SANGFOR ACSG v11度渠道初级认证培训11 上网代理.ppt

2、二级代理结合icap使用 代理策略即配置了二级代理，又配置了ICAP，则数据先走ICAP校验再走二级代理 1 2 3 4 5 6 7 8 9 显式代理 icap服务器 HTTP显式代理+icap使用 二级代理 PAC脚本 Contents host功能 显式代理下支持的用户认证 路由模式显式代理多线路选路策略 forward功能 PAC脚本 需求：内网访问内网服务器不走代理，内网通过代理服务器上外网 1 2 3 4 5 6 7 8 9 显式代理 icap服务器 HTTP显式代理+icap使用 二级代理 PAC脚本 Contents host功能 显式代理下支持的用户认证 路由模式显式代理多线路选路策略 forward功能 host使用 由于显式代理的场景，DNS解析由设备进行，因此就衍生出了用户需要编辑 设备HOSTS表的需求，以便于客户自定义HOSTS表 1 2 3 4 5 6 7 8 9 显式代理 icap服务器 HTTP显式代理+icap使用 二级代理 PAC脚本 Contents host功能 显式代理下支持的用户认证 路由模式显式代理多线路选路策略 forward功能 显式代理支持的用户认证 1 2 3 4 5 6 7 8 9 显式代理 icap服务器 HTTP显式代理+icap使用 二级代理 PAC脚本 Contents host功能 显式代理下支持的用户认证 路由模式显式代理多线路选路策略 forward功能 路由部署显式代理多线路选路 1、代理策略指定了出口IP地址 根据指定的IP地址，可以查到此IP属于哪条选路，进而找到选路对应的DNS，最终代理数据会根据代理策略绑定指定的线路出去。 2、代理策略自动选择IP DNS选第一条线路的第一个，最终选择的出口线路由多线路负载路由决定,推荐多线路策略路由设置如下： 假设客户有移动和电信两条线路，设备默认使用移动线路配置的DNS，默认大部分解析出来的是移动的地址，导致线路流量走向不均衡。 1 2 3 4 5 6 7 8 9 显式代理 icap服务器 HTTP显式代理+icap使用 二级代理 PAC脚本 Contents host功能 显式代理下支持的用户认证 路由模式显式代理多线路选路策略 forward功能 Forward Forward：公司内部服务器发布在公网上，员工浏览器通过代理访问公司内部服务器地址，SG可以直接将收到的数据转发到内部服务器 匹配了forward策略不会匹配代理策略 1、【系统诊断】/【命令控制台】 Proxydbg client_ip_addr，例如 proxydbg 23 这里只会打出错误日志，用于客户或销售做简单的问题排查； 这个命令如果通过shell调试，会打出所有日志 深信服社区资料库 社区资料库旨在为用户提供最新、最全的产品资料！ 访问方式： 资料分类： 深圳市南山区学苑大道1001号南山智园A1栋 market@ * * SANGFOR AC 上网代理 培训内容 培训目标 显式代理 掌握SG11.2支持的显式代理类型 icap服务器 了解金融行业常用的icap服务器以及各服务器相关的功能 HTTP显式代理+icap使用 掌握http显式代理+icap的使用，掌握ssl代理和ssl中间人使用 二级代理 掌握二级代理使用 PAC脚本 掌握PAC脚本使用 host功能 掌握host使用 显式代理下支持的用户认证 掌握显式代理下支持的认证 路由模式显式代理多线路选路策略 掌握路由模式显式代理多线路选路策略使用 forward功能 掌握forward使用场景及其配置 1 2 3 4 5 6 7 8 9 显式代理 icap服务器 HTTP显式代理+icap使用 二级代理 PAC脚本 Contents host功能 显式代理下支持的用户认证 路由模式显式代理多线路选路策略 forward功能 显式代理 AC11.8支持HTTP显式代理、SOCK4代理、SOCK5代理、PAC脚本。 注意：AC11.2以后没有上网加速功能，所以不支持HTTP透明代理，低版本有开启上网加速功能升级到AC11.2才会有代理模块。 1、HTTP代理使用 需求：客户公司有“客服部门”和“研发部门”，SG开启HTTP显式代理功能，现要求客服部门能通过SG显式代理上网，研发部门不能通过SG显式代理上网。如何实现？ 1.1 配置 (1)启用HTTP代理，并且配置代理端口 (2)配置代理策略，配置客服部门允许走上网代理，配置研发部门不允许走上网代理 可以选择代理上网具体IP 代理策略设置完如下： (3)设置认证策略 认证策略根据客户的实际需求设置，此处我们设置密码认证 (4)PC设置上网代理 1.2 效果 (1)客服部门打开网页弹出密码认