SANGFOR_AC_SG_V45_年度初级认证培训11_上网代理

SANGFORSG上网代理技术 SG上网代理功能介绍 名词解释 深信服公司简介 典型应用场景与配置 SG防代理功能介绍和配置 SANGFORSG 上网代理功能介绍 SANGFORSG上网代理功能介绍 SANGFORSG以硬件形式实现代理功能 它能取代ISA Squid BlueCoat等代理服务器 与客户内网环境进行无缝交接 并且在性能 功能 安全 稳定等方面都具有明显的优势 SANGFORSG 2 1 3 4 4 3及以后版本支持代理模式 设备充当代理服务器 支持HTTP代理和SOCKS5代理功能 SANGFORSG上网代理原理 PC SG proxy Server Socks5代理和HTTP代理的原理 名词解释 名词解释 Socks代理 HTTP代理 完全透明代理 二级代理 名词解释 1 Socks代理Socks代理工作在会话层上 只是简单地传递数据包 而不必关心是何种应用协议 比如FTP HTTP 所以Socks代理服务器比应用层代理服务器要快得多 Socks根据版本又分为Socks4和Socks5 其中Socks4只支持代理TCP协议 而Socks5则同时支持代理TCP和UDP协议 2 HTTP代理HTTP工作在应用层上 HTTP代理只支持代理TCP协议 名词解释 3 完全透明代理代理后的连接使用客户端原始IP 使得SG请求服务器资源时使用内网PC的IP而不再是SG设备的IP 以解决SG前存在防火墙的情况下可能拒绝SG上网的情况 4 二级代理即SG设备本身通过代理服务器上网 同时又做为HTTP代理服务器代理内网用户上网 上网代理应用场景与配置 支持代理功能的设备部署模式 1 路由模式2 网桥模式3 单臂代理模式单臂代理模式主要是满足客户内网已有代理服务器做单臂部署 在不改动客户端代理配置的情况下实现无缝交接 在单臂代理模式下 部分功能实现受限 SG上网代理功能配置 网桥模式下 可通过 启用HTTP透明加速 并勾选 地址还原 实现完全透明代理 在 上网加速 下的 代理配置 中 配置SG上网代理 只有在网桥模式下才支持完全透明代理 只有在HTTP显式代理模式下才支持二级代理 配置好代理端口 最多可配置5个端口 若没有勾选 启用缓存加速 则只代理 不加速 在透明代理下 默认启用缓存加速 二级代理配置 设备需通过上一级代理服务器上网的情况下才需配置 勾选 SOCKS5代理 并配置代理端口 最多可配置5个端口 使用SOCKS5代理方式上网则不能被加速 典型使用场景与配置 案例背景 客户网络如图所示 现希望可以添加一台代理设备 对内网用户访问网站做代理 并提高访问网站的速度 且不改变现在有网络环境 典型使用场景与配置 解决方案 此客户的需求我们可以用以下方法来满足 1 可以使用单臂模式或者网桥模式部署 从而不改变现有的网络结构 本案例以单臂模式来讲配置2 开启上网加速 提高访问网站的速度 开启和设置HTTP代理来实现访问网站的代理3 客户端配置HTTP代理 单臂代理模式配置 注 此模式下不支持VPN 不支持VLAN 不支持准入 不支持把DMZ口设置为DHCP的服务接口 不支持SNAT和DNAT HTTP代理配置 开启上网加速 配置HTTP代理 以端口使用3128和8080为例 这里如果不选 即只代理 不加速 客户端HTTP代理配置 SOCK5代理配置 最多支持填写5个代理端口 端口之间用逗号隔开 配置SOCK5代理 代理端口使用1080和8080为例 注意 使用SOCK5代理方式上网 是不能被加速的 客户端SOCK5代理配置 以QQ登陆为例 如果SG设备有采用用户名和密码认证 则这里需要填入用户名密码用于认证 SG代理测试注意事项 1 保证SG设备本身可以上网 若SG不能上网 会导致开启代理后打不开网页 2 保证SG设备到内网PC可以正常通信 3 保证SG设备前面没有流控设备或防火墙对SG设备做了流量控制或连接数控制 否则会导致用户上网慢或根本开不了网页 4 使用代理功能上网 不支持DMZ口重定向环境 5 HTTP代理模式下 原上网加速 排除以下网站 支持仅代理但不缓存 SG代理测试注意事项 6 在单臂代理模式下使用双机热备时 检测网口请设置为eth0 7 经过代理的数据 多线路选路及策略路由不生效 8 支持域单点登录和web单点登录 不再支持pop3单点登录和proxy单点登录 Socks5代理不支持弹出框认证和访问网关页面认证 不支持post认证方式 9 Socks5代理不支持SSL内容识别 HTTP代理支持SSL内容识别 代理控制 SG防代理功能介绍和应用场景 通过代理 本来没有权限上网的用户便可以获得代理服务器的上网权限 访问不应该访问的资源 如果代理服务器在SG内网区域 多台机器通过同一个账号共享上网 SG还不能真实记录和控制每个用户的上网行为 那么该如何解决呢 代理上网有如下几种实现方式 1 通过HTTP代理或SOCKS代理的方式上网2 安装代理客户端如CCPROXY等上网3 内网用户私自接小路由器NAT代理上网 或者通过双网卡电脑共享上网 场景一代理服务器在SGWAN区域 1 如果是使用HTTP代理或者SOCKS代理 则可通过上网权限策略的代理控制功能 禁止内网用户通过HTTP代理和SOCKS代理上网 如下图 场景一代理服务器在SGWAN区域 对象设置中禁用代理软件的规则 在准入策略中选择禁用代理软件的规则并关联给用户 组 2 如果是使用CCPROXY等代理工具 则可通过启用准入策略 禁止内网用户通过代理工具上网 如下图 场景二代理服务器在SGLAN区域 1 如果代理服务器在SGLAN区域 或者私接小路由器NAT代理上网 或者通过双网卡电脑共享上网 这些情况通过SG的数据包没有代理字段 无法直接通过封堵代理协议禁止代理 需要启用 防共享上网检测 场景二代理服务器在SGLAN区域 测试步骤1 建立一条上网权限策略 启用防共享上网检测 将策略关联给测试用户 代理内网其他用户上网的电脑或者服务器 场景二代理服务器在ACLAN区域 测试步骤在两台通过代理服务器 或者通过NAT 或者通过共享网卡上网 上网的电脑上同时登陆QQ客户端 并使用QQ客户端5分钟左右 5分钟之后打开网页 有共享上网的提示 说明AC已检测到内网有代理 数据中心 日志查询 上网行为 防共享上网日志 可以查看到对应的记录 SG防代理功能说明及注意事项 说明 从SG4 3开始防共享上网通过QQ客户端 360安全卫士 迅雷客户端及搜狗拼音和服务器交互的特征值来判断终端是否通过代理上网 其它软件测试方法参考渠道技术论坛的专题文档 防代理测试指导书 注意事项 开启防共享上网检测功能后 需测试5分钟才看到防代理检测效果 需要保证PC与设备的正常通信 如果内网用户通过SG设备自身的代理功能上网 则不会被防共享上网功能封锁 练练手 某公司为保证内网用户上网安全 要求所有应用均通过代理上网 应该如何设置满足客户的需求呢 您有什么样的方案能满足客户