Инструменты пользователя

Инструменты сайта


прокси

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
прокси [2019/11/06 14:06]
eghara
прокси [2019/11/10 19:35] (текущий)
Строка 1: Строка 1:
 ====== Прокси ====== ====== Прокси ======
  
-===== Стартовая страница модуля =====+=====Стартовая страница модуля=====
  
-**Прокси-сервер** — служба,​ позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо веб-ресурс,​ расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (если кто-то из клиентов уже обращался к этому ресурсу). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях.+**Прокси-сервер** — служба,​ позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо веб-ресурс,​ расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (если кто-то из клиентов уже обращался к этому ресурсу). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. ​
  
-Также, прокси-сервер позволяет анализировать проходящие через сервер HTTP-запросы клиентов,​ выполнять фильтрацию и учёт трафика по URL и mime-типам. Кроме этого, прокси-сервер реализует механизм доступа в интернет по логину/​паролю.+Также, прокси-сервер позволяет анализировать проходящие через сервер HTTP-запросы клиентов,​ выполнять фильтрацию и учёт трафика по URL и mime-типам. Кроме этого, прокси-сервер реализует механизм доступа в интернет по логину/​паролю. ​
  
 Прокси-сервер выполняет кеширование объектов,​ полученных пользователями из интернета и за счёт этого сокращает потребление трафика и увеличивает скорость загрузки страниц. Прокси-сервер выполняет кеширование объектов,​ полученных пользователями из интернета и за счёт этого сокращает потребление трафика и увеличивает скорость загрузки страниц.
Строка 13: Строка 13:
 При входе в модуль отображается состояние служб, кнопка «Выключить» (или «Включить» если модуль выключен) и последние сообщения в журнале. При входе в модуль отображается состояние служб, кнопка «Выключить» (или «Включить» если модуль выключен) и последние сообщения в журнале.
  
-===== Настройки =====+=====Настройки=====
  
 {{ics-proxy-settings.png|Настройки прокси-сервера}} {{ics-proxy-settings.png|Настройки прокси-сервера}}
Строка 23: Строка 23:
 Порт работы прокси-сервера по умолчанию 3128, в настройке модуля вы можете изменить его на любой свободный порт. Порт работы прокси-сервера по умолчанию 3128, в настройке модуля вы можете изменить его на любой свободный порт.
  
-==== Типы авторизации ​====+==== Типы авторизации ==
  
-{{proxy03.jpg}} +Прокси-сервер ИКС поддерживает два способа авторизации:​ по ip-адресу пользователя,​ и по логину-паролю. ​
- +
-{{proxy04.jpg}} +
- +
-Прокси-сервер ИКС поддерживает два способа авторизации:​ по ip-адресу пользователя,​ и по логину-паролю.+
  
 Авторизация по ip-адресу подходит для случаев,​ когда пользователь постоянно пользуется одним и тем же компьютером. Прокси определяет,​ какому пользователю принадлежит тот или иной трафик,​ исходя из ip-адреса его компьютера. Этот способ не подходит для терминальных серверов,​ так как в этом случае с одного ip-адреса работает несколько пользователей. Также этот способ не подходит для организаций,​ в которых пользователи постоянно перемещаются между рабочими местами. Кроме того, пользователь может сменить ip-адрес своего компьютера и, если не настроена привязка MAC-адреса к IP, ИКС примет его за кого-то другого. Авторизация по ip-адресу подходит для случаев,​ когда пользователь постоянно пользуется одним и тем же компьютером. Прокси определяет,​ какому пользователю принадлежит тот или иной трафик,​ исходя из ip-адреса его компьютера. Этот способ не подходит для терминальных серверов,​ так как в этом случае с одного ip-адреса работает несколько пользователей. Также этот способ не подходит для организаций,​ в которых пользователи постоянно перемещаются между рабочими местами. Кроме того, пользователь может сменить ip-адрес своего компьютера и, если не настроена привязка MAC-адреса к IP, ИКС примет его за кого-то другого.
Строка 35: Строка 31:
 Авторизация по логину/​паролю решает проблему привязки пользователей к собственному компьютеру. В этом случае при первом обращении к любому интернет-ресурсу,​ браузер выдаст пользователю запрос логина/​пароля для доступа в интернет. Если в вашей сети пользователи авторизуются в домене,​ вы можете установить тип авторизации "​Через домен"​. В таком случае,​ если ИКС подключен к контроллеру домена и в из домена были импортированы пользователи,​ авторизация будет выполнена прозрачно,​ без запроса логина/​пароля. Авторизация по логину/​паролю решает проблему привязки пользователей к собственному компьютеру. В этом случае при первом обращении к любому интернет-ресурсу,​ браузер выдаст пользователю запрос логина/​пароля для доступа в интернет. Если в вашей сети пользователи авторизуются в домене,​ вы можете установить тип авторизации "​Через домен"​. В таком случае,​ если ИКС подключен к контроллеру домена и в из домена были импортированы пользователи,​ авторизация будет выполнена прозрачно,​ без запроса логина/​пароля.
  
-Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси,​ и во всех программах,​ обращающихся в интернет,​ необходимо прописывать адрес прокси-сервера.+Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси,​ и во всех программах,​ обращающихся в интернет,​ необходимо прописывать адрес прокси-сервера. ​
  
 Кроме того, следует помнить о том, что авторизация на прокси используется только для http-трафика пользователей. Доступ в интернет для программ,​ использующих протоколы,​ отличные от http, регулируется межсетевым экраном,​ который имеет только один способ авторизации:​ по ip-адресу. Другими словами,​ если пользователь использует только авторизацию по логину/​паролю,​ он не сможет пользоваться почтой,​ jabber-клиентом,​ torrent-клиентом и другими программами,​ не поддерживающими работу через http-прокси. Кроме того, следует помнить о том, что авторизация на прокси используется только для http-трафика пользователей. Доступ в интернет для программ,​ использующих протоколы,​ отличные от http, регулируется межсетевым экраном,​ который имеет только один способ авторизации:​ по ip-адресу. Другими словами,​ если пользователь использует только авторизацию по логину/​паролю,​ он не сможет пользоваться почтой,​ jabber-клиентом,​ torrent-клиентом и другими программами,​ не поддерживающими работу через http-прокси.
 +
 ====Веб-авторизация==== ====Веб-авторизация====
  
Строка 56: Строка 53:
 **Пользователь,​ авторизованный подобным способом,​ получит доступ ко всем протоколам (не только HTTP) в соответствии с назначенными ему правилами и ограничениями.** **Пользователь,​ авторизованный подобным способом,​ получит доступ ко всем протоколам (не только HTTP) в соответствии с назначенными ему правилами и ограничениями.**
  
 +==== Кеширование страниц ==
  
- +Прокси-сервер выполняет кеширование веб-страниц и объектов,​ которые пользователи скачивают из интернета. Таким образом экономится интернет-трафик и увеличивается скорость доступа к веб-страницам. ​
-==== Кеширование страниц ==== +
- +
-Прокси-сервер выполняет кеширование веб-страниц и объектов,​ которые пользователи скачивают из интернета. Таким образом экономится интернет-трафик и увеличивается скорость доступа к веб-страницам.+
  
 Эффективность работы кеша зависит от его размера. Для организации с большим количеством пользователей,​ рекомендуется установить размер кеша в соответсвующем поле в несколько гигабайт. Также, вы можете ограничить размер загружаемого файла в поле "​Ограничивать размер ответа"​ (В мегабайтах). Эффективность работы кеша зависит от его размера. Для организации с большим количеством пользователей,​ рекомендуется установить размер кеша в соответсвующем поле в несколько гигабайт. Также, вы можете ограничить размер загружаемого файла в поле "​Ограничивать размер ответа"​ (В мегабайтах).
Строка 68: Строка 63:
 Содержимое кеша прокси-сервера можно посмотреть на вкладке "​содержимое кеша"​. Следует отметить,​ что веб-интерфейс отображает не все содержимое кэша, а только некоторые элементы,​ такие как изображения. Содержимое кеша прокси-сервера можно посмотреть на вкладке "​содержимое кеша"​. Следует отметить,​ что веб-интерфейс отображает не все содержимое кэша, а только некоторые элементы,​ такие как изображения.
  
-==== Прозрачный прокси ​====+====Прозрачный прокси==
  
 {{ics-proxy-settings2.png|Настройки прокси-сервера}} {{ics-proxy-settings2.png|Настройки прокси-сервера}}
Строка 78: Строка 73:
 Некоторые программы могут негативно реагировать на изменения в пакетах,​ которые проходят через прокси-сервер. Вы можете прописать ip-адреса или имена сайтов,​ пакеты до которых не будут обрабатываться прокси-сервером в поле "​Исключения для прозрачного прокси"​. Некоторые программы могут негативно реагировать на изменения в пакетах,​ которые проходят через прокси-сервер. Вы можете прописать ip-адреса или имена сайтов,​ пакеты до которых не будут обрабатываться прокси-сервером в поле "​Исключения для прозрачного прокси"​.
  
-Для того, чтобы настроить [[:https|HTTPS-фильтрацию]],​ нужно заполнить поле "​Сертификат для SSL-фильтрации"​ ранее созданным корневым сертификатом. Адреса,​ которые не нужно фильтровать подменным сертификатом,​ могут быть добавлены в исключения.+Для того, чтобы настроить [[https|HTTPS-фильтрацию]],​ нужно заполнить поле "​Сертификат для SSL-фильтрации"​ ранее созданным корневым сертификатом. Адреса,​ которые не нужно фильтровать подменным сертификатом,​ могут быть добавлены в исключения.
  
-==== SOCKS5 ​====+====SOCKS5==
  
 **SOCKS** — сетевой протокол,​ который позволяет клиент-серверным приложениям прозрачно использовать сервисы за межсетевыми экранами. Клиенты за межсетевым экраном,​ нуждающиеся в доступе к внешним серверам,​ вместо этого могут соединяться с SOCKS прокси сервером. Такой прокси сервер контролирует права клиента для доступа к внешним ресурсам и передаёт запрос к серверу. SOCKS может использоваться и противоположным способом,​ разрешая внешним клиентам соединяться с серверами за межсетевым экраном (брандмауэром). **SOCKS** — сетевой протокол,​ который позволяет клиент-серверным приложениям прозрачно использовать сервисы за межсетевыми экранами. Клиенты за межсетевым экраном,​ нуждающиеся в доступе к внешним серверам,​ вместо этого могут соединяться с SOCKS прокси сервером. Такой прокси сервер контролирует права клиента для доступа к внешним ресурсам и передаёт запрос к серверу. SOCKS может использоваться и противоположным способом,​ разрешая внешним клиентам соединяться с серверами за межсетевым экраном (брандмауэром).
Строка 88: Строка 83:
 Вы можете использовать SOCKS5-сервер,​ работающий в составе прокси-сервера для авторизации протоколов,​ отличных от HTTP. По умолчанию порт доступа 1080, вы также можете его изменить. Авторизация на сервере происходит по ip-адресу пользователя,​ установив соответствующий флажок,​ вы можете настроить авторизацию по логину/​паролю. Вы можете использовать SOCKS5-сервер,​ работающий в составе прокси-сервера для авторизации протоколов,​ отличных от HTTP. По умолчанию порт доступа 1080, вы также можете его изменить. Авторизация на сервере происходит по ip-адресу пользователя,​ установив соответствующий флажок,​ вы можете настроить авторизацию по логину/​паролю.
  
-==== Антивирус ​====+==== Антивирус ==
  
 {{ics-proxy-settings3.png|Настройки прокси-сервера}} {{ics-proxy-settings3.png|Настройки прокси-сервера}}
  
-Интернет Контроль Сервер поддерживает сканирование трафика,​ проходящего через прокси-сервер антивирусом. В версии 4 поддерживается 3 антивирусных модуля:​ бесплатный ClamAV и платные модули DrWeb и Касперский. Для работы антивируса , необходимо приобрести лицензию и установить её в соответствующем модуле.+Интернет Контроль Сервер поддерживает сканирование трафика,​ проходящего через прокси-сервер антивирусом. В версии 4 поддерживается 3 антивирусных модуля:​ бесплатный ​ ClamAV и платные модули DrWeb и Касперский. Для работы антивируса , необходимо приобрести лицензию и установить её в соответствующем модуле.
  
 Для того, чтобы включить антивирусное сканирование веб-трафика каким-либо антивирусным модулем,​ необходимо включить соответствующую опцию в настройках прокси. Параметр "​Максимальный объем для сканирования"​ определяет максимальный размер файла, единовременно проходящего обработку антивирусом. Файлы, размер которых превышает указанный,​ сканироваться не будут, что может повысить производительность. Для того, чтобы включить антивирусное сканирование веб-трафика каким-либо антивирусным модулем,​ необходимо включить соответствующую опцию в настройках прокси. Параметр "​Максимальный объем для сканирования"​ определяет максимальный размер файла, единовременно проходящего обработку антивирусом. Файлы, размер которых превышает указанный,​ сканироваться не будут, что может повысить производительность.
Строка 98: Строка 93:
 Рекомендуется также включить проверку изображений,​ поскольку существуют вирусы,​ распространяющиеся через обычные изображения,​ однако сканирование изображений значительно увеличивает потребление системных ресурсов антивирусом,​ что при больших объемах графики способно сильно снизить быстродействие сервера. Рекомендуется также включить проверку изображений,​ поскольку существуют вирусы,​ распространяющиеся через обычные изображения,​ однако сканирование изображений значительно увеличивает потребление системных ресурсов антивирусом,​ что при больших объемах графики способно сильно снизить быстродействие сервера.
  
-==== Разрешённые порты ​====+==== Разрешённые порты ==
  
 Вы можете указать,​ к каким портам на внешних серверах можно подключаться через прокси-сервер. Список разрешённых портов для SSL определяет,​ к каким портам разрешён доступ с использованием метода CONNECT. Вы можете указать,​ к каким портам на внешних серверах можно подключаться через прокси-сервер. Список разрешённых портов для SSL определяет,​ к каким портам разрешён доступ с использованием метода CONNECT.
  
-==== ICAP ====+====ICAP==
  
 **ICAP** (Internet Content Adaptation Protocol) - протокол расширения для прокси-сервера. В большинстве случаев он используется для сканирования на вирусы проходящего трафика и применения к нему различных контент-фильтров. Вы можете подключить к прокси-серверу ИКС сторонний ICAP-сервер,​ отметив соответствующий флажок в настройках и указав его адрес. **ICAP** (Internet Content Adaptation Protocol) - протокол расширения для прокси-сервера. В большинстве случаев он используется для сканирования на вирусы проходящего трафика и применения к нему различных контент-фильтров. Вы можете подключить к прокси-серверу ИКС сторонний ICAP-сервер,​ отметив соответствующий флажок в настройках и указав его адрес.
  
-Три последних флажка подключают к работе прокси-сервера соответственно,​ модули [[:dlp|DLP и контент-фильтра]] и +Три последних флажка подключают к работе прокси-сервера соответственно,​ модули [[dlp|DLP и контент-фильтра]] и [[skydns]]
  
-===== Автоконфигурация прокси ===== +=====Автоконфигурация прокси=====
- +
-{{::​ics-proxy-auto.png|Автоконфигурация прокси}}+
  
 Для того, чтобы не прописывать вручную прокси-сервер на каждой клиентской машине,​ вы можете воспользоваться автоконфигуратором. В браузере клиента должна быть выставлена опция "​Автоматическая конфигурация прокси",​ все остальные настройки определит ИКС. Для того, чтобы не прописывать вручную прокси-сервер на каждой клиентской машине,​ вы можете воспользоваться автоконфигуратором. В браузере клиента должна быть выставлена опция "​Автоматическая конфигурация прокси",​ все остальные настройки определит ИКС.
 +
 +{{::​ics-proxy-auto.png|Автоконфигурация прокси}}
  
 Он включается установкой флажка в соответствующей вкладке. Вы можете отметить один или несколько протоколов из доступных (HTTP, HTTPS, FTP). Он включается установкой флажка в соответствующей вкладке. Вы можете отметить один или несколько протоколов из доступных (HTTP, HTTPS, FTP).
Строка 120: Строка 115:
 **Публиковать скрипт автоконфигурации по DHCP** - данный параметр передает настройки прокси всем DHCP-клиентам сервера. **Публиковать скрипт автоконфигурации по DHCP** - данный параметр передает настройки прокси всем DHCP-клиентам сервера.
  
-===== Родительский прокси =====+=====Родительский прокси===== 
 + 
 +Если в вашей организации несколько проксирующих серверов,​ расположенных иерархично,​ то вышестоящий для ИКС прокси-сервер будет являться его **родительским прокси**. Кроме того, в качестве родительского прокси может выступать любой узел сети.
  
 {{::​ics-proxy-parent.png|Настройки родительского прокси}} {{::​ics-proxy-parent.png|Настройки родительского прокси}}
- 
-Если в вашей организации несколько проксирующих серверов,​ расположенных иерархично,​ то вышестоящий для ИКС прокси-сервер будет являться его **родительским прокси**. Кроме того, в качестве родительского прокси может выступать любой узел сети. 
  
 Чтобы ИКС перенаправлял запросы,​ приходящие на его прокси-сервер,​ на родительский прокси,​ укажите его ip-адрес и порт назначения во вкладке "​Родительский прокси"​. Чтобы ИКС перенаправлял запросы,​ приходящие на его прокси-сервер,​ на родительский прокси,​ укажите его ip-адрес и порт назначения во вкладке "​Родительский прокси"​.
Строка 132: Строка 127:
 Если родительский прокси работает с авторизацией,​ то в нижеследующих полях укажите логин и пароль для подключения. Если родительский прокси работает с авторизацией,​ то в нижеследующих полях укажите логин и пароль для подключения.
  
-===== Выданные ip-адреса =====+=====Выданные ip-адреса=====
  
 В этой вкладке находится список Ip-адресов и пользователей,​ которые авторизовались на прокси-сервере с использованием веб-авторизации. В этой вкладке находится список Ip-адресов и пользователей,​ которые авторизовались на прокси-сервере с использованием веб-авторизации.
  
-===== Содержимое кэша =====+=====Содержимое кэша=====
  
 {{::​ics-proxy-cache.png|Содержимое кэша}} {{::​ics-proxy-cache.png|Содержимое кэша}}
Строка 142: Строка 137:
 Здесь вы можете просмотреть некоторые элементы веб-страниц (в основном изображения),​ которые сохранились в кэше, а также очистить его содержимое. Здесь вы можете просмотреть некоторые элементы веб-страниц (в основном изображения),​ которые сохранились в кэше, а также очистить его содержимое.
  
-===== Журнал =====+=====Журнал=====
  
 {{::​ics-proxy-log.png|Журнал}} {{::​ics-proxy-log.png|Журнал}}
Строка 153: Строка 148:
  
 Журнал всегда отображает события за текущую дату. Чтобы посмотреть события в другой день, выберите нужную дату, используя календарь в левом верхнем углу модуля. Журнал всегда отображает события за текущую дату. Чтобы посмотреть события в другой день, выберите нужную дату, используя календарь в левом верхнем углу модуля.
- 
- 
прокси.txt · Последние изменения: 2019/11/10 19:35 (внешнее изменение)