1、SANGFOR SG上网代理技术培训内容培训目标SG上网代理功能介绍1.了解SG支持的代理类型2.了解SOCKS5和HTTP代理的工作原理名词解释1.了解SOCKS代理,HTTP代理,完全透明代理,二级代理的含义上网代理功能配置1.掌握上网代理功能支持的部署模式2.掌握单臂代理模式的配置方法3.掌握SOCKS5代理和HTTP代理的配置方法4.了解上网代理功能的测试注意事项代理控制1.掌握代理服务器在设备不同区域时的防代理控制SG 上网代理功能介绍名词解释深信服公司简介典型应用场景与配置SG 防代理功能介绍和配置SANGFOR SG 上网代理功能介绍SANGFOR SG上网代理功能介绍 SANG
2、FOR SG以硬件形式实现代理功能,它能取代ISA、Squid、BlueCoat等代理服务器,与客户内网环境进行无缝交接,并且在性能、功能、安全、稳定等方面都具有明显的优势。SANGFOR SG(2.1/3.4/4.3及以后版本支持代理模式,设备充当代理服务器。支持HTTP代理和SOCKS5代理功能。SANGFOR SG上网代理原理PCSG(proxy)Server Socks5代理和HTTP代理的原理名词解释名词解释名词解释1、Socks代理 Socks代理工作在会话层上,只是简单地传递数据包,而不必关心是何种应用协议(比如FTP、HTTP),所以Socks代理服务器比应用层代理服务器要快得
3、多。Socks根据版本又分为Socks4和Socks5,其中Socks4只支持代理TCP协议,而Socks5则同时支持代理TCP和UDP协议。2、HTTP代理 HTTP工作在应用层上,HTTP代理只支持代理TCP协议。名词解释3、完全透明代理 代理后的连接使用客户端原始IP,使得SG请求服务器资源时使用内网PC的IP而不再是SG设备的IP,以解决SG前存在防火墙的情况下可能拒绝SG上网的情况。4、二级代理 即SG设备本身通过代理服务器上网,同时又做为HTTP代理服务器代理内网用户上网。上网代理应用场景与配置支持代理功能的设备部署模式1、路由模式2、网桥模式3、单臂代理模式单臂代理模式主要是满足
4、客户内网已有代理服务器做单臂部署,在不改动客户端代理配置的情况下实现无缝交接。在单臂代理模式下,部分功能实现受限。SG上网代理功能配置网桥模式下,可通过【启用HTTP透明加速】,并勾选【地址还原】,实现完全透明代理 在【上网加速】下的【代理配置】中,配置SG上网代理。只有在网桥模式下才支持完全透明代理;只有在HTTP显式代理模式下才支持二级代理。配置好代理端口,最多可配置5个端口。若没有勾选【启用缓存加速】,则只代理,不加速,在透明代理下,默认启用缓存加速二级代理配置:设备需通过上一级代理服务器上网的情况下才需配置勾选【SOCKS5代理】并配置代理端口,最多可配置5个端口,使用SOCKS5代理
5、方式上网则不能被加速典型使用场景与配置案例背景客户网络如图所示,现希望可以添加一台代理设备,对内网用户访问网站做代理,并提高访问网站的速度,且不改变现在有网络环境。典型使用场景与配置解决方案此客户的需求我们可以用以下方法来满足:1、可以使用单臂模式或者网桥模式部署,从而不改变现有的网络结构。本案例以单臂模式来讲配置2、开启上网加速,提高访问网站的速度。开启和设置HTTP代理来实现访问网站的代理3、客户端配置HTTP代理单臂代理模式配置注:此模式下不支持VPN、不支持VLAN、不支持准入、不支持把DMZ口设置为DHCP的服务接口、不支持SNAT和DNAT。HTTP代理配置开启上网加速,配置HTT
6、P代理,以端口使用3128和8080为例。这里如果不选,即只代理,不加速客户端HTTP代理配置SOCK5代理配置最多支持填写5个代理端口,端口之间用逗号隔开配置SOCK5代理,代理端口使用1080和8080为例。注意:使用SOCK5代理方式上网,是不能被加速的。客户端SOCK5代理配置 以QQ登陆为例:如果SG设备有采用用户名和密码认证,则这里需要填入用户名密码用于认证SG代理测试注意事项1、保证SG设备本身可以上网,若SG不能上网,会导致开启代理后打不开网页。2、保证SG设备到内网PC可以正常通信。3、保证SG设备前面没有流控设备或防火墙对SG设备做了流量控制或连接数控制,否则会导致用户上网
7、慢或根本开不了网页。4、使用代理功能上网,不支持DMZ口重定向环境。5、HTTP代理模式下,原上网加速“排除以下网站”支持仅代理但不缓存;SG代理测试注意事项6、在单臂代理模式下使用双机热备时,检测网口请设置为eth0。7、经过代理的数据,多线路选路及策略路由不生效。8、支持域单点登录和web单点登录,不再支持pop3单点登录和proxy单点登 录;Socks5代理不支持弹出框认证和访问网关页面认证;不支持post认证方式。9、Socks5代理不支持SSL内容识别,HTTP代理支持SSL内容识别。代理控制SG防代理功能介绍和应用场景 通过代理,本来没有权限上网的用户便可以获得代理服务器的上网权
8、限,访问不应该访问的资源,如果代理服务器在SG内网区域,多台机器通过同一个账号共享上网,SG还不能真实记录和控制每个用户的上网行为。那么该如何解决呢?代理上网有如下几种实现方式:1.通过HTTP代理或SOCKS代理的方式上网 2.安装代理客户端如CCPROXY等上网 3.内网用户私自接小路由器NAT代理上网,或者通过双网卡电脑共享上网。场景一 代理服务器在SG WAN区域1.如果是使用HTTP代理或者SOCKS代理,则可通过上网权限策略的代理控制功能,禁止内网用户通过HTTP代理和SOCKS代理上网。如下图:场景一 代理服务器在SG WAN区域对象设置中禁用代理软件的规则在准入策略中选择禁用代
9、理软件的规则并关联给用户/组。2.如果是使用CCPROXY等代理工具,则可通过启用准入策略,禁止内网用户通过代理工具上网。如下图:场景二 代理服务器在SG LAN区域1.如果代理服务器在SG LAN区域,或者私接小路由器NAT代理上网,或者通过双网卡电脑共享上网,这些情况通过SG的数据包没有代理字段,无法直接通过封堵代理协议禁止代理,需要启用“防共享上网检测”。场景二 代理服务器在SG LAN区域 测试步骤1.建立一条上网权限策略,启用防共享上网检测,将策略关联给测试用户(代理内网其他用户上网的电脑或者服务器)场景二 代理服务器在AC LAN区域 测试步骤2.在两台通过代理服务器(或者通过NA
10、T,或者通过共享网卡上网)上网的电脑上同时登陆QQ客户端,并使用QQ客户端5分钟左右。3.5分钟之后打开网页,有共享上网的提示,说明AC已检测到内网有代理。数据中心【日志查询】-【上网行为】-【防共享上网日志】可以查看到对应的记录SG防代理功能说明及注意事项 说明:从SG4.3开始防共享上网通过QQ客户端,360安全卫士,迅雷客户端及搜狗拼音和服务器交互的特征值来判断终端是否通过代理上网。其它软件测试方法参考渠道技术论坛的专题文档防代理测试指导书。注意事项:1.开启防共享上网检测功能后,需测试5分钟才看到防代理检测效果。2.需要保证PC与设备的正常通信。3.如果内网用户通过SG设备自身的代理功能上网,则不会被防共享上网功能封锁。练练手 某公司为保证内网用户上网安全,要求所有应用均通过代理上网,应该如何设置满足客户的需求呢?您有什么样的方案能满足客户的需求呢?我们的建议:使用SG的Sock5代理上网1.SANGFOR SG支持哪几种代理?几种代理有什么区别?2.客户已经购买了SG设备用单臂代理模式替换了ISA,客户想使用 VPN功能,请问可以实现吗?3.SG单臂代理模式部署有什么注意事项?能说出三个即可4.请简述SG设备防共享上网的测试过程问题思考演讲完毕,谢谢观看!
