Инструменты пользователя

Инструменты сайта


ics70:proxy

Прокси

Стартовая страница модуля

Прокси-сервер — служба, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо веб-ресурс, расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (если кто-то из клиентов уже обращался к этому ресурсу). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях.

proxy01.jpg

Также, прокси-сервер позволяет анализировать проходящие через сервер HTTP-запросы клиентов, выполнять фильтрацию и учёт трафика по URL и mime-типам. Кроме этого, прокси-сервер реализует механизм доступа в интернет по логину/паролю.

Прокси-сервер выполняет кеширование объектов, полученных пользователями из интернета и за счёт этого сокращает потребление трафика и увеличивает скорость загрузки страниц.

При входе в модуль отображается состояние служб, кнопка «Выключить» (или «Включить» если модуль выключен) и последние сообщения в журнале.

Настройки

proxy02.png

proxy03.jpg

proxy04.jpg

Обычно для работы через прокси-сервер, необходимо указать его адрес и порт в настройках браузера. Однако, в случае если не используется авторизация пользователей по логину/паролю, то можно использовать функцию прозрачного прокси.

При этом все запросы по протоколу HTTP из локальной сети автоматически направляются через прокси-сервер. Таким образом появляется возможность фильтрации и учёта трафика по URL независимо от настроек клиентских компьютеров.

Порт работы прокси-сервера по умолчанию 3128, в настройке модуля вы можете изменить его на любой свободный порт.

Типы авторизации

Прокси-сервер ИКС поддерживает три способа авторизации по: логину/паролю ИКС, через домен, Kerberos.

Авторизация по логину/паролю ИКС. Если выбран данный тип авторизации, то Пользователь, при обращении на порт прокси-сервера, будет авторизован в зависимости от указанного порядка авторизации (либо по IP, либо по логину/паролю заведенному на ИКС).

Авторизаия через домен (NTLM). Если выбран данный тип авторизации, то Пользователи должны быть импортированы и настроено сетевое окружение. В данном случае авторизация будет выполнена прозрачно, без запроса логина/пароля.

Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси, и во всех программах, обращающихся в интернет, необходимо прописывать адрес прокси-сервера.

Авторизация через Kerberos. Если выбран данный тип авторизации, то необходимо добавить перенаправление DNS-зоны домена на IP адрес одного или нескольких контроллеров домена или ИКС должен использовать контроллер домена как единственный днс сервер (настройки провайдера). А также адрес прокси сервера ИКС должен быть прописан в браузре как имя под которым ИКС введен в домен (например ics.company.ru). По IP работать не будет.

Кроме того, если Пользователь не прошел kerberos авторизацию ему будет предложено ввести логин/пароль для ldap авторизаци. Стоит отметить, что если не используется ldaps (ldap с сертификатом), то пароль при авторизации будет передаваться в открытом виде.

Кеширование страниц

Прокси-сервер выполняет кеширование веб-страниц и объектов, которые пользователи скачивают из интернета. Таким образом экономится интернет-трафик и увеличивается скорость доступа к веб-страницам.

Эффективность работы кеша зависит от его размера. Для организации с большим количеством пользователей, рекомендуется установить размер кеша в соответсвующем поле в несколько гигабайт. Также, вы можете ограничить размер загружаемого файла в поле «Ограничивать размер ответа» (В мегабайтах).

Опция «Скрывать ip-адрес пользователя» позволяет отключить указание в отправляемом заголовке внутреннего ip-адреса пользователя (параметр forwarded_for).

Содержимое кеша прокси-сервера можно посмотреть на вкладке «содержимое кеша». Следует отметить, что веб-интерфейс отображает не все содержимое кэша, а только некоторые элементы, такие как изображения.

«Сообщение о запрете доступа». Позволяет изменить текст выводимого сообщения Пользователю по умолчанию на произвольный, при блокировке трафика прокси сервером. В случае необходимости изменить дополнительные поля страницы блокировки, необходимо нажать на «Редактировать HTML страницы запрета доступа» и изменить необходимые поля HTML страницы. Если необходимо вставить изображение, на страницу, то используйте метод data:URI.

Прозрачный прокси

В этом режиме ИКС вместо того, чтобы сразу принимать HTTP-запросы пользователя на порту прокси-сервера, сам перенаправляет их прокси-серверу. Прокси-сервер обрабатывает запрос (с возможной отдачей содержимого из кеша), это содержимое направляется к запросившему пользователю, для которого оно выглядит как «ответ» сервера, к которому адресовался запрос. Таким образом, пользователь может даже не знать, что все запросы и ответы прошли через прокси-сервер. По умолчанию прозрачный прокси перехватывает запросы по 80 порту (HTTP).

Вы можете включить или отключить прозрачное проксирование DMZ и локальных сетей, отметив соответствующие флажки в настройках. По умолчанию DMZ сети не проксируются, а локальные проксируются.

Некоторые программы могут негативно реагировать на изменения в пакетах, которые проходят через прокси-сервер. Вы можете прописать ip-адреса или имена сайтов, пакеты до которых не будут обрабатываться прокси-сервером в поле «Исключения для прозрачного прокси».

Для того, чтобы настроить HTTPS-фильтрацию, нужно заполнить поле «Сертификат для SSL-фильтрации» ранее созданным корневым сертификатом. Адреса, которые не нужно фильтровать подменным сертификатом, могут быть добавлены в исключения.

SOCKS5

SOCKS — сетевой протокол, который позволяет клиент-серверным приложениям прозрачно использовать сервисы за межсетевыми экранами. Клиенты за межсетевым экраном, нуждающиеся в доступе к внешним серверам, вместо этого могут соединяться с SOCKS прокси сервером. Такой прокси сервер контролирует права клиента для доступа к внешним ресурсам и передаёт запрос к серверу. SOCKS может использоваться и противоположным способом, разрешая внешним клиентам соединяться с серверами за межсетевым экраном (брандмауэром).

В отличие от HTTP прокси серверов, SOCKS передаёт все данные от клиента, ничего не добавляя от себя, то есть с точки зрения конечного сервера, SOCKS прокси является обычным клиентом. SOCKS более универсален — не зависит от конкретных протоколов уровня приложений (7-го уровня модели OSI) и базируется на стандарте TCP/IP — протоколе 4-го уровня. Зато HTTP прокси кэширует данные и может более тщательно фильтровать содержимое передаваемых данных.

Вы можете использовать SOCKS5-сервер, работающий в составе прокси-сервера для авторизации протоколов, отличных от HTTP. По умолчанию порт доступа 1080, вы также можете его изменить. Авторизация на сервере происходит по ip-адресу пользователя, установив соответствующий флажок, вы можете настроить авторизацию по логину/паролю.

Антивирус

Интернет Контроль Сервер поддерживает сканирование трафика, проходящего через прокси-сервер антивирусом. В версии 4 поддерживается 3 антивирусных модуля: бесплатный ClamAV и платные модули DrWeb и Касперский. Для работы антивируса , необходимо приобрести лицензию и установить её в соответствующем модуле.

Для того, чтобы включить антивирусное сканирование веб-трафика каким-либо антивирусным модулем, необходимо включить соответствующую опцию в настройках прокси. Параметр «Максимальный объем для сканирования» определяет максимальный размер файла, единовременно проходящего обработку антивирусом. Файлы, размер которых превышает указанный, сканироваться не будут, что может повысить производительность.

Рекомендуется также включить проверку изображений, поскольку существуют вирусы, распространяющиеся через обычные изображения, однако сканирование изображений значительно увеличивает потребление системных ресурсов антивирусом, что при больших объемах графики способно сильно снизить быстродействие сервера.

Разрешённые порты

Вы можете указать, к каким портам на внешних серверах можно подключаться через прокси-сервер. Список разрешённых портов для SSL определяет, к каким портам разрешён доступ с использованием метода CONNECT.

ICAP

ICAP (Internet Content Adaptation Protocol) - протокол расширения для прокси-сервера. В большинстве случаев он используется для сканирования на вирусы проходящего трафика и применения к нему различных контент-фильтров. Вы можете подключить к прокси-серверу ИКС сторонний ICAP-сервер, отметив соответствующий флажок в настройках и указав его адрес.

Три последних флажка подключают к работе прокси-сервера соответственно, модули DLP и контент-фильтра и skydns

Автоконфигурация прокси

Для того, чтобы не прописывать вручную прокси-сервер на каждой клиентской машине, вы можете воспользоваться автоконфигуратором. В браузере клиента должна быть выставлена опция «Автоматическая конфигурация прокси», все остальные настройки определит ИКС.

proxy05.jpg

Он включается установкой флажка в соответствующей вкладке. Вы можете отметить один или несколько протоколов из доступных (HTTP, HTTPS, FTP).

Опция публикации скрипта автонастройки определяет, будет ли он доступен по ip-адресу сервера либо по созданному виртуальному хосту с доменным именем. При выборе виртуального хоста, он автоматически создастся в системе. Флажок «Создать запись на ДНС-сервере» автоматически добавит зону с нужными записями для этого виртуального хоста.

Публиковать скрипт автоконфигурации по DHCP - данный параметр передает настройки прокси всем DHCP-клиентам сервера.

Родительский прокси

Если в вашей организации несколько проксирующих серверов, расположенных иерархично, то вышестоящий для ИКС прокси-сервер будет являться его родительским прокси. Кроме того, в качестве родительского прокси может выступать любой узел сети.

proxy06.jpg

Чтобы ИКС перенаправлял запросы, приходящие на его прокси-сервер, на родительский прокси, укажите его ip-адрес и порт назначения во вкладке «Родительский прокси».

Прокси-сервера могут обмениваться данными своих кэшей по протоколу ICP. В случае работы сети через несколько прокси это может значительно ускорить работу. Если родительский прокси поддерживает работу протокола, отметьте соответствующий флажок и укажите порт работы службы (по умолчанию 3130).

Если родительский прокси работает с авторизацией, то в нижеследующих полях укажите логин и пароль для подключения.

Исключения для авторизации

proxy07.png

Данная вкладка служит для настройки прокси сервера таким образом, чтобы он не требовал авторизации при: обработке запросов с определенного хоста в сети и/или при обращении на определенный хост. В основном окне отображаются кнопки «Добавить» и «Удалить», соответственно для добавления и удаления информации об исключениях для авторизации в прокси сервере. А также таблица, содержащая наборы исключений. При добавлении исключения доступны следующие поля:

  • «Источник». Позволяет задать в качестве источника трафика IP-адрес или сеть, для которых не будет производиться аутентификация в прокси сервере. Это приведет к тому, что трафик идущий с указанных IP-адреса или сети не будет учитываться в статистике за определенными Пользователями. Но будет учитываться в общей статистике.
  • «Назначение». В качестве назначения возможно указывать: IP-адрес; IP/mask; имя домена (например, ya.ru); поддомены исключая основной домен (например, “.google.com” – при обращении на drive.google.com авторизация не будет запрошена, но при обращении на google.com будет запрошена авторизация); регулярное выражение в формате - /regex/gi (например, /.*.ai.\.ru/gi - разрешит домен mail.ru и его поддомены). Правила для заполнения данного поля также распространяются на поля содержащие URL, при создании запрещающего, разрешающего правила или исключения прокси.
  • «Описание». Позволяет задать произвольное описание для создаваемого правила.
  • «Выкл.». Позволяет выключить созданное правило.

Содержимое кэша

proxy08.jpg

Здесь вы можете просмотреть некоторые элементы веб-страниц (в основном изображения), которые сохранились в кэше, а также очистить его содержимое.

Журнал

proxy09.jpg

В закладке «Журнал» находится сводка всех системных сообщений от прокси-сервера. Журнал разделен на страницы, кнопками «вперед» и «назад» вы можете переходить со страницы на страницу, либо ввести номер страницы в поле и переключиться сразу на нее.

Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом, сообщения о состоянии системы (включение/выключение, обработка кэша) - зеленым, ошибки - красным.

В правом верхнем углу модуля находится строка поиска. С ее помощью вы можете искать в журнале нужные вам записи.

Журнал всегда отображает события за текущую дату. Чтобы посмотреть события в другой день, выберите нужную дату, используя календарь в левом верхнем углу модуля.

ics70/proxy.txt · Последние изменения: 2020/07/02 11:08 — misha