年度渠道初级认证培训09-上网代理部分-0428

1、SANGFOR SG上网代理技术培训内容培训目标SG上网代理功能介绍1. 了解SG支持的代理类型2. 了解SOCKS5和HTTP代理的工作原理名词解释1.了解SOCKS代理, HTTP代理，完全透明代理，二级代理的含义上网代理功能配置1. 掌握上网代理功能支持的部署模式2. 掌握单臂代理模式的配置方法3. 掌握SOCKS5代理和HTTP代理的配置方法4. 了解上网代理功能的测试注意事项SG 上网代理功能引见名词解释深服气公司简介典型运用场景与配置SG 防代理功能引见和配置SANGFOR SG 上网代理功能引见SANGFOR SG上网代理功能引见 SANGFOR SG以硬件方式实现代理功能，它能

2、取代ISA、Squid、BlueCoat等代理效力器，与客户内网环境进展无缝交接，并且在性能、功能、平安、稳定等方面都具有明显的优势。 SANGFOR SG 2.1和SG3.4版本支持代理方式，设备充任代理效力器。支持HTTP代理和SOCK5代理功能。SANGFOR SG上网代理原理PCSG (proxy)Server Socks5代理和HTTP代理的原理名词解释名词解释 Socks代理 HTTP代理完全透明代理 二级代理名词解释1、Socks代理 Socks代理任务在会话层上，只是简单地传送数据包，而不用关怀是何种运用协议比如FTP、，所以Socks代理效力器比运用层代理效力器要快得多。 S

3、ocks根据版本又分为Socks4和Socks5，其中Socks4只支持代理TCP协议，而Socks5那么同时支持代理TCP和UDP协议。2、HTTP代理 HTTP任务在运用层上，HTTP代理只支持代理TCP协议。名词解释3、完全透明代理 代理后的衔接运用客户端原始IP，使得SG恳求效力器资源时运用内网PC的IP而不再是SG设备的IP，以处理SG前存在防火墙的情况下能够回绝SG上网的情况。4、二级代理 即SG设备本身经过代理效力器上网，同时又做为HTTP代理效力器代理内网用户上网。 上网代理运用场景与配置支持代理功能的设备部署方式1、路由方式2、网桥方式3、单臂代理方式单臂代理方式主要是满足客

4、户内网已有代理效力器做单臂部署，在不改动客户端代理配置的情况下实现无缝交接。在单臂代理方式下，部分功能实现受限。SG上网代理功能配置网桥方式下，可经过【启用HTTP透明加速】，并勾选【地址复原】，实现完全透明代理 在【上网加速】下的【代理配置】中，配置SG上网代理。只需在网桥方式下才支持完全透明代理；只需在HTTP显式代理方式下才支持二级代理。配置好代理端口，最多可配置5个端口。假设没有勾选【启用缓存加速】，那么只代理，不加速，在透明代理下，默许启用缓存加速二级代理配置：设备需经过上一级代理效力器上网的情况下才需配置勾选【SOCKS5代理】并配置代理端口，最多可配置5个端口，运用SOCKS5代

5、理方式上网那么不能被加速典型运用场景与配置案例背景客户网络如下图，现希望可以添加一台代理设备，对内网用户访问网站做代理，并提高访问网站的速度，且不改动如今有网络环境。典型运用场景与配置处理方案此客户的需求我们可以用以下方法来满足：1、可以运用单臂方式或者网桥方式部署，从而不改动现有的网络构造。本案例以单臂方式来讲配置2、开启上网加速，提高访问网站的速度。开启和设置HTTP代理来实现访问网站的代理3、客户端配置HTTP代理单臂代理方式配置注：此方式下不支持VPN、不支持VLAN、不支持准入、不支持把DMZ口设置为DHCP的效力接口、不支持SNAT和DNAT。HTTP代理配置开启上网加速，配置HT

6、TP代理，以端口运用3128和8080为例。这里假设不选，即只代理，不加速客户端HTTP代理配置SOCK5代理配置最多支持填写5个代理端口，端口之间用逗号隔开配置SOCK5代理，代理端口运用1080和8080为例。留意：运用SOCK5代理方式上网，是不能被加速的。客户端SOCK5代理配置 以QQ登陆为例：假设SG设备有采用用户名和密码认证，那么这里需求填入用户名密码用于认证SG代理测试本卷须知1、保证SG设备本身可以上网，假设SG不能上网，会导致开启代理后打不开网页。2、保证SG设备到内网PC可以正常通讯。3、保证SG设备前面没有流控设备或防火墙对SG设备做了流量控制或衔接数控制，否那么会导致

7、用户上网慢或根本开不了网页。4、运用代理功能上网，不支持DMZ口重定向环境。5、HTTP代理方式下，原上网加速“排除以下网站支持仅代理但不缓存；SG代理测试本卷须知6、在单臂代理方式下运用双机热备时，检测网口请设置为eth0。7、经过代理的数据，多线路选路及战略路由不生效。8、支持域单点登录和web单点登录，不再支持pop3单点登录和proxy单点登 录；Socks5代理不支持弹出框认证和访问网关页面认证；不支持post认证方式。9、Socks5代理不支持SSL内容识别，HTTP代理支持SSL内容识别。 SG防代理功能引见和运用场景SG防代理功能引见和运用场景 SG防代理功能运用背景：经过代理

8、，可以实现多台机器经过同一个账号共享上网。 假设内网用户经过代理效力器上网，本来没有权限上网的用户便可以经过代理来上网，访问不应该访问的资源，绕过AC的管控。 代理上网有如下几种实现方式： 1. 经过HTTP代理或SOCKS代理的方式上网 2. 安装代理客户端如CCPROXY等上网 3. 内网用户私自接小路由器NAT代理上网，或者经过双网卡电脑共享上网。SG防代理功能引见和运用场景 SG防代理功能适用于一切代理效力器在设备 LAN口和内网用户经过小路由器NAT上网的环境。 对于代理效力器在公网的情况，可经过上网权限的代理控制“制止运用HTTP代理，“制止运用SOCKS4和SOCKS5代理进展封

9、堵，或者在准入规那么中经过禁用代理软件进展封堵。经过上网权限封堵经过准入规那么封堵SG防代理功能的设置 新增上网权限战略并关联给用户，“代理控制 下启用代理检测，并启用封锁。点击配置代理检测假设只开启代理检测，不启用封锁，那么只会在数据中心记录用户经过代理上网的日志，不会封锁用户上网。SG防代理功能本卷须知开启防代理检测功能后，默许配置下需10分钟才看到防代理检测效果。如需更改，请修正代理时间检测间隔。假好像一个用户运用2种操作系统或者同时运用3种阅读器上网，那么会被设备判别为经过代理上网。 需求保证PC与设备的正常通讯。假设只开启代理检测，不开启封锁，那么只会在数据中心记录经过代理上网的日志，不会封锁用户上网。假设内网用户经过SG设备本身的代理功能上网，那么不会被防代理功能封锁。练练手 某公司为保证内网用户上网平安，要求一切运用均经过代理上网，应该如何设置满足客户的需求呢？您有什么样的