Веб-прокси
REFOS позволяет организовать кэширующий прокси-сервер (Веб-прокси), который снижает нагрузку на сеть и улучшает время отклика за счет кэширования и повторного использования часто запрашиваемых веб-страниц. Веб-прокси является посредником между клиентом, инициирующим запрос (HTTP, HTTPs, FTP и др.), и ресурсом (сайт, сервер). Клиент отправляет запрос к ресурсу через прокси-сервер, который, в свою очередь, либо делает запрос от своего имени и возвращает ответ клиенту, либо берет его из кэша.
Прокси-сервер выполняет следующие задачи:
Блокировка вредоносных сайтов и рекламы;
Кэширование сайтов для экономии трафика;
Перенаправление трафика на внешний потоковый антивирус.
REFOS позволяет настроить частный и прозрачный прокси-сервер. Две реализации могут использоваться вместе или поотдельности:
Частный позволяет настроить аутентификацию доступа для пользователя к запрашиваемому ресурсу. Т.е. при инициировании, например, HTTPs запроса, клиенту необходимо пройти аутентификацию.
Прозрачный прокси-сервер перехватывает указанный (HTTP, HTTPs, FTP и др.) трафик, при этом клиент может использовать все преимущества прокси-сервера без дополнительных настроек браузера.
Статус службы прокси-сервера
Служба имеет два состояния:
Служба запущена
;
Служба остановлена
.
Описание настроек Веб-прокси
Настройка Веб-прокси производится в разделе Службы - Веб-прокси - Администрирование, который разбит на несколько подразделов:
Основные настройки прокси
Основные настройки прокси
Настройки локального кэша
Настройки управления трафиком
Настройки родительского прокси
Перенаправляющий прокси
Основные настройки перенаправления
Настройки FTP-прокси
Список управления доступом
Настройки ICAP
Настройки аутентификации
Пользователи
Основные настройки прокси
Параметр |
Описание параметра |
|---|---|
Включить прокси |
Включить или отключить использование прокси-сервера. |
Порт ICP |
Номер порта, на который служба Веб-прокси будет посылать и принимать ICP-запросы от соседних кэшей. Если значение не указано - функция выключена. |
Включить ведение журнала доступа |
Журналировать доступ в разделе Службы - Веб-прокси - Журнал доступа. |
Включить ведение журнала кэша |
Журналировать кэширование в разделе Службы - Веб-прокси - Журнал кэша. |
Игнорировать хосты в журнале доступа |
Подсети/адреса, доступ к которым не должен журналироваться. |
Использовать альтернативные DNS-серверы |
Задать DNS сервера, отличные от системных. |
Включить сначала DNS v4 |
В первую очередь взаимодействовать (с Web-сайтами с двойным стеком) через IPv4. При этом Веб-прокси по-прежнему будет выполнять DNS-запрос IPv6 и IPv4 перед подключением. |
Использовать заголовок Via |
Если функция включена (по умолчанию), Веб-прокси будет добавлять Via заголовок в запросы и ответы, как того требует RFC2616. |
Обработка заголовков X-Forwarded-For |
Выбрать действие по отношению к HTTP-запросу с заголовком X-Forwarded-For:
|
Имя хоста |
Имя хоста, которое будет отображаться в различных заголовках пакета, таких как Via и X-Cache, а также в HTML страницах об ошибках. |
Почта администратора |
Указать адрес эл. почты, который будет отображаться пользователям в HTML страницах об ошибках. |
Блокировать строку с версией |
Ограничивать передачу информации о версии службы веб-прокси в HTTP-заголовках и HTML страницах об ошибках. |
Тайм-аут ожидания подключения |
Значение тайм-аута для ожидания соединения в секундах. Допустимые значения: от 10 до 120 кратные десяти. |
Обработка пробелов для URI |
Выбор действия по отношению к URI, содержащим пробелы:
|
Настройка кэширования производится в разделе Настройки локального кэша
Параметр |
Описание параметра |
|---|---|
Размер кэш-памяти (в Мб) |
Задать размер памяти кэша. Для отключения используется значение 0. |
Включить локальный кэш |
Включить/отключить локальный кэш. |
Размер кэша (в Мб) |
Лимит дискового пространства для хранения локального кэша (по умолчанию 100). |
Число подкаталогов первого уровня |
Число подкаталогов первого уровня. |
Число подкаталогов второго уровня |
Число подкаталогов второго уровня. |
Максимальный размер объектов (КБ) |
Максимальный размер объектов (КБ). |
Включить кэш пакетов Linux |
Включить кэш пакетов Linux. |
Включить кэш Центра обновления Windows |
Включить кэш Центра обновления Windows. |
Ограничить пропускную способность можно в разделе Настройки управления трафиком
Параметр |
Описание параметра |
|---|---|
Включить управление трафиком |
Включить/выключить управление трафиком. |
Максимальный размер скачиваемых файлов (КБ) |
Задать максимальный размер скачиваемых клиентом данных в килобайтах (оставьте пустым, чтобы убрать ограничение). |
Максимальный размер загружаемых файлов (КБ) |
Задать максимальный размер загружаемых с клиента данных в килобайтах (оставьте пустым, чтобы убрать ограничение). |
Регулирование общей пропускной способности (Кбит/с) |
Задать допустимую общую пропускную способность в килобитах в секунду (оставьте поле пустым, чтобы убрать ограничение). |
Регулирование общей пропускной для хоста (Кбит/с) |
Задать допустимую пропускную способность для хоста в килобитах в секунду (оставьте поле пустым, чтобы убрать ограничение). |
Настроить подключение к родительскому Веб-прокси можно в разделе Настройки родительского прокси
Параметр |
Описание параметра |
|---|---|
Включить родительский прокси |
Включить функцию родительского прокси. |
Хост |
Задать IP-адрес или имя хоста родительского прокси-сервера. |
Порт |
Задать порт родительского прокси. |
Включить аутентификацию |
Включить аутентификацию на родительском прокси. |
Имя пользователя |
Установить имя пользователя, если родительский прокси-сервер требует аутентификации. |
Пароль |
Установить пароль, если родительский прокси-сервер требует аутентификации. |
Локальные домены |
Список доменов, которые нельзя отправлять через родительский прокси. |
Локальные IP-адреса |
Список IP-адресов, которые нельзя отправлять через родительский прокси. |
Основные настройки Веб-прокси производятся в разделе Основные настройки перенаправления
Параметр |
Описание параметра |
|---|---|
Интерфейсы прокси |
Задать интерфейсы, которые будут использоваться прокси-сервером. |
Номер порта прокси-сервера |
Порт, который будет использоваться прокси-сервером. |
Включить прозрачный HTTP-прокси |
Включить режим прозрачного HTTP-прокси, в этом режиме захват трафика будет осуществляться на loopback интерфейсе. Предполагается, что на loopback интерфейс трафик должен перенаправляться пользовательским DNAT правилом. После активации прозрачного режима справа от переключателя возникает кнопка для быстрого создания DNAT правила. |
Включить проверку SSL |
Включить режим прозрачного HTTPS-прокси, в этом режиме захват трафика будет осуществляться на loopback интерфейсе. Предполагается, что на loopback интерфейс трафик должен перенаправляться пользовательским DNAT правилом. После активации прозрачного режима справа от преключателя возникает кнопка для быстрого создания DNAT правила. |
Протоколировать только информацию SNI |
Не декодировать и не фильтровать содержимое SSL пакетов, в журнале доступа будет только информация из заголовка SNI. Некоторые старые сервера могут не предоставлять SNI, поэтому их адреса указываться не будут. |
Порт SSL прокси |
Порт, который служба HTTPS-прокси будет прослушивать. |
Использовать центр сертификации |
Выбрать центр сертификации для использования SSL. Чтобы создать CA, перейдите в раздел Система - Менеджер сертификатов - Сертификаты. |
SSL-сайты без бампов |
Список сайтов, которые не будут проверяться, например, сайты банков. Префикс домена с . принимать все субдомены (например, .google.com). |
Размер кэша SSL |
Максимальный размер кэша (в МБ) для генерации сертификатов SSL. Эти сертификаты используются веб-прокси для просмотра HTTPS трафика. |
Рабочие сертификаты SSL |
Общее количество процессов для генерации SSL сертификатов. Влияет на производительность обработки запросов. |
Разрешить подсети на интерфейсе |
Добавить подсети выбранных интерфейсов в список с правом доступа. |
Важно
При конфигурировании прозрачного режима прокси сервера будьте осторожны при создании DNAT правила: следует предусмотреть, что, если трафик к Веб-интерфейсу устройства попадёт под перенаправление, то доступ к управлению устройством будет потерян. Поэтому рекомендуется заранее создавать исключающее условие или отдельное исключающее правило для трафика, с IP-адресом назначения, равным IP адресу интерфейса устройства.
Настройки FTP-прокси
Параметр |
Описание параметра |
|---|---|
Интерфейсы FTP-прокси |
Список интерфейсов, которые будут использоваться FTP прокси-сервером. |
Порт FTP-прокси |
Порт, который будет прослушивать сервер FTP-прокси. |
Включить прозрачный режим |
Включить режим прозрачного FTP-прокси, в этом режиме захват трафика будет осуществляться на loopback интерфейсе. Предполагается, что на loopback интерфейс трафик должен перенаправляться пользовательским DNAT правилом. |
Настройки безопасности расположены в разделе Список управления доступом
Параметр |
Описание параметра |
|---|---|
Разрешенные клиенты |
Подсети или IP-адреса клиентов, которым разрешён доступ к прокси-серверу. |
Клиенты без ограничений |
Подсети или IP-адреса клиентов, которым необходимо предоставить доступ без ограничений и исключений к прокси-серверу. |
Заблокированные клиенты |
IP-адреса, которым запрещён доступ к прокси-серверу. |
Белый список |
Список разрешенных доменов. Возможно использование регулярных выражений. |
Черный список |
Список запрещенных доменов. Возможно использование регулярных выражений. |
Блокирование мобильного кода |
Данная опция позволяет блокировать javascript, файлы cookie и ActiveX. |
Блокирование метода HTTP-запроса |
Блокирование GET/PUT методов HTTP-запроса. |
Блокирование команд FTP-запроса |
Блокирование GET/PUT команд FTP-запроса. |
Блокировать browser/user-agent строки |
Блокировка по browser/user-agent в заголовках HTTP. Возможно использование регулярных выражений. |
Блокировать ответы с конкретным MIME-типом |
Блокировать ответ определенного типа MIME. Возможно использование регулярных выражений. |
Фильтр YouTube |
Выбор уровня фильтрации контента на YouTube. Строгий режим блокирует 18+ видео и комментарии. Умеренный режим блокирует комментарии, но разрешает все видео. |
Разрешенные TCP-порты назначения |
Разрешенные TCP-порты назначения. Можно использовать диапазоны (например, 222-226) и добавлять комментарии с двоеточием (например, 22:ssh). |
Разрешенные SSL-порты |
Разрешенные SSL-порты назначения. Можно использовать диапазоны (например, 222-226) и добавлять комментарии с двоеточием (например, 22:ssh). |
Настройки интеграции с потоковым антивирусом производятся в разделе Настройки ICAP
Параметр |
Описание параметра |
|---|---|
Включить ICAP |
Включить рассылку ICAP. |
Внешний Антивирус |
Использовать внешний антивирус. |
ТТL для ответов ICAP |
Значение TTL по умолчанию для ответов ICAP OPTIONS, у которых нет заголовка Options-TTL. |
Отправить IP-адрес клиента |
При активации данной опции IP-адрес клиента будет отправлен на ICAP-сервер. |
Отправить имя пользователя |
При активации данной опции имя пользователя клиента будет отправлено на сервер ICAP. |
Закодировать имя пользователя |
Данная опция позволяет закодировать base64 имя пользователя перед отправкой на ICAP сервер. |
Заголовок имени пользователя |
Заголовок, который должен использоваться для отправки имени пользователя на ICAP сервер. |
Включить предпросмотр |
Если вы используете режим предпросмотра, то только часть данных отправляется на ICAP-сервер. Установка этого параметра может увеличить производительность. |
Размер в режиме предпросмотра |
Задать размер части пакета, которая отправляется на ICAP сервер в режиме предпросмотра. |
Настройки доступа к прокси-серверу производятся в разделе Настройки аутентификации
Параметр |
Описание параметра |
|---|---|
Метод аутентификации |
Выбор метода аутентификации:
|
Принудительно использовать локальную группу |
Выбор группы пользователей, которая будет использована для аутентификации. |
Подсказка |
Сообщение, которое будет отображаться в окне запроса аутентификации. |
Процесс аутентификации |
Число процессов аутентификатора, которые могут быть запущены одновременно. |
Важно
Запросы на авторизацию не будут возникать в случае работы прокси в прозрачном режиме.
Для создания или изменения необходимо перейти в раздел Пользователи, при создании доступны опции:
Параметр |
Описание параметра |
|---|---|
Включен |
Включить/Отключить пользователя. |
Имя |
Имя пользователя, используемое при авторизации. |
Пароль |
Пароль пользователя. |
Группа |
Группа, к которой принадлежит пользователь. |
Описание |
Пользовательское описание. |
Пример конфигурации прокси-сервера
Основные настройки прокси-сервера производятся в разделе Службы - Веб-прокси - Администрирование.
Конфигурация включает базовые(основные) параметры прокси сервера.
Вкладка Основные настройки прокси:
Запуск прокси-сервера производится параметром Включить прокси;
Для обмена кэша между прокси-серверами используется протокол ICP. Укажите номер UDP-порта для настройки взаимодействия с другими прокси-серверами.
Вкладка Настройка локального кэша:
По умолчанию размер кэша ограничен 256Мб. В расширенном режиме возможно управлять параметрами кэша (Размер, расположение и т.д.).
Вкладка Настройка управления трафиком :
По умолчанию ограничений по управлению трафиком не предусмотрено. Система позволяет задать ограничения размера загружаемых/скачиваемых файлов, а также ограничение пропускной способности.
Вкладка Настройки родительского прокси-сервера :
Если в инфраструктуре используется несколько прокси-серверов, в системе возможно указать родительский прокси-сервер для последующего перенаправления трафика.
Для настройки перенаправления запросов на родительский прокси-сервер необходимо выполнить следующие действия:
Запустить функцию параметром Включить родительский прокси;
Указать IP-адрес родительского прокси-сервера в поле параметра Хост;
Указать порт назначения родительского прокси-сервера в поле параметра Порт;
При наличии аутентификации на родительском прокси-сервере запустить параметр Включить аутентификацию, и задать Имя пользователя и Пароль;
В дополнительных параметрах Локальные домены и Локальные IP-адреса возможно указать ограничения по доменам и IP-адресам.
На вкладке Основные настройки перенаправления возможно задать основные параметры прокси-сервера:
Выбрать интерфейсы в параметре Интерфейсы прокси, которые будут использоваться для приема запросов прокси-сервером;
Указать номер порта в параметре Номер порта прокси-сервера для приема запросов прокси-сервером.
На вкладке Настройки FTP-прокси возможно задать параметры приема FTP-запросов:
Выбрать интерфейсы в параметре Интерфейсы FTP-прокси, которые будут использоваться для приема FTP-запросов прокси-сервером;
Указать номер порта в параметре Порт FTP-прокси для приема FTP-запросов прокси-сервером;
На вкладке Список управления доступом возможно задать ограничения пользователей по IP-адресам/подсетям.
В параметре Разрешенные подсети задаются целые адреса подсетей, клиентам которых будет разрешено прохождение запросов через прокси-сервер;
В параметре IP-адреса без ограничений задаются IP-адреса клиентов, которым будет разрешено прохождение запросов через прокси-сервер;
В параметре Заблокированные IP-адреса хоста задаются IP-адреса клиентов, которым будет запрещено прохождение запросов через прокси-сервер.
На вкладке Пользователи можно создать пользователей, которые затем будут использованы при авторизации на Веб-прокси.
На вкладке Настройка аутентификации возможно указать параметры аутентификации для подключения клиента к прокси-серверу:
В параметре Метод аутентификации возможно выбрать метод, при помощи которого клиент будет производить аутентификацию. Local Database – использовать локальную базу данных пользователей системы. Radius Server – аутентификация с использованием локальной базы пользователей системы с дополнительной проверкой на стороннем Radius-сервере;
В параметре Принудительно использовать локальную группу возможно указать группу, пользователей которой можно использовать для аутентификации;
В параметре Подсказка возможно задать сообщение, выводимое при запросе авторизации;
В параметре Процесс аутентификации можно задать количество процессов авторизации, действующих одновременно.
Прозрачный режим
Одна из особенностей работы прокси сервера - его парметры нужно настраивать не только на сервере, но и на клиентских устройствах. Когда клиентских устройств много это может быть не очень просто, и для таких сценраиев предусмотрен Прозрачный режим. Это понятие подразумевает, что на клиентских устройствах не нужно указывать параметры прокси-сервера, вместо этого Веб-прокси перенаправляет на себя транзитный трафик.
В операционной системе REFOS Прозрачный режим Веб-прокси конфигурируется в два этапа:
Настройка прокси сервера - осуществляется как на примере выше, но без необходимости конфигурировать пользователей;
Включение режима прозрачного прокси опцией Включить прозрачный HTTP-прокси - при этом служба начинает ожидать трафик на loopback-интерфейсе.
Переход к шаблону правила, перенаправляющего FORWARD трафик на loopback-интерфейс
Сохранение правила или нескольких правил, перенаправляющих FORWARD трафик на loopback-интерфейс
Важно
Если перенаправляющее правило создаётся на том-же интерфейсе, через который осуществляется настройка из Веб-интерфейса, то перенаправление трафика на Веб-прокси может привести к потере доступа к Веб-интерфейсу. Для недопущения таких ситуаций рекомендуется добавлять исключающее правило или условия для трафика, адресованного непосредственно RTT-M300.
Статистические данные
Иногда для диагностики необходима расширенная статистика Веб-прокси. Такая статистика содержится на вкладке Статистические данные в разделе Службы - Веб-прокси - Администрирование
На этой вкладке содержится несколько подразделов:
Информация - Общая статистика Веб-прокси;
Активные клиенты - Активные сессии клиентов, прошедших авторизацию;
Счетчики - Служебные счётчики Веб-прокси;
Серверы - Информация о родительских прокси-серверах;
Активность хостов - Статистика активности клиентов с разбивкой по хостам.
Информация
На вкладке Информация статистика разбита на несколько блоков:
Connection information for proxy - Статистика соединения с внешиними ресурсами;
Cache information for proxy - Статистика кэша;
Median Service Times (seconds) - Медианное значение задержки (за 5 и 60 минут);
Resource usage for proxy - Использование системных ресурсов службой Веб-прокси;
Memory accounted for - Информация об использованной памяти;
File descriptor usage for proxy - Статистика обращения к диску;
Internal Data Structures - Статистика обращений к кэшу.
Активные клиенты
На вкладке Активные клиенты содержится информация об активных клиентах
Счетчики
На вкладке Счетчики выводится большое количество разнородных переменных в диагностических целях.
Серверы
На вкладке Серверы содержится информация о родительском Веб-прокси и статистика соединения с ним.
Активность хостов
На вкладке Активность хостов содержится информация об активных хостах и количестве разных запросов, пришедших от них.
Логирование самой службы Веб-сервера описано в разделе разделе Работа с журналами