Прокси-сервер обеспечивает контролируемый доступ хостов локальной сети в сеть Интернет, а также защиту локальной сети от внешнего доступа.
В качестве примера настройки прокси-сервера будет использоваться схема стенда, представленная на рисунке (см. Рисунок – Схема стенда для настройки прокси-сервера) со следующими параметрами прокси-сервера:
интерфейс хостов локальной сети – «LAN», сеть 192.168.1.0/24;
работа в прозрачном режиме для HTTP и HTTPS;
кэширование данных включено;
работает без аутентификации;
номер порта для HTTP – «3128», номера порта для HTTPS – «3129»;
ограничение доступа к ресурсам настроено для сайта «mail.ru» и согласно внешнему списку доступа «Blacklists UT1».
Рисунок – Схема стенда для настройки прокси-сервера
Для корректной работы прокси-сервера с HTTPS-трафиком необходимо создать доверенный центр сертификации и добавить данный центр клиентам прокси-сервера.
Установка сертификата клиентам прокси-сервера предполагается произвольным способом в зависимости от используемого оборудования – через групповые политики, с помощью браузера и т.д.
Примечание
При использовании импортированного центра сертификации необходимо руководствоваться стандартом X.509, при этом длина серийного номера импортируемого центра сертификации не должна превышать 20 байт.
Проверить значение параметра «Интерфейсы прокси» – «LAN», выбрать значение «ARMA CA» в параметре «Использовать центр сертификации» и установить флажки для параметров:
«Включить прозрачный HTTP-прокси»;
«Включить проверку SSL».
Нажать кнопку «Применить».
Примечание
В случае использования непрозрачного режима прокси-сервера при ручной настройке клиентов (см. Рисунок – Параметры прокси-сервера) необходимо указывать один порт для всех протоколов.
Для рассматриваемого примера, настройка запрета обхода трафика не применяется.
В случае, когда прокси-сервер работает в режиме «Непрозрачный прокси», для исключения доступа в сеть Интернет в обход прокси-сервера необходимо настроить правила блокировки HTTP и HTTPS трафика на МЭ.
Данная функция предназначена для ограничения доступа к Интернет-ресурсам вредоносного или сомнительного содержания – фишинговые сайты, сайты с запрещённым контентом и т.д.
Для фильтрации трафика необходимо выполнить следующие действия:
Рисунок – Выбор настроек перенаправляющего прокси
В открывшейся форме (см. Рисунок – Список управления доступом), в поле параметра «Черный список» указать список сайтов, подлежащих блокировке. В примере используется сайт «mail.ru».
Нажать кнопку «Обновить списки контроля доступа», а затем нажать кнопку «Применить».
Примечание
При использовании внешних списков контроля доступа необходимо убедиться в их доступности.
В результате настройки сайт «mail.ru» будет заблокирован как включённый в чёрный список ARMA FW, а сайт «pornhub.com» будет заблокирован как включённый во внешний чёрный список (см. Рисунок – Заблокированные сайты).
При использовании аутентификации на прокси-сервере доступно создание чёрных и белых списков доменов с привязкой к пользователям и группам пользователей.
Для создания списка доменов необходимо выполнить следующие действия:
Перейти во вкладку «Перенаправляющий прокси» подраздела администрирования прокси-сервера («Службы» - «Веб-прокси» - «Администрирование»).
Раскрыть вкладку «Перенаправляющий прокси», нажав кнопку «», и выбрать «Настройки аутентификации» (см. Рисунок – Настройки аутентификации).
В открывшейся форме указать значение «Local Database» для параметра «Метод аутентификации» и нажать кнопку «Применить».
Перейти в подраздел управления списками доменов («Службы» - «Веб-прокси» - «Группы и пользователи») и нажать кнопку «».
В открывшейся форме «Редактирование групповых/пользовательских белых и черных журналов» (см. Рисунок – Создание списка доменов) задать значения параметров:
«Имя» – имя пользователя или группы, в зависимости от выбранного значения параметра «Группа/пользователь»;
ICAP используется для настройки взаимодействия прокси-сервера с антивирусом или другими информационными системами, например, InfoWatch Traffic Monitor, в том числе, расположенными на внешнем хосте. Подробная настройка проверки веб-трафика с использованием службы Dr.Web в ARMA FW рассмотрена в разделе Dr.Web настоящего руководства.
ARMA FW поддерживает работу ICAP только с одним клиентом.
«Заголовок имени пользователя» – «X-Authenticated-User»;
«Отправить имя пользователя» – флажок установлен;
«Закодировать имя пользователя» – флажок установлен.
и нажать кнопку «Применить».
Параметры «Заголовок имени пользователя», «Отправить имя пользователя» и «Закодировать имя пользователя» доступны при включении переключателя «расширенный режим».
В рамках выполнения сценария настройки прокси-сервера не используются некоторые вкладки и параметры, представленные в подразделе администрирования прокси-сервера («Службы» - «Веб-прокси» - «Администрирование»):
Вкладка «Основные настройки»:
«Настройка управления трафиком» – задаёт максимальные значения пропускной способности и размеров скачиваемых/загружаемых файлов;
«Настройки агента SNMP» – задаёт настройки для мониторинга работоспособности прокси-сервера.
Вкладка «Помощь» – позволяет очистить кэш-память прокси-сервера с последующей перезагрузкой.
Для некоторых вкладок подраздела доступны дополнительные настройки параметров. Их отображение включается переключателем «расширенный режим» в левой части формы (см. Рисунок – Переключатель «расширенный режим»).
В ARMA FW реализована возможность редактирования шаблона уведомления при посещении сайтов, подлежащих блокировке. По умолчанию используется предустановленный шаблон уведомления.
Для редактирования шаблона уведомления необходимо выполнить следующие действия:
Перейти в подраздел администрирования прокси-сервера («Службы» - «Веб-прокси» - «Администрирование»).
При необходимости сброса настроенного шаблона к значениям по умолчанию нажать кнопку «», затем во всплывающем окне с предупреждением нажать кнопку «» и кнопку «Применить».
SSO используется для аутентификации пользователей на прокси-сервере через протокол Kerberos и позволяет исключить повторные запросы для прохождения аутентификации.
В качестве примера настройки SSO для прокси-сервера будет использоваться схема стенда, представленная на рисунке (см. Рисунок – Схема стенда для настройки SSO), со следующими параметрами:
домен Active Directory – «test.local»;
имя контроллера домена – «DC-01.test.local»;
контроллер домена является DNS-сервером сети «LAN»;
Снять флажок для параметра «Позволить переопределить список DNS-серверов DHCP/PPP на WAN» и нажать кнопку «Сохранить».
Настройка синхронизации времени с контроллером домена
Необходимо указать контроллер домена в качестве предпочтительного NTP-сервера. Подробная настройка синхронизации времени рассмотрена в разделе Настройка синхронизации времени по протоколу NTP настоящего руководства.
Для использования технологии единого входа на прокси-сервере необходимо выполнить следующие действия:
Отключить прозрачный прокси-сервер в случае его использования.
Для этого необходимо перейти во вкладку «Перенаправляющий прокси» подраздела администрирования прокси-сервера («Службы» - «Веб-прокси» - «Администрирование»), снять флажок для параметра «Включить прозрачный HTTP-прокси» и нажать кнопку «Применить».
Указать добавленный LDAP-сервер в качестве метода аутентификации на прокси-сервере.
Для этого необходимо раскрыть вкладку «Перенаправляющий прокси» подраздела администрирования прокси-сервера («Службы» - «Веб-прокси» - «Администрирование»), выбрать «Настройки аутентификации», выбрать добавленный LDAP-сервер в поле параметра «Метод аутентификации» и нажать кнопку «Применить».
Примечание
При отключённом прозрачном прокси-сервере настройки прокси-сервера на клиентах необходимо указывать явно – вручную, с помощью групповых политик и т.д. Адрес прокси-сервера указывается в виде полного доменного имени (см. Рисунок – Настройка прокси-сервера клиентам), в случае указания IP-адреса технология единого входа работать не будет!
Для включения SSО необходимо выполнить следующие действия:
Перейти в подраздел настроек единой точки входа («Службы» - «Веб-прокси» - «Единая точка входа») и установить флажок для параметра «Включите единый вход».
Для настройки SSO необходимо выполнить следующие действия:
Перейти во вкладку «Идентификация Kerberos» подраздела настроек единой точки входа («Службы» - «Веб-прокси» - «Единая точка входа») и нажать кнопку «Обновить».
Для проверки работы технологии единого входа необходимо выполнить следующие действия:
Открыть настроенный веб-браузер на ПК «Client» и перейти на сайт «ya.ru» – сайт будет открыт без запроса учётных данных пользователя.
Перейти в подраздел журналирования прокси-сервера («Службы» - «Веб-прокси» - «Журнал доступа») и убедиться в наличии записей авторизации с УЗ пользователей домена «test.local» (см. Рисунок – Записи в журнале доступа).
», и выбрать «Настройки локального кэша» (см. Рисунок – Выбор настроек прокси-сервера).
» для добавления внешнего списка доступа.
» в результате чего будет загружен архив «proxy_template.zip».
», указать добавленный архив и нажать кнопку «Открыть».
», а затем кнопку «Применить» (см. Рисунок – Загрузка архива).
», затем во всплывающем окне с предупреждением нажать кнопку «
» и кнопку «Применить».
