登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath F3200-I工控防火墙 典型配置-5W101

69-应用代理典型配置举例

本章节下载  (871.98 KB)

69-应用代理典型配置举例

目  录

1 简介

1.1 功能背景

1.1 原理介绍

1.1.1 HTTP 代理工作原理

1.1.2 SOCKS4/SOCKS5工作原理

2 配置前提

3 应用代理配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置步骤

3.5 验证配置

3.6 使用限制及注意事项

3.6.1 使用限制

3.6.2 注意事项:

 

1  简介

1.1 功能背景

代理服务器是一种重要的服务器安全功能,主要工作在开放系统互联(OSI)模型的会话层或应用层,从而起到上网行为控制、提高访问速度以及保护内网安全等作用。在一般情况下,企业设置代理服务器一般都是基于以下几点原因考虑。当前代理功能支持HTTP代理、SOCKS4代理、SOCKS5代理三种方式。

代理服务器是一种重要的服务器安全功能,主要工作在开放系统互联(OSI)模型的会话层或应用层,从而起到上网行为控制、提高访问速度以及保护内网安全等作用。

在一般情况下,企业设置代理服务器一般都是基于以下几点原因考虑:

·     控制员工互联网使用:阻断与工作无关内容,提高工作效率;

·     保障隐私权益:某些代理服务器将更改Web请求包括的IP地址和其他标识信息,保护用户隐私。

·     节省带宽和提升访问速度:如果多次请求或者多个请求是同样的内容,可以跳过从真实服务器取数据的过程,而是直接从代理服务器缓存中获取,提升访问速度。

·     提高安全性:代理服务器支持配置加密Web请求,还可以阻止已知恶意软件站点通过代理服务器进行任何访问,保护企业内网安全。

·     访问被阻止资源:代理服务器允许用户规避公司或政府施加的内容限制(例如查找技术资料需要访问谷歌等境外网站)。

在隐私性和安全性要求较高的环境中,内网终端和服务器不允许和互联网直接通信,必须通过代理设备,保障上网终端的隐私安全,保障业务系统外联尤其是第三方业务互连的隐私安全,避免被攻击。

HTTP代理与SOCKS代理的区别:

·     HTTP代理:最简单的一种代理形式,能够代理客户机的HTTP访问,上网浏览网页使用的都是HTTP协议,通常的HTTP代理端口为80、3128或8080端口。

·     SOCKS代理:SOCKS代理与HTTP等其他类型的代理不同,它只是简单地传递数据包,而并不关心是何种应用协议,既可以是HTTP协议,也可以是FTP协议,或者其他任何协议,所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。

·     SOCKS代理又分为SOCKS4和 SOCKS5,二者不同的是SOCKS4代理只支持TCP协议(即传输控制协议),而SOCKS5代理则既支持TCP协议又支持UDP协议(即用户数据包协议),还支持各种身份验证机制、服务器端远程域名解析等。SOCK4能做到的SOCKS5都可得到,但SOCKS5能够做到的SOCKS则不一定能做到。目前SOCKS5是最常用的一种SOCKS代理。

1.1  原理介绍

1.1.1  HTTP 代理工作原理

1. 普通代理

普通代理扮演的是“中间人”角色,对于连接到它的客户端来说,它是服务端;对于要连接的服务端来说,它是客户端。它就负责在两端之间来回传送HTTP报文。

HTTP客户端向代理发送请求报文,代理服务器需要正确地处理请求和连接,同时向服务器发送请求,并将收到的响应转发给客户端。

2. 隧道代理

隧道代理通过 HTTP 协议正文部分(Body)完成通讯,以 HTTP 的方式实现任意基于 TCP 的应用层协议代理。这种代理使用 HTTP 的 CONNECT 方法建立连接。

HTTP 客户端通过 CONNECT 方法请求隧道代理创建一条到达任意目的服务器和端口的 TCP 连接,并对客户端和服务器之间的后继数据进行盲转发。

1.1.2  SOCKS4/SOCKS5工作原理

SOCKS分为以下几个过程

(1)     认证协商

客户端首先向SOCKS服务器发送自己的协议版本号,以及支持的认证方法。SOCKS服务器向客户端返回协议版本号以及选定的认证方法。

(2)     认证

客户端根据服务器端选定的方法进行认证,如果选定的方法是02,则根据RFC 1929定义的方法进行认证。RFC 1929定义的密码是明文传输,安全性较差。

(3)     请求

SOCKS 5 协议请求方法又分如下三种:

·     Connect

比较常见的请求,客服端请求服务器发起链接到目标主机,目标端口的代理。SOCKS 服务器将使用目标主机,目标端口, 客户端的源地址和端口号来评估CONNECT 请求是否通过。成功之后后续流量都会被转发到目标主机的目标端口。

·     Bind

BIND 请求通常被用在那些要求目标主机连接客户端的情况。FTP 是一个典型的例子。它建立一个从客户端到服务器的连接来传送命令和状态,而使用另一个从服务器到客户端的连接来传输请求(如LS、GET、PUT)的数据。建立流程如下:

¡     Client随BIND请求,发送其要绑定的地址和端口。

¡     Server返回其创建的监听端口的地址和端口。

¡     Server创建的监听端口有连接后,返回该连接的源地址和端口。

¡     Server端将上述连接中的流量,发送给client的监听端口。

·     UDP ASSOCIATE

UDP ASSOCIATE 请求通常是要求建立一个 UDP 中继来处理到来的 UDP 数据包。DST.ADDR 和 DST.PORT 字段包含客户端所希望用来发送 UDP 数据包的 IP 地址和端口号。服务器可以使用这个信息来限制进入的连接。如果客户端在发送这个请求时没有地址和端口信息,客户端必须用全 0 来填充。

当与 UDP 相对应的 TCP 连接中断时,该 UDP 连接也必须中断。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

3  应用代理配置举例

3.1  组网需求

图1所示,某公司内网研发、销售、行政部门的IP地址网段分别为10.1.0.0/16、10.2.0.0/16、10.3.0.0/16,设备以路由模式部署在网络中,内网用户通过设备ge0口出去访问外网。使用代理功能对研发网络进行控制,允许研发网络通过代理上网,只能访问指定网站。

图1 应用代理组网图

 

3.2  配置思路

·     设备网络基础配置,配置接口地址、路由、NAT策略。

·     配置控制策略,仅允许代理地址上网,其他IP不允许上网

·     开启设备代理,配置设备的代理策略,只允许访问某些指定网站。

·     用户客户端上配置代理地址,通过代理上网。

3.3  使用版本

本举例是在E6501版本上进行配置和验证的。

3.4  配置步骤

1. 设备网络基础配置,配置接口地址、路由、NAT策略

(1)     进入“网络配置>接口配置>物理接口”页面,配置物理接口地址,如图2所示。

图2 配置物理接口地址

(2)     进入“网络配置>路由管理>静态路由”页面,如图3所示,配置静态路由。

图3 配置静态路由

(3)     进入“策略配置>NAT转换策略>源NAT”页面,如图4所示,配置源NAT。

图4 配置源NAT

2. 配置控制策略,只允许10.1.1.1、10.2.0.0、10.3.0.0访问外网。如下图所示。

(1)     进入“策略配置>对象管理>地址对象”,点击<新建>按钮,配置地址对象。

图5 配置地址对象

 

(2)     进入“策略配置>控制策略”,点击<新建>按钮,新建一条控制策略,动作为允许,源地址选择已配置的地址对象“10.1.1.1”。

图6 配置控制策略

 

3. 开启设备代理,配置设备的代理策略,只允许访问某些指定网站

(1)     进入“网络配置>基础网络>代理上网>代理服务”页面,如下图所示。

图7 开启代理服务并配置端口

 

(2)     新建HTTP代理。进入“网络配置>基础网络>代理上网>代理策略”页面,点击“新建>HTTP”,进入HTTP代理配置页面,点击“选择地址对象”选择地址对象,如下图所示。

图8 选择地址对象

 

目的域名选择“指定”,并配置目的域名,动作配置为“允许”,如下图所示。

图9 配置目的域名

 

点击“提交”完成HTTP代理配置,配置完成后如下图所示。

图10 代理策略配置完成

 

(3)     新建SOCKS4、SOCKS5代理。进入“网络配置>基础网络>代理上网>代理策略”页面,点击“新建>SOCKS4”新建SOCKS4代理,点击“新建>SOCKS5”新建SOCKS5代理,配置完成后如下图所示。

图11 新建SOCKS、SOCKS5代理

 

 

4. 在户客户端上进行代理设置。

 

说明

客户端可以用多种设置代理的方式,如:应用软件自带、系统自带、第三方代理软件,此处以Windows10系统自带的代理为例进行设置。

 

(1)     打开Windows设置,选择“代理服务器设置”,如下图所示。

图12 Windows10系统自带代理设置

 

(2)     手动设置代理,开启“使用代理服务器”,配置代理服务器的地址、端口,如下图所示。

图13 设置代理服务器

 

(3)     Microsoft edge或者Google Chorme浏览器默认使用的是系统代理,火狐浏览器可以选中设置使用系统代理或者自带设置代理,如下图所示。

图14 火狐浏览器连接设置

3.5  验证配置

1. 用户使用http代理打开百度。

(1)     用户PC访问百度时,弹出认证页面,如图15所示;通过认证后代理用户上线,进入在线用户页面可以查看在线用户记录,如图16所示。

图15 代理用户认证

 

图16 代理用户上线

(2)     在用户PC上抓包查看,如图17所示,用户访问百度是直接向代理地址发请求,而不是通常的直接向目的地址发请求。

图17 用户PC抓包记录

 

(3)     进入“网络配置>基础网络>代理上网>代理策略”,可以查看代理策略的匹配次数,如图18所示。

图18 代理策略匹配次数

 

2. 访问www.hao123.com。

因为代理策略配置只允许目的地址为baidu,所以被代理直接中断连接,如图19所示。

图19 代理中断连接

3.6  使用限制及注意事项

3.6.1  使用限制

·     Qos不能限制设备本机代理的流量。

·     用户限额不能限制本机代理的流量。

·     代理不支持解密策略,导致部分需解密流量无法审计。

·     不能使用代理地址登录设备管理页面。

·     代理不支持NAT64和NAT46

·     代理流量不经过DDoS检查,因此对代理流量DDoS防护失效。

·     使用代理时,下挂设备目的地址为代理地址,所以非法外联日志记录的目的地址为代理地址而非实际地址。

·     代理会话没有加锁从而导致会话满规格时会有极少量超规格现象,超规格数量为核心数-1。

·     代理不支持DNS过滤。

·     代理不支持应用缓存。

·     代理不支持HA同步会话数。

3.6.2  注意事项:

·     代理支持FTP被动模式,不支持主动模式。

·     socks4不支持域名,不支持认证,所以socks4代理策略目的地址不要配置域名。

·     代理策略目的域名配置为域名时,客户端发出的连接一定要是域名(一般客户端可配置),否则匹配不上代理策略。

·     第三方代理软件和应用自带代理设置可能自身问题存在导致代理业务不通。

·     代理需要配合DNS代理使用。

·     IE8不支持代理认证窗口弹出。

·     代理流量需要触发控制策略恶意URL需注意以下三点。

a.     需开启用户模式。

b.     http能被阻断,能弹恶意url页面,但是需要将代理地址在浏览器中排除。

c.     https能被阻断,但是不能弹恶意url页面。

·     代理认证和设备的认证策略分别是两套独立的认证系统,代理流量不会经过设备的认证策略。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们