Panduan konfigurasi pengecualian proxy Glasswall (PAC)
Ikhtisar
Selama pengujian internal implementasi proxy ICAP kami di macOS dan Windows, kami mengidentifikasi keterbatasan utama dalam cara pengecualian proxy pada tingkat browser dan tingkat sistem ditangani:
- Batas karakter: Kedua platform memberlakukan jumlah karakter maksimum untuk daftar pengecualian lokal (kolom "bypass proxy for").
- Dampak: Ketika batas ini terlampaui, beberapa sistem secara diam-diam kembali ke melewati proxy sepenuhnya, sehingga menciptakan celah serius dalam penegakan policy.
Untuk menghindari masalah ini, kami merekomendasikan pengelolaan pengecualian proxy secara terpusat menggunakan file PAC (proxy auto-config) daripada mengandalkan konfigurasi per perangkat.
Pendekatan yang direkomendasikan: gunakan file PAC
Apa itu file PAC?
File proxy auto-config (PAC) adalah skrip konfigurasi berbasis JavaScript yang secara dinamis menentukan perilaku proxy berdasarkan URL permintaan, domain, IP, atau parameter lainnya.
Manfaat
| Manfaat | Deskripsi |
|---|---|
| ✅ Kontrol terpusat | Semua klien merujuk ke satu file PAC yang di-host secara terpusat. Perbarui sekali, dan semua klien menerima perubahan tersebut. |
| 🚫 Tidak ada batas karakter | File PAC dapat berisi ratusan pengecualian dan logika yang jauh melampaui apa yang dimungkinkan dalam kolom GUI. |
| 🔄 Perutean dinamis | Tentukan logika bersyarat (mis. "gunakan proxy untuk semuanya kecuali domain-domain ini"). |
| 🔐 Integritas policy | Memastikan semua klien menerapkan logika pengecualian yang sama tanpa risiko melewati proxy. |
Langkah-langkah implementasi
1. Buat file PAC
Gunakan contoh berikut sebagai dasar:
function FindProxyForURL(url, host) {
// Domains to bypass proxy
if (dnsDomainIs(host, "internal.glasswall.com") ||
shExpMatch(host, "*.corpnet.glasswall.local") ||
isInNet(host, "10.0.0.0", "255.0.0.0")) {
return "DIRECT";
}
// Everything else goes through ICAP proxy
return "PROXY proxy.glasswall.com:3128";
}
Sesuaikan pola domain dan subnet IP sesuai kebutuhan.
2. Host file PAC
Tempatkan di lokasi yang dapat diakses jaringan:
- Server web internal (mis.
https://intranet.glasswall.com/proxy.pac) - Share jaringan (jalur SMB yang kompatibel dengan macOS atau DFS)
Pastikan ini:
- Aman (HTTPS lebih disarankan)
- Dapat dibaca oleh semua endpoint
- Dikontrol versinya
3. Konfigurasikan klien untuk menggunakan PAC
Windows
- Use Group Policy (GPO) or Intune:
- Setel
Automatic proxy configurationke URL PAC yang di-host. - Nonaktifkan pengecualian manual untuk mencegah penyalahgunaan batas karakter.
- Setel
macOS
- Use your Apple MDM provider
- Aktifkan proxy auto-config melalui
.mobileconfig:
- Aktifkan proxy auto-config melalui
<key>ProxyAutoConfigURLString</key>
<string>https://intranet.glasswall.com/proxy.pac</string>
4. Uji konfigurasi
- Open a browser and verify proxy behavior:
- Akses situs eksternal (harus dirutekan melalui ICAP).
- Akses domain/IP yang dikecualikan (harus langsung).
Catatan dari pengujian internal
- Kasus tepi ketika ekstensi browser atau aplikasi pihak ketiga menerapkan aturan proxy tambahan dapat mengesampingkan file PAC.
- Pengecualian bawaan browser (mis.
localhost,127.0.0.1) tetap dipatuhi.
🔧 Pemecahan masalah
| Gejala | Kemungkinan penyebab | Resolusi |
|---|---|---|
| Semua lalu lintas melewati proxy | Batas karakter tercapai dalam daftar pengecualian | Gunakan file PAC |
| File PAC tidak dipatuhi | URL tidak dapat dijangkau atau salah konfigurasi | Pastikan URL dapat diakses dari mesin klien |
| Aplikasi mengabaikan PAC | Aplikasi tidak menggunakan pengaturan proxy sistem | Konfigurasikan aplikasi secara terpisah atau terapkan melalui aturan firewall |
Ringkasan
Beralih ke file PAC untuk mengelola pengecualian proxy:
- Mengatasi keterbatasan platform
- Memusatkan pembaruan policy
- Mengurangi risiko salah konfigurasi
- Memastikan kontrol keamanan tetap utuh
Untuk bantuan menerapkan ini dalam skala besar, hubungi tim infrastruktur IT atau rekayasa keamanan.