Comment on page
Прокси
Используется для прозрачного проксирования веб-трафика потребителям в локальной сети.
Название службы раздела Прокси:
ideco-proxy-backend
; squid
.
Список служб для других разделов доступен по ссылке.Прокси-сервер, помимо проксирования веб-трафика, используется для передачи трафика следующим сервисам:
- Антивирус для веб-трафика (Антивирус Касперского или ClamAV);
- Сервис отчетности по веб-трафику пользователей;
- Контент-фильтр.
На хостах локальной сети не нужно явно указывать настройки прокси. Достаточно указания UTM в качестве шлюза по умолчанию для устройств в сети.
Для настройки фильтрации HTTPS-трафика нужно добавить корневой сертификат UTM на компьютеры пользователей. Подробнее в статье Настройка фильтрации HTTPS.

На вкладке Основное предоставлены возможности:
- Включить кэширование трафика на диск По умолчанию кэширование трафика на диск отключено, но оно осуществляется в оперативной памяти сервера. Не рекомендуется включать эту опцию из-за излишней нагрузки на дисковую подсистему.
- Разрешить прямые подключения к прокси Данный режим применяется в случае, когда Ideco UTM не является шлюзом по умолчанию для клиентов сети. Порт, указанный на стороне UTM, следует указать на сетевых устройствах локальной сети, веб-трафик которых нужно пропускать через прокси.
- Включить журналирование Включает запись логов Контент-фильтра и Антивирусов веб-трафика.

Протокол ICAP используется для отправки HTTP(S)-трафика в расшифрованном виде сторонним серверам. ICAP-сервисы будут обрабатывать трафик после антивирусов и контент-фильтра.
При добавлении ICAP-сервиса доступны следующие настройки:
- Игнорировать ошибки - если включена эта опция, то сервис будет считаться необязательным. При недоступности или неправильной работе сервиса он не будет задействован.
- Задать количество подключений к сервису вручную - если значение не задано, максимальное количество подключений берется из ответа сервиса на запрос OPTIONS. Если максимальное количество подключений не указано в ответе на запрос OPTIONS - тогда без ограничений.

Для корректной работы ICAP-сервиса должна быть настроена расшифровка HTTPS-трафика в Контент-фильтре.
Протокол WCCP используется для перенаправление веб-трафика на прокси-сервера.
Трафик, отличающийся от HTTP/HTTPS, не перенаправляется на Ideco UTM. Веб-запросы обрабатываются роутером в соответствии с уровнем WCCP.
Для активации WCCP переведите опцию Включить перенаправление трафика c WCCP-серверов на Ideco UTM в положение Включен. Ideco UTM запустит процесс согласования параметров с WCCP-сервером.
В UTM предусмотрено два режима работы WCCP - L2 и GRE. Для выбора режима раскройте блок Настройки.
Если на WCCP-сервере задан пароль, сохраните его в соответствующем поле:

Если роутер использует несколько Ideco UTM, настроить распределение трафика можно с помощью указания приоритета в поле Вес. Допустимые значения от 1 до 10000.
Для добавления WCCP-сервера нажмите Добавить в левом верхнем углу и укажите IP-адрес сервера:

Режим L2 используется, если роутер и Ideco UTM находятся в одном сетевом сегменте.

Последовательность обработки веб-запросов на уровне L2:
- Пользователь отправляет веб-запрос;
- Запрос перенаправляется роутером на Ideco UTM;
- Ideco UTM обрабатывает запрос.
- Если запрос заблокирован, информация о блокировке отправляется обратно пользователю.
- Если запрос не заблокирован, то Ideco UTM подменяет IP-адрес источника и направляет запрос на внешний сервер.
Ответ возвращается обратно по тому же пути, по которому уходил на внешний сервер.
Режим GRE используется, если роутер и Ideco UTM находятся в разных сетевых сегментах.

Последовательность обработки веб-запросов на уровне GRE:
- Пользователь отправляет веб-запрос;
- Запрос перенаправляется по GRE-туннелю на Ideco UTM;
- Ideco UTM обрабатывает запрос.
- Если запрос заблокирован, то информация о блокировке отправляется обратно пользователю.
- Если запрос не заблокирован, то Ideco UTM подменяет IP-адрес источника и направляет запрос на внешний сервер.
Ответ возвращается через WCCP-роутер, минуя Ideco UTM и GRE-туннель.
Исключения ресурсов из обработки прокс и-сервером работают только для прозрачного режима прокси. При прямых подключениях к прокси-серверу исключить что-либо из обработки прокси нельзя.
Last modified 4mo ago