Прокси
Используется для прозрачного проксирования веб-трафика потребителям в локальной сети.
Last updated
Используется для прозрачного проксирования веб-трафика потребителям в локальной сети.
Last updated
Название службы раздела Прокси: ideco-proxy-backend; squid.
Список служб для других разделов доступен по ссылке.
Прокси-сервер, помимо проксирования веб-трафика, используется для передачи трафика следующим сервисам:
Антивирус для веб-трафика (Антивирус Касперского или ClamAV);
Сервис отчетности по веб-трафику пользователей;
Контент-фильтр.
Порядок обработки веб-трафика подробнее описан в статье.
Не указывайте на хостах локальной сети настройки прокси. Достаточно указания NGFW в качестве шлюза по умолчанию для устройств в сети.
Для настройки фильтрации HTTPS-трафика нужно добавить корневой сертификат NGFW на компьютеры пользователей. Подробнее в статье Настройка фильтрации HTTPS.
При использовании Ideco NGFW в качестве прокси-сервера с прямыми подключениями к прокси большинство функций будет работать с некоторыми особенностями:
В правилах Файрвола для пользователей необходимо указывать цепочки INPUT вместо FORWARD;
Глубокий анализ трафика системой предотвращения вторжений и модулем контроля приложений будет осуществляться только для трафика, проходящего через прокси-сервер (часть правил работать не будет);
Исключения из прокси-сервера необходимо делать средствами браузера или правилами маршрутизации на конечных устройствах. Настройки в разделе Сервисы -> Прокси -> Исключения применяются только для прозрачного режима работы прокси-сервера.
На вкладке Основное предоставлены возможности:
Разрешить прямые подключения к прокси Этот режим применяется, когда Ideco NGFW не является шлюзом по умолчанию для клиентов сети. Порт, указанный на стороне NGFW, следует указать на сетевых устройствах локальной сети, веб-трафик которых нужно пропускать через прокси.
О настройке прямого подключения к прокси и прокси с одним интерфейсом читайте в статье.
Протокол ICAP используется для отправки HTTP(S)-трафика в расшифрованном виде сторонним серверам. ICAP-сервисы будут обрабатывать трафик после антивирусов и контент-фильтра.
При добавлении ICAP-сервиса доступны следующие настройки:
Игнорировать ошибки - если включена эта опция, то сервис будет считаться необязательным. При недоступности или неправильной работе сервиса он не будет задействован.
Задать количество подключений к сервису вручную - если значение не задано, максимальное количество подключений берется из ответа сервиса на запрос OPTIONS. Если максимальное количество подключений не указано в ответе на запрос OPTIONS, тогда - без ограничений.
Если указать в опции Задать количество подключений к сервису вручную значение меньше четырех, то клиентские подключения могут быть нестабильными.
Для корректной работы ICAP-сервиса должна быть настроена расшифровка HTTPS-трафика в Контент-фильтре.
Протокол WCCP используется для перенаправление веб-трафика на прокси-серверы.
Трафик, отличающийся от HTTP/HTTPS, не перенаправляется на Ideco NGFW. Веб-запросы обрабатываются роутером в соответствии с уровнем WCCP.
Для активации WCCP переведите опцию Включить перенаправление трафика c WCCP-серверов на Ideco NGFW в положение Включен. Ideco NGFW запустит процесс согласования параметров с WCCP-сервером.
В NGFW предусмотрено два режима работы WCCP - L2 и GRE. Для выбора режима раскройте блок Настройки. Если на WCCP-сервере задан пароль, сохраните его в соответствующем поле:
Если роутер использует несколько Ideco NGFW, настройте распределение трафика с помощью указания приоритета в поле Вес. Допустимые значения - от 1 до 10000.
Для добавления WCCP-сервера нажмите кнопку Добавить и укажите IP-адрес сервера:
Исключения ресурсов из обработки прокси-сервером работают только для прозрачного режима прокси. При прямых подключениях к прокси-серверу исключить что-либо из обработки прокси нельзя.
Подробнее о типах исключений в статье Исключения.
Включить журналирование Включает запись логов Контент-фильтра и Антивирусов веб-трафика.
