Gabay sa pag-configure ng Glasswall proxy exclusion (PAC)

Pangkalahatang-ideya

Sa panahon ng internal testing ng aming ICAP proxy implementation sa macOS at Windows, natukoy namin ang isang mahalagang limitasyon sa kung paano pinangangasiwaan ang browser-level at system-level na mga proxy exclusion:

Mga limitasyon sa character: Ang parehong platform ay nagpapatupad ng maximum na bilang ng character para sa lokal na exclusion list (ang field na "bypass proxy for").
Epekto: Kapag nalampasan ang limitasyong ito, ang ilang system ay tahimik na bumabalik sa ganap na pag-bypass sa proxy entirely, na lumilikha ng malulubhang puwang sa pagpapatupad ng policy.

Upang maiwasan ang isyung ito, inirerekomenda naming pamahalaan ang mga proxy exclusion nang sentral gamit ang isang PAC (proxy auto-config) file sa halip na umasa sa mga configuration sa bawat device.

Inirerekomendang paraan: gumamit ng PAC file

Ano ang PAC file?

Ang proxy auto-config (PAC) file ay isang JavaScript-based na configuration script na dinamikong tumutukoy sa asal ng proxy batay sa mga request URL, domain, IP, o iba pang parameter.

Mga benepisyo

Benepisyo	Paglalarawan
✅ Sentralisadong kontrol	Lahat ng client ay tumutukoy sa iisang centrally hosted na PAC file. Mag-update nang isang beses, at matatanggap ng lahat ng client ang pagbabago.
🚫 Walang limitasyon sa character	Ang PAC file ay maaaring maglaman ng daan-daang exclusion at logic na higit pa sa posible sa isang GUI field.
🔄 Dinamikong routing	Tukuyin ang conditional logic (hal. "gamitin ang proxy para sa lahat maliban sa mga domain na ito").
🔐 Integridad ng policy	Tinitiyak na lahat ng client ay naglalapat ng parehong exclusion logic nang hindi nalalagay sa panganib ang proxy bypass.

Mga hakbang sa pagpapatupad

1. Gumawa ng PAC file

Gamitin ang sumusunod na halimbawa bilang batayan:

function FindProxyForURL(url, host) {
  // Domains to bypass proxy
  if (dnsDomainIs(host, "internal.glasswall.com") ||
      shExpMatch(host, "*.corpnet.glasswall.local") ||
      isInNet(host, "10.0.0.0", "255.0.0.0")) {
    return "DIRECT";
  }

  // Everything else goes through ICAP proxy
  return "PROXY proxy.glasswall.com:3128";
}

I-customize ang mga pattern ng domain at mga subnet IP kung kinakailangan.

2. I-host ang PAC file

Ilagay ito sa isang lokasyong naa-access sa network:

Panloob na web server (hal.https://intranet.glasswall.com/proxy.pac)
Network share (SMB path na compatible sa macOS o DFS)

Tiyaking ito ay:

Ligtas (mas mainam ang HTTPS)
Nababasa ng lahat ng endpoint
May version control

3. I-configure ang mga client para gumamit ng PAC

Windows

Use Group Policy (GPO) or Intune:
- Itakda angAutomatic proxy configurationsa naka-host na PAC URL.
- I-disable ang mga manual exclusion upang maiwasan ang maling paggamit ng limitasyon ng character.

macOS

Use your Apple MDM provider
- I-enable ang proxy auto-config sa pamamagitan ng.mobileconfig:

<key>ProxyAutoConfigURLString</key>
<string>https://intranet.glasswall.com/proxy.pac</string>

4. Subukan ang configuration

Open a browser and verify proxy behavior:
- I-access ang mga external site (dapat dumaan sa ICAP).
- I-access ang mga excluded na domain/IP (dapat direktang dumaan).

Mga tala mula sa internal na testing

Ang mga edge case kung saan ang mga browser extension o third-party app ay naglalapat ng karagdagang mga proxy rule ay maaaring mag-override sa PAC file.
Ang mga hardcoded na exclusion ng browser (hal. localhost,127.0.0.1) ay nirerespeto pa rin.

🔧 Pag-troubleshoot

Sintomas	Malamang na sanhi	Resolusyon
Lahat ng trapiko ay lumalampas sa proxy	Naabot na ang limitasyon ng character sa exclusion list	Gumamit ng PAC file
Hindi nirerespeto ang PAC file	Hindi maabot ang URL o mali ang configuration	Kumpirmahing naa-access ang URL mula sa client machine
Hindi pinapansin ng app ang PAC	Hindi ginagamit ng app ang mga setting ng system proxy	I-configure nang hiwalay ang app o ipatupad sa pamamagitan ng mga firewall rule

Buod

Ang paglipat sa isang PAC file para sa pamamahala ng mga proxy exclusion:

Nalulutas ang mga limitasyon ng platform
Isinasentro ang mga update ng policy
Binabawasan ang mga panganib ng maling configuration
Tinitiyak na nananatiling buo ang mga security control

Para sa tulong sa pag-deploy nito nang malawakan, makipag-ugnayan sa IT infrastructure o security engineering team.

Pangkalahatang-ideya​

Inirerekomendang paraan: gumamit ng PAC file​

Ano ang PAC file?​

Mga benepisyo​

Mga hakbang sa pagpapatupad​

1. Gumawa ng PAC file​

2. I-host ang PAC file​

3. I-configure ang mga client para gumamit ng PAC​

Windows​

macOS​

4. Subukan ang configuration​

Mga tala mula sa internal na testing​

🔧 Pag-troubleshoot​

Buod​