CENTIO#KNOWLEDGEBASE

Режим за имплементиране на уеб прокси

Owned by Desislava Zlaticheva
Last updated: Apr 08, 2020
2 min read

Тази статия описва стъпките за задаване на защитната стена Sophos XG като explicit прокси, transparent прокси или хибридна комбинация между двете. Ако желаете да имате защитната стена XG зад друга защитна стена и да насочите трафика на клиента към това устройство, използвайте Sophos Firewall: How to configure a direct proxy when the XG is not the gateway device.

 

Отнася се за следните продукти и версии 
Sophos Firewall 

 

Transparent с Direct режим (хибрид) 

Когато защитната стена Sophos XG има активиран Transparent режим, няма нужда да създавате допълнителни правила или услуги, които да позволят Direct режим. Direct прокси може да бъде зададен на браузърите, ако е необходимо, с прокси порт 3128.

 

За да активирате Transparent режим: 

  1. Отворете секция Firewall и изберете +Add Firewall Rule.

  2. Създайте LAN към WAN правило.

  3. Уверете се, че Scan HTTP е маркирано.

  4. Под Web Policy изберете необходимата политика за правилните потребители.

Бележка: Ако искате да имате различни политики за същите Source/Destination за Transparent и Standard режим, трябва да сложите Standard режим първи в списъка. 

 

Само Transparent режим

Всеки път, когато е Transparent режим e включен, режимът Direct се включва автоматично. Ако искате да имате Transparent режим без режим Direct, трябва да предприемете няколко допълнителни стъпки. 

Създайте правило на защитната стена за TCP_3128, което използва Web Policy - Block All. Поставете това правило над другите в защитната стена, както и потребителите за Transparent mode.

Бележка: Порт 3128 ще остане отворен и всичко в Web Exceptions, което пропуска проверка на политики ще бъде позволено, но всичко останало ще се визуализира страница за блокиран достъп. 

 

Само Direct Mode

  1. Отворете секцията Administrator → Device Access и се уверте, че Web Proxy е маркирано за LAN

    (кликнете тук, за да видите изображението в пълен размер)

  2. Когато защитната стена Sophos е в Direct прокси режим, правилото за защитна стена LAN-WAN трябва да позволи TCP порт 3128 в Services, както е показано тук:

  • Source Zones: LAN 

  • Source Networks and Devices: Any 

  • Destination Zones: WAN 

  • Destination Networks: Any 

  • Services: TCP_3128 

  • Rewrite source address (Masquerading): checked  

3. Създайте дефиниция на услугите за TCP 3128 

(кликнете тук, за да видите изображението в пълен размер)

Допълнителна информация

Ако администраторът иска да има различни политики за Source / Destination за Transparent и за Direct режим, Direct режим трябва да бъде поставен над Transparent режим в правилата на защитната стена.

 

 Ръководство на английски език: Sophos XG Firewall: Web proxy deployment modes

Свързани материали