прокси
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
прокси [2019/11/01 14:45] tuor4eg |
прокси [2020/01/27 16:28] (текущий) |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| ====== Прокси ====== | ====== Прокси ====== | ||
| - | ===== Стартовая страница модуля ===== | + | =====Стартовая страница модуля===== |
| - | **Прокси-сервер** — служба, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо веб-ресурс, расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (если кто-то из клиентов уже обращался к этому ресурсу). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. | + | **Прокси-сервер** — служба, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо веб-ресурс, расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (если кто-то из клиентов уже обращался к этому ресурсу). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. |
| - | Также, прокси-сервер позволяет анализировать проходящие через сервер HTTP-запросы клиентов, выполнять фильтрацию и учёт трафика по URL и mime-типам. Кроме этого, прокси-сервер реализует механизм доступа в интернет по логину/паролю. | + | Также, прокси-сервер позволяет анализировать проходящие через сервер HTTP-запросы клиентов, выполнять фильтрацию и учёт трафика по URL и mime-типам. Кроме этого, прокси-сервер реализует механизм доступа в интернет по логину/паролю. |
| Прокси-сервер выполняет кеширование объектов, полученных пользователями из интернета и за счёт этого сокращает потребление трафика и увеличивает скорость загрузки страниц. | Прокси-сервер выполняет кеширование объектов, полученных пользователями из интернета и за счёт этого сокращает потребление трафика и увеличивает скорость загрузки страниц. | ||
| - | {{proxy01.jpg}} | + | {{:ics-proxy.png|Прокси-сервер}} |
| При входе в модуль отображается состояние служб, кнопка «Выключить» (или «Включить» если модуль выключен) и последние сообщения в журнале. | При входе в модуль отображается состояние служб, кнопка «Выключить» (или «Включить» если модуль выключен) и последние сообщения в журнале. | ||
| - | ===== Настройки ===== | + | =====Настройки===== |
| - | {{proxy02.jpg}} | + | {{ics-proxy-settings.png|Настройки прокси-сервера}} |
| Обычно для работы через прокси-сервер, необходимо указать его адрес и порт в настройках браузера. Однако, в случае если не используется авторизация пользователей по логину/паролю, то можно использовать функцию прозрачного прокси. | Обычно для работы через прокси-сервер, необходимо указать его адрес и порт в настройках браузера. Однако, в случае если не используется авторизация пользователей по логину/паролю, то можно использовать функцию прозрачного прокси. | ||
| Строка 23: | Строка 23: | ||
| Порт работы прокси-сервера по умолчанию 3128, в настройке модуля вы можете изменить его на любой свободный порт. | Порт работы прокси-сервера по умолчанию 3128, в настройке модуля вы можете изменить его на любой свободный порт. | ||
| - | ==== Типы авторизации ==== | + | ==== Типы авторизации == |
| - | {{proxy03.jpg}} | + | Прокси-сервер ИКС поддерживает два способа авторизации: по ip-адресу пользователя, и по логину-паролю. |
| - | + | ||
| - | {{proxy04.jpg}} | + | |
| - | + | ||
| - | Прокси-сервер ИКС поддерживает два способа авторизации: по ip-адресу пользователя, и по логину-паролю. | + | |
| Авторизация по ip-адресу подходит для случаев, когда пользователь постоянно пользуется одним и тем же компьютером. Прокси определяет, какому пользователю принадлежит тот или иной трафик, исходя из ip-адреса его компьютера. Этот способ не подходит для терминальных серверов, так как в этом случае с одного ip-адреса работает несколько пользователей. Также этот способ не подходит для организаций, в которых пользователи постоянно перемещаются между рабочими местами. Кроме того, пользователь может сменить ip-адрес своего компьютера и, если не настроена привязка MAC-адреса к IP, ИКС примет его за кого-то другого. | Авторизация по ip-адресу подходит для случаев, когда пользователь постоянно пользуется одним и тем же компьютером. Прокси определяет, какому пользователю принадлежит тот или иной трафик, исходя из ip-адреса его компьютера. Этот способ не подходит для терминальных серверов, так как в этом случае с одного ip-адреса работает несколько пользователей. Также этот способ не подходит для организаций, в которых пользователи постоянно перемещаются между рабочими местами. Кроме того, пользователь может сменить ip-адрес своего компьютера и, если не настроена привязка MAC-адреса к IP, ИКС примет его за кого-то другого. | ||
| Строка 35: | Строка 31: | ||
| Авторизация по логину/паролю решает проблему привязки пользователей к собственному компьютеру. В этом случае при первом обращении к любому интернет-ресурсу, браузер выдаст пользователю запрос логина/пароля для доступа в интернет. Если в вашей сети пользователи авторизуются в домене, вы можете установить тип авторизации "Через домен". В таком случае, если ИКС подключен к контроллеру домена и в из домена были импортированы пользователи, авторизация будет выполнена прозрачно, без запроса логина/пароля. | Авторизация по логину/паролю решает проблему привязки пользователей к собственному компьютеру. В этом случае при первом обращении к любому интернет-ресурсу, браузер выдаст пользователю запрос логина/пароля для доступа в интернет. Если в вашей сети пользователи авторизуются в домене, вы можете установить тип авторизации "Через домен". В таком случае, если ИКС подключен к контроллеру домена и в из домена были импортированы пользователи, авторизация будет выполнена прозрачно, без запроса логина/пароля. | ||
| - | Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси, и во всех программах, обращающихся в интернет, необходимо прописывать адрес прокси-сервера. | + | Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси, и во всех программах, обращающихся в интернет, необходимо прописывать адрес прокси-сервера. |
| Кроме того, следует помнить о том, что авторизация на прокси используется только для http-трафика пользователей. Доступ в интернет для программ, использующих протоколы, отличные от http, регулируется межсетевым экраном, который имеет только один способ авторизации: по ip-адресу. Другими словами, если пользователь использует только авторизацию по логину/паролю, он не сможет пользоваться почтой, jabber-клиентом, torrent-клиентом и другими программами, не поддерживающими работу через http-прокси. | Кроме того, следует помнить о том, что авторизация на прокси используется только для http-трафика пользователей. Доступ в интернет для программ, использующих протоколы, отличные от http, регулируется межсетевым экраном, который имеет только один способ авторизации: по ip-адресу. Другими словами, если пользователь использует только авторизацию по логину/паролю, он не сможет пользоваться почтой, jabber-клиентом, torrent-клиентом и другими программами, не поддерживающими работу через http-прокси. | ||
| - | ==== Кеширование страниц ==== | + | ====Веб-авторизация==== |
| - | Прокси-сервер выполняет кеширование веб-страниц и объектов, которые пользователи скачивают из интернета. Таким образом экономится интернет-трафик и увеличивается скорость доступа к веб-страницам. | + | Для того, чтобы авторизовать пользователей без прописанного прокси-сервера по имени пользователя и паролю, вы можете использовать веб-авторизацию (captive portal), включив соответствующий флажок. Веб-авторизация позволяет, к примеру, интегрировать страницу авторизации в корпоративный портал, и использовать его в качестве страницы авторизации. По умолчанию порт веб-авторизации 82, вы также можете изменить его на любой свободный. |
| + | |||
| + | При переходе на страницу http://ip_ics:82 вы получаете следующее сообщение: | ||
| + | |||
| + | {{::ics-captport-login.png|Вход в веб-авторизацию::}} | ||
| + | |||
| + | Также, если включена веб-авторизация, то неавторизованные пользователи автоматически будут перенаправляться на страницу авторизации. | ||
| + | |||
| + | Для того, чтобы отключиться, нужно повторно зайти на страницу авторизации и нажать кнопку "Выйти". | ||
| + | |||
| + | {{::ics-captport-logout.png|Выход::}} | ||
| + | |||
| + | Флажок "Только с одного ip-адреса" запрещает нескольким пользователям одновременно подключаться под одним и тем же логином. | ||
| + | |||
| + | **Пользователь, авторизованный подобным способом, получит доступ ко всем протоколам (не только HTTP) в соответствии с назначенными ему правилами и ограничениями.** | ||
| + | |||
| + | ==== Кеширование страниц == | ||
| + | |||
| + | Прокси-сервер выполняет кеширование веб-страниц и объектов, которые пользователи скачивают из интернета. Таким образом экономится интернет-трафик и увеличивается скорость доступа к веб-страницам. | ||
| Эффективность работы кеша зависит от его размера. Для организации с большим количеством пользователей, рекомендуется установить размер кеша в соответсвующем поле в несколько гигабайт. Также, вы можете ограничить размер загружаемого файла в поле "Ограничивать размер ответа" (В мегабайтах). | Эффективность работы кеша зависит от его размера. Для организации с большим количеством пользователей, рекомендуется установить размер кеша в соответсвующем поле в несколько гигабайт. Также, вы можете ограничить размер загружаемого файла в поле "Ограничивать размер ответа" (В мегабайтах). | ||
| Строка 49: | Строка 63: | ||
| Содержимое кеша прокси-сервера можно посмотреть на вкладке "содержимое кеша". Следует отметить, что веб-интерфейс отображает не все содержимое кэша, а только некоторые элементы, такие как изображения. | Содержимое кеша прокси-сервера можно посмотреть на вкладке "содержимое кеша". Следует отметить, что веб-интерфейс отображает не все содержимое кэша, а только некоторые элементы, такие как изображения. | ||
| - | ==== Прозрачный прокси ==== | + | ====Прозрачный прокси== |
| - | {{proxy05.jpg}} | + | {{ics-proxy-settings2.png|Настройки прокси-сервера}} |
| В этом режиме ИКС вместо того, чтобы сразу принимать HTTP-запросы пользователя на порту прокси-сервера, сам перенаправляет их прокси-серверу. Прокси-сервер обрабатывает запрос (с возможной отдачей содержимого из кеша), это содержимое направляется к запросившему пользователю, для которого оно выглядит как «ответ» сервера, к которому адресовался запрос. Таким образом, пользователь может даже не знать, что все запросы и ответы прошли через прокси-сервер. По умолчанию прозрачный прокси перехватывает запросы по 80 порту (HTTP). | В этом режиме ИКС вместо того, чтобы сразу принимать HTTP-запросы пользователя на порту прокси-сервера, сам перенаправляет их прокси-серверу. Прокси-сервер обрабатывает запрос (с возможной отдачей содержимого из кеша), это содержимое направляется к запросившему пользователю, для которого оно выглядит как «ответ» сервера, к которому адресовался запрос. Таким образом, пользователь может даже не знать, что все запросы и ответы прошли через прокси-сервер. По умолчанию прозрачный прокси перехватывает запросы по 80 порту (HTTP). | ||
| Строка 59: | Строка 73: | ||
| Некоторые программы могут негативно реагировать на изменения в пакетах, которые проходят через прокси-сервер. Вы можете прописать ip-адреса или имена сайтов, пакеты до которых не будут обрабатываться прокси-сервером в поле "Исключения для прозрачного прокси". | Некоторые программы могут негативно реагировать на изменения в пакетах, которые проходят через прокси-сервер. Вы можете прописать ip-адреса или имена сайтов, пакеты до которых не будут обрабатываться прокси-сервером в поле "Исключения для прозрачного прокси". | ||
| - | Для того, чтобы настроить [[:https|HTTPS-фильтрацию]], нужно заполнить поле "Сертификат для SSL-фильтрации" ранее созданным корневым сертификатом. Адреса, которые не нужно фильтровать подменным сертификатом, могут быть добавлены в исключения. | + | Для того, чтобы настроить [[https|HTTPS-фильтрацию]], нужно заполнить поле "Сертификат для SSL-фильтрации" ранее созданным корневым сертификатом. Адреса, которые не нужно фильтровать подменным сертификатом, могут быть добавлены в исключения. |
| - | ==== SOCKS5 ==== | + | ====SOCKS5== |
| - | + | ||
| - | {{proxy06.jpg}} | + | |
| **SOCKS** — сетевой протокол, который позволяет клиент-серверным приложениям прозрачно использовать сервисы за межсетевыми экранами. Клиенты за межсетевым экраном, нуждающиеся в доступе к внешним серверам, вместо этого могут соединяться с SOCKS прокси сервером. Такой прокси сервер контролирует права клиента для доступа к внешним ресурсам и передаёт запрос к серверу. SOCKS может использоваться и противоположным способом, разрешая внешним клиентам соединяться с серверами за межсетевым экраном (брандмауэром). | **SOCKS** — сетевой протокол, который позволяет клиент-серверным приложениям прозрачно использовать сервисы за межсетевыми экранами. Клиенты за межсетевым экраном, нуждающиеся в доступе к внешним серверам, вместо этого могут соединяться с SOCKS прокси сервером. Такой прокси сервер контролирует права клиента для доступа к внешним ресурсам и передаёт запрос к серверу. SOCKS может использоваться и противоположным способом, разрешая внешним клиентам соединяться с серверами за межсетевым экраном (брандмауэром). | ||
| Строка 71: | Строка 83: | ||
| Вы можете использовать SOCKS5-сервер, работающий в составе прокси-сервера для авторизации протоколов, отличных от HTTP. По умолчанию порт доступа 1080, вы также можете его изменить. Авторизация на сервере происходит по ip-адресу пользователя, установив соответствующий флажок, вы можете настроить авторизацию по логину/паролю. | Вы можете использовать SOCKS5-сервер, работающий в составе прокси-сервера для авторизации протоколов, отличных от HTTP. По умолчанию порт доступа 1080, вы также можете его изменить. Авторизация на сервере происходит по ip-адресу пользователя, установив соответствующий флажок, вы можете настроить авторизацию по логину/паролю. | ||
| - | ==== Антивирус ==== | + | ==== Антивирус == |
| - | Интернет Контроль Сервер поддерживает сканирование трафика, проходящего через прокси-сервер антивирусом. В версии 4 поддерживается 3 антивирусных модуля: бесплатный ClamAV и платные модули DrWeb и Касперский. Для работы антивируса , необходимо приобрести лицензию и установить её в соответствующем модуле. | + | {{ics-proxy-settings3.png|Настройки прокси-сервера}} |
| + | |||
| + | Интернет Контроль Сервер поддерживает сканирование трафика, проходящего через прокси-сервер антивирусом. В версии 4 поддерживается 3 антивирусных модуля: бесплатный ClamAV и платные модули DrWeb и Касперский. Для работы антивируса , необходимо приобрести лицензию и установить её в соответствующем модуле. | ||
| Для того, чтобы включить антивирусное сканирование веб-трафика каким-либо антивирусным модулем, необходимо включить соответствующую опцию в настройках прокси. Параметр "Максимальный объем для сканирования" определяет максимальный размер файла, единовременно проходящего обработку антивирусом. Файлы, размер которых превышает указанный, сканироваться не будут, что может повысить производительность. | Для того, чтобы включить антивирусное сканирование веб-трафика каким-либо антивирусным модулем, необходимо включить соответствующую опцию в настройках прокси. Параметр "Максимальный объем для сканирования" определяет максимальный размер файла, единовременно проходящего обработку антивирусом. Файлы, размер которых превышает указанный, сканироваться не будут, что может повысить производительность. | ||
| Строка 79: | Строка 93: | ||
| Рекомендуется также включить проверку изображений, поскольку существуют вирусы, распространяющиеся через обычные изображения, однако сканирование изображений значительно увеличивает потребление системных ресурсов антивирусом, что при больших объемах графики способно сильно снизить быстродействие сервера. | Рекомендуется также включить проверку изображений, поскольку существуют вирусы, распространяющиеся через обычные изображения, однако сканирование изображений значительно увеличивает потребление системных ресурсов антивирусом, что при больших объемах графики способно сильно снизить быстродействие сервера. | ||
| - | ==== Разрешённые порты ==== | + | ==== Разрешённые порты == |
| Вы можете указать, к каким портам на внешних серверах можно подключаться через прокси-сервер. Список разрешённых портов для SSL определяет, к каким портам разрешён доступ с использованием метода CONNECT. | Вы можете указать, к каким портам на внешних серверах можно подключаться через прокси-сервер. Список разрешённых портов для SSL определяет, к каким портам разрешён доступ с использованием метода CONNECT. | ||
| - | ==== ICAP ==== | + | ====ICAP== |
| **ICAP** (Internet Content Adaptation Protocol) - протокол расширения для прокси-сервера. В большинстве случаев он используется для сканирования на вирусы проходящего трафика и применения к нему различных контент-фильтров. Вы можете подключить к прокси-серверу ИКС сторонний ICAP-сервер, отметив соответствующий флажок в настройках и указав его адрес. | **ICAP** (Internet Content Adaptation Protocol) - протокол расширения для прокси-сервера. В большинстве случаев он используется для сканирования на вирусы проходящего трафика и применения к нему различных контент-фильтров. Вы можете подключить к прокси-серверу ИКС сторонний ICAP-сервер, отметив соответствующий флажок в настройках и указав его адрес. | ||
| - | Три последних флажка подключают к работе прокси-сервера соответственно, модули [[:dlp|DLP и контент-фильтра]] и | + | Три последних флажка подключают к работе прокси-сервера соответственно, модули [[dlp|DLP и контент-фильтра]] и [[skydns]] |
| - | ===== Автоконфигурация прокси ===== | + | =====Автоконфигурация прокси===== |
| - | + | ||
| - | {{proxy07.jpg}} | + | |
| Для того, чтобы не прописывать вручную прокси-сервер на каждой клиентской машине, вы можете воспользоваться автоконфигуратором. В браузере клиента должна быть выставлена опция "Автоматическая конфигурация прокси", все остальные настройки определит ИКС. | Для того, чтобы не прописывать вручную прокси-сервер на каждой клиентской машине, вы можете воспользоваться автоконфигуратором. В браузере клиента должна быть выставлена опция "Автоматическая конфигурация прокси", все остальные настройки определит ИКС. | ||
| - | [[:ics-proxy-auto.png?id=%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8&media=ics-proxy-auto.png|{{:ics-proxy-auto.png|Автоконфигурация прокси}}]] | + | {{::ics-proxy-auto.png|Автоконфигурация прокси}} |
| Он включается установкой флажка в соответствующей вкладке. Вы можете отметить один или несколько протоколов из доступных (HTTP, HTTPS, FTP). | Он включается установкой флажка в соответствующей вкладке. Вы можете отметить один или несколько протоколов из доступных (HTTP, HTTPS, FTP). | ||
| Строка 103: | Строка 115: | ||
| **Публиковать скрипт автоконфигурации по DHCP** - данный параметр передает настройки прокси всем DHCP-клиентам сервера. | **Публиковать скрипт автоконфигурации по DHCP** - данный параметр передает настройки прокси всем DHCP-клиентам сервера. | ||
| - | ===== Родительский прокси ===== | + | =====Родительский прокси===== |
| - | + | ||
| - | {{proxy08.jpg}} | + | |
| Если в вашей организации несколько проксирующих серверов, расположенных иерархично, то вышестоящий для ИКС прокси-сервер будет являться его **родительским прокси**. Кроме того, в качестве родительского прокси может выступать любой узел сети. | Если в вашей организации несколько проксирующих серверов, расположенных иерархично, то вышестоящий для ИКС прокси-сервер будет являться его **родительским прокси**. Кроме того, в качестве родительского прокси может выступать любой узел сети. | ||
| - | [[:ics-proxy-parent.png?id=%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8&media=ics-proxy-parent.png|{{:ics-proxy-parent.png|Настройки родительского прокси}}]] | + | {{::ics-proxy-parent.png|Настройки родительского прокси}} |
| Чтобы ИКС перенаправлял запросы, приходящие на его прокси-сервер, на родительский прокси, укажите его ip-адрес и порт назначения во вкладке "Родительский прокси". | Чтобы ИКС перенаправлял запросы, приходящие на его прокси-сервер, на родительский прокси, укажите его ip-адрес и порт назначения во вкладке "Родительский прокси". | ||
| Строка 117: | Строка 127: | ||
| Если родительский прокси работает с авторизацией, то в нижеследующих полях укажите логин и пароль для подключения. | Если родительский прокси работает с авторизацией, то в нижеследующих полях укажите логин и пароль для подключения. | ||
| - | ===== Выданные ip-адреса ===== | + | =====Выданные ip-адреса===== |
| В этой вкладке находится список Ip-адресов и пользователей, которые авторизовались на прокси-сервере с использованием веб-авторизации. | В этой вкладке находится список Ip-адресов и пользователей, которые авторизовались на прокси-сервере с использованием веб-авторизации. | ||
| - | ===== Содержимое кэша ===== | + | =====Содержимое кэша===== |
| - | [[:ics-proxy-cache.png?id=%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8&media=ics-proxy-cache.png|{{:ics-proxy-cache.png|Содержимое кэша}}]] | + | {{::ics-proxy-cache.png|Содержимое кэша}} |
| Здесь вы можете просмотреть некоторые элементы веб-страниц (в основном изображения), которые сохранились в кэше, а также очистить его содержимое. | Здесь вы можете просмотреть некоторые элементы веб-страниц (в основном изображения), которые сохранились в кэше, а также очистить его содержимое. | ||
| - | ===== Журнал ===== | + | =====Журнал===== |
| - | {{proxy09.jpg}} | + | {{::ics-proxy-log.png|Журнал}} |
| В закладке «Журнал» находится сводка всех системных сообщений от прокси-сервера. Журнал разделен на страницы, кнопками «вперед» и «назад» вы можете переходить со страницы на страницу, либо ввести номер страницы в поле и переключиться сразу на нее. | В закладке «Журнал» находится сводка всех системных сообщений от прокси-сервера. Журнал разделен на страницы, кнопками «вперед» и «назад» вы можете переходить со страницы на страницу, либо ввести номер страницы в поле и переключиться сразу на нее. | ||
| Строка 138: | Строка 148: | ||
| Журнал всегда отображает события за текущую дату. Чтобы посмотреть события в другой день, выберите нужную дату, используя календарь в левом верхнем углу модуля. | Журнал всегда отображает события за текущую дату. Чтобы посмотреть события в другой день, выберите нужную дату, используя календарь в левом верхнем углу модуля. | ||
| - | |||
| - | |||
прокси.1572608741.txt.gz · Последние изменения: 2020/01/27 16:28 (внешнее изменение)
Инструменты страницы
