高级篇(5.4) 01. Explicit Web Proxy 显式web代理 ❀ 飞塔 (Fortinet) 防火墙

        【简介】提供代理服务的计算机或其它类型的网络节点称为代理服务器，其具体过程为：客户端首先与代理服务器创建连接，接着发出一个对另外的目标服务器的文件或其它资源的连接请求，代理服务器通过与目标服务器连接或从缓存中取得请求的资源，并返回给客户端。通常在这个过程中，代理服务器可能改变客户端请求或服务器端响应的一些内容以满足各种代理需要。

---

  显式代理

        飞塔防火墙支持支持在一个或者多个物理接口上启用HTTP或HTTPS代理，显式的web代理支持通过web浏览器或PAC(Proxy auto-config)为web代理用户提供自动代理配置及FTP会话代理。

  启用显式代理

        默认情况下显式代理功能是关闭的，需要开启后才能使用。

        ① 选择菜单【系统管理】-【功能选择】，在安全功能选择里打开【显示代理】开关，点击【应用】。

  配置显式代理

        开启显式代理功能后，在菜单就会出现显式代理设置选项了。

        ① 首先需要在防火墙的物理接口启用代理，选择菜单【网络】-【接口】， 选择内网接口internal，点击【编辑】。

        ② 拉到最下方，点击打开启用显示WEB代理，点击【确认】。

        ③ 然后需要启用显示代理，选择菜单【网络】-【显示代理】，有两类代理可以启用，这里启用Web代理。

        ④ 监听接口出现了刚才打开过Web代理的internal接口，默认的http端口是8080，直接点击【应用】就可以了。

  配置策略

        显示代理拥有独立的策略。

        ① 选择菜单【策略&对象】-【显示代理策略】，点击【新建】。

        ② 策略里设置允许internal接口走wan1口代理上网。显示web代理不支持SSL、IPsec流量，也无法支持流量整形功能。

        ③ 新建的策略里可以看到没有流量。

        ④ IPv4策略里已经有一条默认策略指定internal走Wan1口上网，需要建一条新的策略，关闭走IPv4策略的http上网。选择菜单【策略&对象】-【IPv4策略】，点击【新建】。

        ⑤ 策略内容是禁止internal走wan1用http和https访问web网站。

        ⑥ 新建的禁止策略会在默认的策略下方，根据策略执行顺序，禁止策略是不起作用的。鼠标按住禁止策略的序号2，向上拖动鼠标，可以调整两条策略的顺序。

        ⑦ 修改顺序后，禁止策略在上方，这样http和https都会被禁用，但其它服务仍然可以使用。例如QQ等，还是通过网关到互联网。

  客户端设置

        浏览器默认还是走网关上网的，并没有走web代理。

        ① 打开IE浏览器，会发现由于走路由的http和https已经禁止了，点击右上角齿轮图标，弹出下拉菜单选择【Internet选项】。

        ② 打开连接子菜单，点击【局域网设置】。

        ③ 启用代理服务器，地址输入internal接口的IP地址，端口为8080，点击【确定】。

  效果测试

        IE设置完成后，就可以测试是否能通过web代理上网了。

        ① 打开百度网站，刚才还不能打开的，现在正常了。

        ② 再次通过浏览器打开防火墙的登录地址，却发现打不开了。这是因为开启代理之后，所有的HTTP流量将通过web代理访问，无论内网或者外网，而其它非HTTP流量，如telnet、smtp等则使用本地路由进行转发。

        ③ 关闭浏览器的web代理，登录防火墙，查看显式代理策略，现在有流量数据了，说明刚才浏览器是走显示代理上网的。

飞塔技术-老梅子   QQ：57389522

---