Настройка веб-прокси

Базовые настройки веб-прокси

Для осуществления базовой настройки веб-прокси проделайте следующие действия:

Включение / выключение веб-прокси

Для включения веб-прокси пройдите в раздел Службы -> Веб-прокси -> Администрирование, вкладка General Proxy Settings, установите флажок Включить прокси и нажмите Применить.

_images/proxy_settings_enable_flag1.png

По умолчанию, веб-прокси привязывается к IP-адресу, назначенному LAN-интерфейсу, и к порту 3128.


Настройка метода аутентификации на веб-прокси

Веб-прокси поддерживает ряд методов аутентификации:

  • Без аутентификации
  • Аутентификация по локальной базе пользователей
  • Аутентификация по LDAP
  • Аутентификация по RADIUS
  • Аутентификация по Kerberos
  • Смешанная аутентификация с привязкой к IP-адресу и/или MAC-адресу

Используемый метод активации выбирается в разделе Службы -> Веб-прокси -> Администрирование, вкладка Forward Proxy, пункт меню Authentication Settings, поле Метод аутентификации. На скриншоте демонстируется выбор аутентификации по локальной базе пользователей.

_images/proxy_settings_auth.png

Для настройки нужного метода аутентификации обратитесь к инструкции Аутентификация на веб-прокси.


Изменение интерфейсов веб-прокси

Для того, чтобы поменять интерфейсы, на которых запускается веб-прокси, кликните на вкладку Forward прокси и выберите пункт меню General Forward Settings. В поле Интерфейсы прокси, добавьте / удалите нужные интерфейсы и нажмите Применить.

_images/proxy_settings_interfaces.png

Изменение порта веб-прокси

По умолчанию, веб-прокси слушает порт 3128. Для того чтобы поменять данную настройку, кликните на вкладку Forward прокси, выберите пункт меню General Forward Settings, пропишите порт в поле Порт прокси и нажмите Применить.

_images/proxy_settings_port.png

Включение кеширования

Кликните на вкладку General Proxy Settings, выберите пункт меню Local Cache Settings, установите флаг Включить локальный кэш и нажмите Применить.

В расширенных настройках, можно изменить размер кеша, структуру папок, максимальный размер объекта в кэше. Настройки по умолчанию подходят для обычной навигации по вебу и предполагают кэш размером 100 МБ и 4 МБ для максимального размера объекта.

_images/proxy_settings_advanced_cache.png

Настройка проксирования FTP

Кликните на стрелку рядом со вкладкой Forward прокси для отображения выпадающего меню. Далее, Настройки FTP-прокси, где выбираем один или несколько интерфейсов в поле Интерфейсы FTP-прокси и жмем Применить.

_images/proxy_settings_ftp1.png

Примечание

FTP-прокси будет работать только если сам прокси-сервер включен. FTP-прокси обрабатывает только незашифрованный FTP-трафик.

Прозрачное проксирование

Прокси-сервер Traffic Inspector Next Generation поддерживает работу в прозрачном режиме. Смысл прозрачного проксирования заключается в том, что пользователи не имеют явных настроек на веб-прокси, тем не менее их трафик все равно будет перехвачен и попадет на веб-прокси.

Для настройки прозрачного проксирования осуществите следующие действия:

Настройки прокси

Пройдите в Службы -> Веб прокси -> Администрирование. Затем, на вкладке Forward прокси, выберите Общие настройки.

Устновите флажок Включить прозрачный HTTP-прокси и нажмите Применить.

_images/proxy_settings_enable_transparent.png

Содание правила NAT / Firewall для перенаправления HTTP-трафика

Перенаправление на веб-прокси достигается за счет использования правил межсетевого экрана. Самый простой способ добавить правило NAT / Firewall – это кликнуть на иконку (i), находящуюся слева от настройки Включить прозрачный HTTP-прокси, и затем на ссылку Добавить новое правило сетевого экрана.

Правило должно иметь следующие настройки:

   
Интерфейс LAN
Протокол TCP
Источник LAN сеть
Диапазон портов источника Любой - любой
Назначение Любой
Диапазон портов назначения HTTP - HTTP
Адрес перенаправления 127.0.0.1
Порт перенаправления 3128
Описание Перенаправление трафика на прокси
Зеркальный NAT Включить (чистый NAT)
Ассоцированное правило сетевого экрана Добавить ассоциированное правило

Кликните Сохранить и, затем, Применить изменения.

Перехват и дешифровка HTTPS-соединений (SSL Bump)

Все больше и больше веб-сайтов используют технологию HTTPS. В рамках данной технологии, трафик, которым обменивается браузер и веб-сервер, шифруется с помощью криптографического протокола SSL / TLS.

Для пользователя, данный факт означает конфиденциальность и безопасность, для системного администратора – дополнительную головную боль и невозможность контролировать данные, передаваемые в рамках зашифрованных соединений.

Для решения данной проблемы, Traffic Inspector Next Generation оснащен функционалом для перехвата и дешифровки HTTPS-трафика. Это значит, что Traffic Inspector Next Generation сможет применять URL-фильтрацию даже для защищенного трафика.

Перехват HTTPS-соединений основывается на атаке типа man-in-the-middle, поэтому используйте этот функционал только, если вы действительно понимаете, что делаете, и если политика вашей организации позволяет доступ к конфиденциальным данным пользователей. Может оказаться полезным отключить механизм SSL Bump для некоторых сервисов (например, сервисов электронного банкинга).

Для настройки перехвата HTTPS-соединений осуществите следующие действия:

Создание центра сертификации для нужд SSL Bump

Прежде всего, нужно создать центр сертификации. Пройдите в Система -> Доверенные сертификаты -> Полномочия.

Кликните на ссылку Добавить или импортировать ЦС в верхнем правом углу экрана для создания нового ЦС.

В нашем примере мы используем следующие настройки:

   
Описание TING CA
Метод Создать внутренний ЦС
Длина ключа (биты) 2048
Digest алгоритм SHA256
Срок жизни (дней) 356
Код страны RU (Россия)
Область МО
Город Коломна
Организация TING
Email адрес spam@smart-soft.ru
Простое имя ting-ca

Сохраните настройки.


Включение SSL Bump

Пройдите в Службы -> Веб-проксир -> Администрирование. Затем, на вкладке Forward прокси, выберите General Proxy Settings.

Установите флажок Включить режим SSL, и в качестве ЦС выберите ранее созданный ЦС.

_images/enable_ssl_bump.png

Нажмите Применить.


Правило NAT / Firewall для перенаправления HTTPS-трафика

Самый простой способ добавить правило NAT / Firewall – это кликнуть на иконку (i), находящуюся слева от настройки Включить режим SSL, и затем на ссылку Добавить новое правило сетевого экрана.

_images/intercept_rule.png

Правило должно иметь следующие настройки:

   
Интерфейс LAN
Протокол TCP
Источник LAN net
Диапазон портов источника Любой - любой
Назначение Любой
Диапазон портов назначения HTTPS - HTTPS
Адрес перенаправления 127.0.0.1
Порт перенаправления 3129
Описание Перенаправление трафика на прокси
Зеркальный NAT Включить (чистый NAT)
Ассоцированное правило сетевого экрана Добавить ассоциированное правило

Нажмите Применить.


Настройка исключений

Данный шаг важен и требует ответственного подхода. Для того, чтобы дешифрование HTTPS не проводилось в отношении доверенных сайтов и чтобы не затрагивать их алгоритмы безопасности, нужно добавить доменные имена и все поддомены таких сайтов в поле Отключить перехват SSL для сайтов (SSL no bump sites).

Для того, чтобы запись добавилась, нажимайте на клавишу Enter после ввода текста. Для добавления всех поддоменов домена, укажите точку перед доменом. Например: для добавления всех поддоменов paypal.com введите .paypal.com:

_images/no_sslbump_sites.png

Примечание

Вы можете добавлять в исключения сайты электронного банкинга и сайты, на которых пользователи указывают личную информацию, логины / пароли.


Настройка ОС/Браузера

Поскольку браузеры по умолчанию не доверяют нашему ЦС, пользователю постоянно выдается предупреждение при обращении к HTTPS-сайтам. Для решения данной проблемы, вам нужно импортировать ранее созданный в Traffic Inspector Next Generation сертификат издательства на клиентскую машину.

Для экспортирования сертификата, пройдите в Система -> Доверенные сертификаты -> Полномочия и кликните на соответствующую иконку.

_images/export_cacert.png

На клиентской машине импортируйте сертификат издательства. В случае с браузером Firefox, сертификат импортируется в сам браузер. В случае с другими браузерами, сертификат импортируется в хранилище сертификатов Доверенные корневые центры сертификации в операционной системе Windows.