Прокси

Прокси-сервер — это служба, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Работает по следующему принципу:

  1. Клиент подключается к прокси-серверу и запрашивает какой-либо веб-ресурс, расположенный на другом сервере.
  2. Прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кеша (если кто-то из клиентов уже обращался к этому ресурсу). В некоторых случаях запрос клиента или ответ сервера может быть изменен прокси-сервером в определенных целях.

Также прокси-сервер:

  • позволяет анализировать проходящие через сервер HTTP-запросы клиентов, выполнять фильтрацию и учет трафика по URL и MIME-типам;
  • реализует механизм доступа в сеть Интернет по логину и паролю;
  • выполняет кеширование объектов, полученных пользователями из сети Интернет, за счет чего сокращает потребление трафика и увеличивает скорость загрузки страниц.

Внимание! Использовать прокси-сервер для FTP-соединений не рекомендуется, так как прокси-сервер поддерживает не все возможности для полноценной работы в таком режиме.

Открыть модуль «Прокси» можно в меню Сеть > Прокси.

В модуле расположены следующие вкладки:

Прокси-сервер

На данной вкладке отображаются:

  • статус служб (запущен, остановлен, выключенне настроен);
  • кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
  • журнал последних событий.

Настройки

Данная вкладка предназначена для настройки службы прокси.

  1. В поле «Порт» можно указать порт прокси-сервера (по умолчанию это 3128).
  2. Если требуется, установите флаг «Автоматически создавать разрешающее правило». Тогда в правилах межсетевого экрана будет создано разрешающее правило для доступа на порт прокси из локальных и DMZ-сетей.

  3. Выберите тип авторизации:
    • по логину/паролю ИКС;
    • через домен (NTLM) — пользователи должны быть импортированы из AD, а также настроена идентификация в сетевом окружении. При данном типе авторизации используется протокол сетевой аутентификации NTLM;
    • Kerberos/LDAP — пользователи должны быть импортированы из AD, адрес прокси-сервера ИКС должен быть прописан в браузере как имя, под которым ИКС введен в домен (например, ics.company.ru). По IP данный тип авторизации работать не будет.

      Особенности типов «через домен» и «Kerberos»

      Авторизация выполняется прозрачно, без запроса логина и пароля. Также необходимо добавить перенаправление DNS-зоны домена на IP-адрес одного или нескольких контроллеров домена либо ИКС должен использовать контроллер домена как единственный DNS-сервер (настройки провайдера). Недостаток данных типов: не поддерживаются прозрачным прокси, и во всех программах, обращающихся в сеть Интернет, необходимо прописывать адрес прокси-сервера либо дополнительно настраивать на каждом компьютере утилиту авторизации Xauth, которая позволит авторизовать пользователя через прозрачный прокси по IP-адресу.

  4. Выберите порядок авторизации:
    • по логину/паролю, затем по IP;
    • по IP, затем по логину/паролю;
    • только по логину/паролю;
    • только по IP.
  5. Выберите схему  аутентификации:
    • Basic — позволяет авторизовать пользователей с явно указанным прокси-сервером по базе локальных пользователей, однако имя пользователя и пароль передаются по сети в открытом виде;
    • Digest — выбран по умолчанию, при таком типе пароль не передается по сети в открытом виде.
  6. При необходимости установите флаг «Скрывать IP-адрес пользователя», чтобы отключить указание внутреннего IP-адреса пользователя в отправляемом заголовке.
  7. При установке флага «Использовать кеш» можно настроить кеширование страниц. Прокси-сервер выполняет кеширование веб-страниц и объектов, которые пользователи скачивают из сети Интернет. Таким образом экономится интернет-трафик и увеличивается скорость доступа к веб-страницам.

    Укажите:

    • размер кеша, от которого зависит эффективность его работы (в Мб). Для организации с большим количеством пользователей рекомендуется установить размер кеша в несколько гигабайт;
    • ограничение размера загружаемого файла (ответа), если это необходимо (в Мб);
    • сообщение о запрете доступа, которое будет показываться пользователю при блокировке трафика прокси-сервером;
    • чтобы изменить дополнительные поля страницы блокировки, нажмите «Редактировать HTML страницы запрета доступа» и измените необходимые поля HTML-страницы. Для вставки изображения на страницу используйте метод data:URI.

    Содержимое кеша прокси-сервера можно посмотреть на вкладке «Кеш». Веб-интерфейс отображает не все содержимое кеша, а только некоторые элементы, такие как изображения.

  8. Для включения режима прозрачного прокси установите флаг «Использовать прозрачный прокси». Тогда средствами межсетевого экрана будет осуществляться перенаправление портов 80 и 443 (в случае, если указан сертификат для HTTPS-фильтрации) на прокси-сервер ИКС. Преимуществом данного способа является отсутствие необходимости дополнительных настроек прокси клиентских приложений.

    Укажите:

    • порты, трафик на которые будет перенаправляться межсетевым экраном на прокси. По умолчанию это порт 80 (HTTP);
    • порты HTTPS, трафик на которые будет перенаправляться межсетевым экраном на прокси. По умолчанию это порт 443;
    • при необходимости установите флаги «Перехватывать трафик из DMZ-сетей» и «Перехватывать трафик между локальными сетями» (установлен по умолчанию). Снимите флаги, если требуется, чтобы трафик, который идет на порты 80 и 443 между локальными сетями, не перенаправлялся на прокси-сервер. Например, чтобы трафик на веб-ресурсы компании в локальной сети не фильтровался прокси;
    • в поле «Исключения для прозрачного прокси» можно прописать IP-адреса или имена сайтов, пакеты до которых не будут обрабатываться прокси-сервером. Это требуется, так как некоторые ресурсы могут негативно реагировать на изменения в пакетах, которые проходят через прокси-сервер. Например, с прокси-серверами не работают клиент-банки и некоторые платформы для проведения вебинаров;
    • поле «Сертификат для HTTPS фильтрации» позволяет задать сертификат для использования HTTPS-фильтрации. Адреса, для которых не нужно осуществлять подмену сертификата, могут быть добавлены в исключения. Это могут быть как доменные имена, так и IP-адреса.
  9. Укажите разрешенные порты. Это порты на внешних серверах, к которым можно подключаться через прокси-сервер. Список разрешенных портов для SSL определяет, к каким портам разрешен доступ с использованием метода CONNECT.

    Важно! Длина полей «Разрешенные порты» и «Порты для метода CONNECT» имеет ограничение в 256 символов.

  10. Если требуется, установите флаг «Использовать SOCKS5-сервер». В ИКС для авторизации протоколов, отличных от HTTP, можно использовать SOCKS5-сервер, который будет работать в составе прокси-сервера.

    Укажите:

    • порт доступа. По умолчанию установлен порт 1080;
    • при необходимости установите флаг «Авторизация на SOCKS5-сервере по логину/паролю». Если флаг не установлен, авторизация на сервере происходит по IP-адресу пользователя;
    • чтобы разрешить доступ к порту SOCKS-сервера в межсетевом экране, установите флаг «Автоматически создавать разрешающее правило».
  11. ИКС поддерживает сканирование трафика, который проходит через прокси-сервер, антивирусом. На данный момент поддерживается два антивирусных модуля: бесплатный ClamAV, а также платный антивирус Касперского. Для работы антивируса необходимо приобрести лицензию и установить ее в соответствующем модуле.

    Для того чтобы включить антивирусное сканирование веб-трафика каким-либо антивирусным модулем, установите соответствующий флаг. Тогда в настройках данного антивирусного модуля автоматически установится флаг «Использовать в прокси».

  12. Подключите к прокси-серверу ИКС сторонний ICAP-сервер, если это необходимо. Для этого установите флаг «Использовать внешний ICAP-сервер». Укажите адреса сервисов REQMOD URI и RESPMOD URI. Для каждого сервиса также можно установить флаг «Разрешать доступ при недоступности сервиса».
  13. Для подключения к работе прокси-сервера других модулей установите соответствующие флаги:

  14. В поле «Использовать DNS» можно указать адрес DNS-сервера. По умолчанию в качестве DNS прокси-сервер использует localhost.
  15. Если требуется распределять запросы между основными провайдерами, установите соответствующий флаг.
  16. Нажмите «Сохранить».

Автоконфигурация

Данная вкладка позволяет управлять автоконфигуратором. Он нужен для того, чтобы не прописывать вручную прокси-сервер на каждом клиентском устройстве. В браузере клиента должна быть выставлена опция «Автоматическая конфигурация прокси», все остальные настройки определит ИКС.

  1. Установите флаг «Создать скрипт автоконфигурации прокси».
  2. Отметьте флагами один или несколько протоколов (HTTP, HTTPS, FTP, WSS). При установке флага «WSS» ИКС будет указан как прокси для запросов, использующих протокол WebSocket.

  3. Поставьте переключатель:
    • использовать домен как адрес прокси — скрипт автонастройки будет создан и скачан с доменным именем;
    • опубликовать по адресу — скрипт автонастройки будет доступен по IP-адресу сервера;
    • создать виртуальный хост на веб-сервере — скрипт автонастройки будет доступен по созданному виртуальному хосту с доменным именем. При выборе виртуального хоста он автоматически создастся в системе. Если установлен флаг «Создать запись на DNS-сервере», добавится зона с нужными записями для данного виртуального хоста.
  4. Если необходимо, установите флаг «Публиковать скрипт автоконфигурации по DHCP». Тогда настройки прокси будут передаваться всем DHCP-клиентам сервера.
  5. На данной вкладке также можно установить исключения прокси.
  6. Нажмите «Сохранить».

Внимание! Если в сети используется Captive Portal, для работы скрипта автоконфигурации необходимо создать разрешающее правило межсетевого экрана, которое позволит подключаться из локальной сети к ИКС по 80 порту.

Родительский прокси

Если в организации несколько прокси-серверов, расположенных иерархично, то вышестоящий для ИКС прокси-сервер будет являться его родительским прокси.

Чтобы ИКС перенаправлял на родительский прокси запросы, которые приходят на его прокси-сервер, выполните следующие настройки:

  1. Установите флаг «Использовать родительский прокси».
  2. Введите IP-адрес родительского прокси и порт назначения.

  3. Установите флаг «Использовать ICP» (если родительский прокси поддерживает работу протокола ICP) и укажите порт работы службы (по умолчанию 3130). Тогда прокси-серверы смогут обмениваться данными своих кешей по протоколу ICP. В случае работы сети через несколько прокси это может значительно ускорить передачу данных.
  4. Если родительский прокси работает с авторизацией, установите флаг «Использовать авторизацию», укажите логин и пароль для подключения.
  5. При необходимости установите флаг «Работать без DNS-сервера».
  6. Нажмите «Сохранить».

Исключения для авторизации

Данная вкладка служит для настройки прокси-сервера таким образом, чтобы он не требовал авторизации при обработке запросов с определенного хоста в сети и (или) при обращении на определенный хост.

На вкладке можно добавить информацию об исключениях для авторизации в прокси-сервере, а также просмотреть таблицу наборов исключений.

  1. Нажмите «Добавить».

  2. Заполните следующие поля таблицы:
    • «Источник» — позволяет задать в качестве источника трафика IP-адрес или сеть, для которых не будет производиться аутентификация в прокси-сервере. Тогда трафик, идущий с указанного IP-адреса или сети не будет учитываться в статистике за определенными пользователями, но будет учитываться в общей статистике.
    • «Назначение» — правила для заполнения данного поля также распространяются на поля, содержащие URL, при создании запрещающего, разрешающего правила или исключения прокси. В качестве назначения можно указывать: IP-адрес, IP/маску, имя домена (например, ya.ru), поддомены, кроме основного домена (например, .google.com — при обращении на drive.google.com авторизация не будет запрошена, но при обращении на google.com авторизация запрошена будет), регулярное выражение в формате /regex/gi (например, выражение /.*.ai.\.ru/gi разрешит домен mail.ru и его поддомены).
    • «Описание» — позволяет задать произвольное описание для создаваемого правила.
    • «Вкл.» — позволяет включить созданное правило. По умолчанию правило выключено.
  3. Нажмите «Сохранить».

Удалить информацию об исключениях можно по одноименной кнопке.

Кеш

На данной вкладке можно просмотреть некоторые элементы веб-страниц (в основном изображения), которые сохранились в кеше. Чтобы удалить содержимое кеша, нажмите кнопку «Очистить кеш».

Журнал

На данной вкладке отображается сводка всех системных сообщений от прокси-сервера с указанием даты и времени.

Журнал является стандартным элементом веб-интерфейса ИКС.

О статье

Идентификатор статьи:
62
Категория:
Рейтинг :

Меню

Связанные статьи