterminado "disabled" deshabilita los encriptados SSLv2, así como algunos otros encriptados SSLv3 y TLSv1 que no se consideran seguros. Se recomienda dejar esta propiedad configurada como "disabled", a menos que sea necesario admitir sesiones https para exploradores heredados que solamente funcionen con SSLv2. Si se establece en activado, todos los cifrados SSL disponibles en el sistema se utilizarán para las sesiones HTTPS.
Valor predeterminado: disabled.
Esta propiedad se agregó en la versión 1.4.2.

Volúmenes

Nombre

Descripción

key

Un volumen de datos de sólo lectura (marcador de posición) que contiene, como un mínimo, la clave de firma del servidor SSL. El archivo deberá estar en el formato PEM y ubicado en el directorio raíz del volumen de claves (key), llamado server.pem.