SANGFORSG上網(wǎng)代理技術(shù)培訓(xùn)(共34張)

1、 上網(wǎng)代理技術(shù)培訓(xùn)內(nèi)容培訓(xùn)目標上網(wǎng)代理功能介紹1. 了解支持的代理類型2. 了解5和代理的工作原理名詞解釋1.了解代理, 代理，完全透明代理，二級代理的含義上網(wǎng)代理功能配置1. 掌握上網(wǎng)代理功能支持的部署模式2. 掌握單臂代理模式的配置方法3. 掌握5代理和代理的配置方法4. 了解上網(wǎng)代理功能的測試注意事項代理控制1.掌握代理服務(wù)器在設(shè)備不同區(qū)域時的防代理控制 上網(wǎng)代理功能介紹名詞解釋深信服公司簡介典型應(yīng)用場景與配置 防代理功能介紹和配置 上網(wǎng)代理功能介紹 上網(wǎng)代理功能介紹 以硬件形式實現(xiàn)代理功能，它能取代、等代理服務(wù)器，與客戶內(nèi)網(wǎng)環(huán)境進行無縫交接，并且在性能、功能、安全、穩(wěn)定等方面都具有明顯

2、的優(yōu)勢。 （2.1/3.4/4.3及以后版本支持代理模式，設(shè)備充當(dāng)代理服務(wù)器。支持代理和5代理功能。 上網(wǎng)代理原理 () 5代理和代理的原理名詞解釋名詞解釋 代理 代理完全透明代理 二級代理名詞解釋1、代理 代理工作在會話層上，只是簡單地傳遞數(shù)據(jù)包，而不必關(guān)心是何種應(yīng)用協(xié)議（比如、），所以代理服務(wù)器比應(yīng)用層代理服務(wù)器要快得多。 根據(jù)版本又分為4和5，其中4只支持代理協(xié)議，而5則同時支持代理和協(xié)議。2、代理 工作在應(yīng)用層上，代理只支持代理協(xié)議。名詞解釋3、完全透明代理 代理后的連接使用客戶端原始，使得請求服務(wù)器資源時使用內(nèi)網(wǎng)的而不再是設(shè)備的，以解決前存在防火墻的情況下可能拒絕上網(wǎng)的情況。4、二級

3、代理 即設(shè)備本身通過代理服務(wù)器上網(wǎng)，同時又做為代理服務(wù)器代理內(nèi)網(wǎng)用戶上網(wǎng)。 上網(wǎng)代理應(yīng)用場景與配置支持代理功能的設(shè)備部署模式1、路由模式2、網(wǎng)橋模式3、單臂代理模式單臂代理模式主要是滿足客戶內(nèi)網(wǎng)已有代理服務(wù)器做單臂部署，在不改動客戶端代理配置的情況下實現(xiàn)無縫交接。在單臂代理模式下，部分功能實現(xiàn)受限。上網(wǎng)代理功能配置網(wǎng)橋模式下，可通過【啟用透明加速】，并勾選【地址還原】，實現(xiàn)完全透明代理 在【上網(wǎng)加速】下的【代理配置】中，配置上網(wǎng)代理。只有在網(wǎng)橋模式下才支持完全透明代理；只有在顯式代理模式下才支持二級代理。配置好代理端口，最多可配置5個端口。若沒有勾選【啟用緩存加速】，則只代理，不加速，在透明代

4、理下，默認啟用緩存加速二級代理配置：設(shè)備需通過上一級代理服務(wù)器上網(wǎng)的情況下才需配置勾選【5代理】并配置代理端口，最多可配置5個端口，使用5代理方式上網(wǎng)則不能被加速典型使用場景與配置案例背景客戶網(wǎng)絡(luò)如圖所示，現(xiàn)希望可以添加一臺代理設(shè)備，對內(nèi)網(wǎng)用戶訪問網(wǎng)站做代理，并提高訪問網(wǎng)站的速度，且不改變現(xiàn)在有網(wǎng)絡(luò)環(huán)境。典型使用場景與配置解決方案此客戶的需求我們可以用以下方法來滿足：1、可以使用單臂模式或者網(wǎng)橋模式部署，從而不改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。本案例以單臂模式來講配置2、開啟上網(wǎng)加速，提高訪問網(wǎng)站的速度。開啟和設(shè)置代理來實現(xiàn)訪問網(wǎng)站的代理3、客戶端配置代理單臂代理模式配置注：此模式下不支持VPN、不支持VL

5、AN、不支持準入、不支持把DMZ口設(shè)置為DHCP的服務(wù)接口、不支持SNAT和DNAT。代理配置開啟上網(wǎng)加速，配置代理，以端口使用3128和8080為例。這里如果不選，即只代理，不加速客戶端代理配置5代理配置最多支持填寫5個代理端口，端口之間用逗號隔開配置5代理，代理端口使用1080和8080為例。注意：使用5代理方式上網(wǎng)，是不能被加速的。客戶端5代理配置 以登陸為例：如果設(shè)備有采用用戶名和密碼認證，則這里需要填入用戶名密碼用于認證代理測試注意事項1、保證設(shè)備本身可以上網(wǎng)，若不能上網(wǎng)，會導(dǎo)致開啟代理后打不開網(wǎng)頁。2、保證設(shè)備到內(nèi)網(wǎng)可以正常通信。3、保證設(shè)備前面沒有流控設(shè)備或防火墻對設(shè)備做了流量控

6、制或連接數(shù)控制，否則會導(dǎo)致用戶上網(wǎng)慢或根本開不了網(wǎng)頁。4、使用代理功能上網(wǎng)，不支持口重定向環(huán)境。5、代理模式下，原上網(wǎng)加速“排除以下網(wǎng)站”支持僅代理但不緩存；代理測試注意事項6、在單臂代理模式下使用雙機熱備時，檢測網(wǎng)口請設(shè)置為0。7、經(jīng)過代理的數(shù)據(jù)，多線路選路及策略路由不生效。8、支持域單點登錄和單點登錄，不再支持3單點登錄和單點登 錄；5代理不支持彈出框認證和訪問網(wǎng)關(guān)頁面認證；不支持認證方式。9、5代理不支持內(nèi)容識別，代理支持內(nèi)容識別。代理控制防代理功能介紹和應(yīng)用場景 通過代理，本來沒有權(quán)限上網(wǎng)的用戶便可以獲得代理服務(wù)器的上網(wǎng)權(quán)限，訪問不應(yīng)該訪問的資源，如果代理服務(wù)器在內(nèi)網(wǎng)區(qū)域，多臺機器通過

7、同一個賬號共享上網(wǎng)，還不能真實記錄和控制每個用戶的上網(wǎng)行為。那么該如何解決呢？ 代理上網(wǎng)有如下幾種實現(xiàn)方式： 1. 通過代理或代理的方式上網(wǎng) 2. 安裝代理客戶端如等上網(wǎng) 3. 內(nèi)網(wǎng)用戶私自接小路由器代理上網(wǎng)，或者通過雙網(wǎng)卡電腦共享上網(wǎng)。場景一 代理服務(wù)器在 區(qū)域1. 如果是使用代理或者代理，則可通過上網(wǎng)權(quán)限策略的代理控制功能，禁止內(nèi)網(wǎng)用戶通過代理和代理上網(wǎng)。如下圖：場景一 代理服務(wù)器在 區(qū)域?qū)ο笤O(shè)置中禁用代理軟件的規(guī)則在準入策略中選擇禁用代理軟件的規(guī)則并關(guān)聯(lián)給用戶/組。2. 如果是使用等代理工具，則可通過啟用準入策略，禁止內(nèi)網(wǎng)用戶通過代理工具上網(wǎng)。如下圖：場景二 代理服務(wù)器在 區(qū)域1. 如果

8、代理服務(wù)器在 區(qū)域，或者私接小路由器代理上網(wǎng)，或者通過雙網(wǎng)卡電腦共享上網(wǎng)，這些情況通過的數(shù)據(jù)包沒有代理字段，無法直接通過封堵代理協(xié)議禁止代理，需要啟用“防共享上網(wǎng)檢測” 。場景二 代理服務(wù)器在 區(qū)域測試步驟1. 建立一條上網(wǎng)權(quán)限策略，啟用防共享上網(wǎng)檢測，將策略關(guān)聯(lián)給測試用戶（代理內(nèi)網(wǎng)其他用戶上網(wǎng)的電腦或者服務(wù)器）場景二 代理服務(wù)器在 區(qū)域測試步驟在兩臺通過代理服務(wù)器(或者通過，或者通過共享網(wǎng)卡上網(wǎng))上網(wǎng)的電腦上同時登陸客戶端，并使用客戶端5分鐘左右。5分鐘之后打開網(wǎng)頁，有共享上網(wǎng)的提示，說明已檢測到內(nèi)網(wǎng)有代理。數(shù)據(jù)中心【日志查詢】-【上網(wǎng)行為】-【防共享上網(wǎng)日志】可以查看到對應(yīng)的記錄防代理功能說明及注意事項說明：從4.3開始防共享上網(wǎng)通過客戶端，360安全衛(wèi)士，迅雷客戶端及搜狗拼音和服務(wù)器交互的特征值來判斷終端是否通過代理上網(wǎng)。其它軟件測試方法參考渠道技術(shù)論壇的專題文檔防代理測試指導(dǎo)書。注意事項：開啟防共享上網(wǎng)檢測功能后，需測試5分鐘才看到防代理檢測效果。需要保證與設(shè)備的正常通信。如果內(nèi)網(wǎng)用戶通過設(shè)備自身的代理功能上網(wǎng)，則不會被防共享上網(wǎng)功能封鎖。練練手 某公司為保證內(nèi)網(wǎng)用戶上網(wǎng)安全，要求所有應(yīng)用均通過代理上網(wǎng)，應(yīng)該如何設(shè)置滿足客戶的需求呢？您有什么樣的方案