Инструменты пользователя

Инструменты сайта


ics70:proxy

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Предыдущая версия
ics70:proxy [2020/07/01 10:13]
ics70:proxy [2020/07/02 11:08] (текущий)
misha [Типы авторизации]
Строка 1: Строка 1:
 +====== Прокси ======
 +
 +===== Стартовая страница модуля =====
 +
 +**Прокси-сервер** — служба,​ позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо веб-ресурс,​ расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (если кто-то из клиентов уже обращался к этому ресурсу). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях.
 +
 +{{.:​proxy01.jpg|proxy01.jpg}}
 +
 +Также, прокси-сервер позволяет анализировать проходящие через сервер HTTP-запросы клиентов,​ выполнять фильтрацию и учёт трафика по URL и mime-типам. Кроме этого, прокси-сервер реализует механизм доступа в интернет по логину/​паролю.
 +
 +Прокси-сервер выполняет кеширование объектов,​ полученных пользователями из интернета и за счёт этого сокращает потребление трафика и увеличивает скорость загрузки страниц.
 +
 +При входе в модуль отображается состояние служб, кнопка «Выключить» (или «Включить» если модуль выключен) и последние сообщения в журнале.
 +
 +===== Настройки =====
 +
 +{{.:​proxy02.png|proxy02.png}}
 +
 +{{.:​proxy03.jpg|proxy03.jpg}}
 +
 +{{.:​proxy04.jpg|proxy04.jpg}}
 +
 +Обычно для работы через прокси-сервер,​ необходимо указать его адрес и порт в настройках браузера. Однако,​ в случае если не используется авторизация пользователей по логину/​паролю,​ то можно использовать функцию прозрачного прокси.
 +
 +При этом все запросы по протоколу HTTP из локальной сети автоматически направляются через прокси-сервер. Таким образом появляется возможность фильтрации и учёта трафика по URL независимо от настроек клиентских компьютеров.
 +
 +Порт работы прокси-сервера по умолчанию 3128, в настройке модуля вы можете изменить его на любой свободный порт.
 +
 +==== Типы авторизации ====
 +
 +Прокси-сервер ИКС поддерживает три способа авторизации по: логину/​паролю ИКС, через домен, Kerberos.
 +
 +**Авторизация по логину/​паролю ИКС.** Если выбран данный тип авторизации,​ то Пользователь,​ при обращении на порт прокси-сервера,​ будет авторизован в зависимости от указанного порядка авторизации (либо по IP, либо по логину/​паролю заведенному на ИКС).
 +
 +**Авторизаия через домен (NTLM).** Если выбран данный тип авторизации,​ то Пользователи должны быть [[.:​users#​импорт_пользователей|импортированы]] и  настроено [[.:​samba#​идентификация|сетевое окружение]]. В данном случае авторизация будет выполнена прозрачно,​ без запроса логина/​пароля.
 +
 +Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси,​ и во всех программах,​ обращающихся в интернет,​ необходимо прописывать адрес прокси-сервера.
 +
 +**Авторизация через Kerberos.** Если выбран данный тип авторизации,​ то необходимо добавить перенаправление [[.:​dns|DNS]]-зоны домена на IP адрес одного или нескольких контроллеров домена или ИКС должен использовать контроллер домена как единственный днс сервер (настройки провайдера). А также адрес прокси сервера ИКС должен быть прописан в браузре как имя под которым ИКС введен в домен (например ics.company.ru). По IP работать не будет.
 +
 +Кроме того, если Пользователь не прошел kerberos авторизацию ему будет предложено ввести логин/​пароль для ldap авторизаци. Стоит отметить,​ что если не используется ldaps (ldap с сертификатом),​ то пароль при авторизации будет передаваться в открытом виде.
 +
 +
 +==== Кеширование страниц ====
 +
 +Прокси-сервер выполняет кеширование веб-страниц и объектов,​ которые пользователи скачивают из интернета. Таким образом экономится интернет-трафик и увеличивается скорость доступа к веб-страницам.
 +
 +Эффективность работы кеша зависит от его размера. Для организации с большим количеством пользователей,​ рекомендуется установить размер кеша в соответсвующем поле в несколько гигабайт. Также, вы можете ограничить размер загружаемого файла в поле "​Ограничивать размер ответа"​ (В мегабайтах).
 +
 +Опция "​Скрывать ip-адрес пользователя"​ позволяет отключить указание в отправляемом заголовке внутреннего ip-адреса пользователя (параметр forwarded_for).
 +
 +Содержимое кеша прокси-сервера можно посмотреть на вкладке "​содержимое кеша"​. Следует отметить,​ что веб-интерфейс отображает не все содержимое кэша, а только некоторые элементы,​ такие как изображения.
 +
 +**"​Сообщение о запрете доступа"​**. Позволяет изменить текст выводимого сообщения Пользователю по умолчанию на произвольный,​ при блокировке трафика прокси сервером. В случае необходимости изменить дополнительные поля страницы блокировки,​ необходимо нажать на **"​Редактировать HTML страницы запрета доступа"​** и изменить необходимые поля HTML страницы. Если необходимо вставить изображение,​ на страницу,​ то используйте метод //​data:​URI//​.
 +==== Прозрачный прокси ====
 +
 +В этом режиме ИКС вместо того, чтобы сразу принимать HTTP-запросы пользователя на порту прокси-сервера,​ сам перенаправляет их прокси-серверу. Прокси-сервер обрабатывает запрос (с возможной отдачей содержимого из кеша), это содержимое направляется к запросившему пользователю,​ для которого оно выглядит как «ответ» сервера,​ к которому адресовался запрос. Таким образом,​ пользователь может даже не знать, что все запросы и ответы прошли через прокси-сервер. По умолчанию прозрачный прокси перехватывает запросы по 80 порту (HTTP).
 +
 +Вы можете включить или отключить прозрачное проксирование DMZ и локальных сетей, отметив соответствующие флажки в настройках. По умолчанию DMZ сети не проксируются,​ а локальные проксируются.
 +
 +Некоторые программы могут негативно реагировать на изменения в пакетах,​ которые проходят через прокси-сервер. Вы можете прописать ip-адреса или имена сайтов,​ пакеты до которых не будут обрабатываться прокси-сервером в поле "​Исключения для прозрачного прокси"​.
 +
 +Для того, чтобы настроить [[.:​https|HTTPS-фильтрацию]],​ нужно заполнить поле "​Сертификат для SSL-фильтрации"​ ранее созданным корневым сертификатом. Адреса,​ которые не нужно фильтровать подменным сертификатом,​ могут быть добавлены в исключения.
 +
 +==== SOCKS5 ====
 +
 +**SOCKS** — сетевой протокол,​ который позволяет клиент-серверным приложениям прозрачно использовать сервисы за межсетевыми экранами. Клиенты за межсетевым экраном,​ нуждающиеся в доступе к внешним серверам,​ вместо этого могут соединяться с SOCKS прокси сервером. Такой прокси сервер контролирует права клиента для доступа к внешним ресурсам и передаёт запрос к серверу. SOCKS может использоваться и противоположным способом,​ разрешая внешним клиентам соединяться с серверами за межсетевым экраном (брандмауэром).
 +
 +В отличие от HTTP прокси серверов,​ SOCKS передаёт все данные от клиента,​ ничего не добавляя от себя, то есть с точки зрения конечного сервера,​ SOCKS прокси является обычным клиентом. SOCKS более универсален — не зависит от конкретных протоколов уровня приложений (7-го уровня модели OSI) и базируется на стандарте TCP/IP — протоколе 4-го уровня. Зато HTTP прокси кэширует данные и может более тщательно фильтровать содержимое передаваемых данных.
 +
 +Вы можете использовать SOCKS5-сервер,​ работающий в составе прокси-сервера для авторизации протоколов,​ отличных от HTTP. По умолчанию порт доступа 1080, вы также можете его изменить. Авторизация на сервере происходит по ip-адресу пользователя,​ установив соответствующий флажок,​ вы можете настроить авторизацию по логину/​паролю.
 +
 +==== Антивирус ====
 +
 +Интернет Контроль Сервер поддерживает сканирование трафика,​ проходящего через прокси-сервер антивирусом. В версии 4 поддерживается 3 антивирусных модуля:​ бесплатный ClamAV и платные модули DrWeb и Касперский. Для работы антивируса , необходимо приобрести лицензию и установить её в соответствующем модуле.
 +
 +Для того, чтобы включить антивирусное сканирование веб-трафика каким-либо антивирусным модулем,​ необходимо включить соответствующую опцию в настройках прокси. Параметр "​Максимальный объем для сканирования"​ определяет максимальный размер файла, единовременно проходящего обработку антивирусом. Файлы, размер которых превышает указанный,​ сканироваться не будут, что может повысить производительность.
 +
 +Рекомендуется также включить проверку изображений,​ поскольку существуют вирусы,​ распространяющиеся через обычные изображения,​ однако сканирование изображений значительно увеличивает потребление системных ресурсов антивирусом,​ что при больших объемах графики способно сильно снизить быстродействие сервера.
 +
 +==== Разрешённые порты ====
 +
 +Вы можете указать,​ к каким портам на внешних серверах можно подключаться через прокси-сервер. Список разрешённых портов для SSL определяет,​ к каким портам разрешён доступ с использованием метода CONNECT.
 +
 +==== ICAP ====
 +
 +**ICAP** (Internet Content Adaptation Protocol) - протокол расширения для прокси-сервера. В большинстве случаев он используется для сканирования на вирусы проходящего трафика и применения к нему различных контент-фильтров. Вы можете подключить к прокси-серверу ИКС сторонний ICAP-сервер,​ отметив соответствующий флажок в настройках и указав его адрес.
 +
 +Три последних флажка подключают к работе прокси-сервера соответственно,​ модули [[.:dlp|DLP и контент-фильтра]] и [[.:​skydns|]]
 +
 +===== Автоконфигурация прокси =====
 +
 +Для того, чтобы не прописывать вручную прокси-сервер на каждой клиентской машине,​ вы можете воспользоваться автоконфигуратором. В браузере клиента должна быть выставлена опция "​Автоматическая конфигурация прокси",​ все остальные настройки определит ИКС.
 +
 +{{.:​proxy05.jpg|proxy05.jpg}}
 +
 +Он включается установкой флажка в соответствующей вкладке. Вы можете отметить один или несколько протоколов из доступных (HTTP, HTTPS, FTP).
 +
 +Опция публикации скрипта автонастройки определяет,​ будет ли он доступен по ip-адресу сервера либо по созданному виртуальному хосту с доменным именем. При выборе виртуального хоста, он автоматически создастся в системе. Флажок **"​Создать запись на ДНС-сервере"​** автоматически добавит зону с нужными записями для этого виртуального хоста.
 +
 +**Публиковать скрипт автоконфигурации по DHCP** - данный параметр передает настройки прокси всем DHCP-клиентам сервера.
 +===== Родительский прокси =====
 +
 +Если в вашей организации несколько проксирующих серверов,​ расположенных иерархично,​ то вышестоящий для ИКС прокси-сервер будет являться его **родительским прокси**. Кроме того, в качестве родительского прокси может выступать любой узел сети.
 +
 +{{.:​proxy06.jpg|proxy06.jpg}}
 +
 +Чтобы ИКС перенаправлял запросы,​ приходящие на его прокси-сервер,​ на родительский прокси,​ укажите его ip-адрес и порт назначения во вкладке "​Родительский прокси"​.
 +
 +Прокси-сервера могут обмениваться данными своих кэшей по протоколу ICP. В случае работы сети через несколько прокси это может значительно ускорить работу. Если родительский прокси поддерживает работу протокола,​ отметьте соответствующий флажок и укажите порт работы службы (по умолчанию 3130).
 +
 +Если родительский прокси работает с авторизацией,​ то в нижеследующих полях укажите логин и пароль для подключения.
 +
 +===== Исключения для авторизации =====
 +
 +{{.:​proxy07.png|proxy07.png}}
 +
 +Данная вкладка служит для настройки прокси сервера таким образом,​ чтобы он не требовал авторизации при: обработке запросов с определенного хоста в сети и/или при обращении на определенный хост. В основном окне отображаются кнопки «Добавить» и «Удалить»,​ соответственно для добавления и удаления информации об исключениях для авторизации в прокси сервере. А также таблица,​ содержащая наборы исключений. При добавлении исключения доступны следующие поля:
 +
 +  * «Источник». Позволяет задать в качестве источника трафика IP-адрес или сеть, для которых не будет производиться аутентификация в прокси сервере. Это приведет к тому, что трафик идущий с указанных IP-адреса или сети не будет учитываться в статистике за определенными Пользователями. Но будет учитываться в общей статистике.
 +  * «Назначение». В качестве назначения возможно указывать:​ IP-адрес;​ IP/mask; имя домена (например,​ ya.ru); поддомены исключая основной домен (например,​ “.google.com” – при обращении на drive.google.com авторизация не будет запрошена,​ но при обращении на google.com будет запрошена авторизация);​ регулярное выражение в формате - /regex/gi (например,​ /​.*.ai.\.ru/​gi - разрешит домен mail.ru и его поддомены). Правила для заполнения данного поля также распространяются на поля содержащие URL, при создании запрещающего,​ разрешающего правила или исключения прокси.
 +  * «Описание». Позволяет задать произвольное описание для создаваемого правила.
 +  * «Выкл.». Позволяет выключить созданное правило.
 +
 +===== Содержимое кэша =====
 +
 +{{.:​proxy08.jpg|proxy08.jpg}}
 +
 +Здесь вы можете просмотреть некоторые элементы веб-страниц (в основном изображения),​ которые сохранились в кэше, а также очистить его содержимое.
 +
 +===== Журнал =====
 +
 +{{.:​proxy09.jpg|proxy09.jpg}}
 +
 +В закладке «Журнал» находится сводка всех системных сообщений от прокси-сервера. Журнал разделен на страницы,​ кнопками «вперед» и «назад» вы можете переходить со страницы на страницу,​ либо ввести номер страницы в поле и переключиться сразу на нее.
 +
 +Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом,​ сообщения о состоянии системы (включение/​выключение,​ обработка кэша) - зеленым,​ ошибки - красным.
 +
 +В правом верхнем углу модуля находится строка поиска. С ее помощью вы можете искать в журнале нужные вам записи.
 +
 +Журнал всегда отображает события за текущую дату. Чтобы посмотреть события в другой день, выберите нужную дату, используя календарь в левом верхнем углу модуля.
 +