Panduan konfigurasi pengecualian proksi Glasswall (PAC)
Gambaran keseluruhan
Semasa ujian dalaman pelaksanaan proksi ICAP kami pada macOS dan Windows, kami mengenal pasti satu had utama dalam cara pengecualian proksi pada peringkat pelayar dan peringkat sistem dikendalikan:
- Had aksara: Kedua-dua platform mengenakan bilangan aksara maksimum untuk senarai pengecualian setempat (medan "bypass proxy for").
- Impak: Apabila had ini dilebihi, sesetengah sistem akan kembali secara senyap kepada memintas proksi sepenuhnya, lalu mewujudkan jurang serius dalam penguatkuasaan policy.
Untuk mengelakkan isu ini, kami mengesyorkan agar pengecualian proksi diuruskan secara berpusat menggunakan fail PAC (proxy auto-config) dan bukannya bergantung pada konfigurasi setiap peranti.
Pendekatan yang disyorkan: gunakan fail PAC
Apakah itu fail PAC?
Fail proxy auto-config (PAC) ialah skrip konfigurasi berasaskan JavaScript yang mentakrifkan tingkah laku proksi secara dinamik berdasarkan URL permintaan, domain, IP atau parameter lain.
Manfaat
| Manfaat | Penerangan |
|---|---|
| ✅ Kawalan berpusat | Semua klien merujuk kepada satu fail PAC yang dihoskan secara berpusat. Kemas kini sekali, dan semua klien menerima perubahan tersebut. |
| 🚫 Tiada had aksara | Fail PAC boleh mengandungi ratusan pengecualian dan logik yang jauh melangkaui apa yang boleh dilakukan dalam medan GUI. |
| 🔄 Penghalaan dinamik | Takrifkan logik bersyarat (cth. "gunakan proksi untuk semua kecuali domain ini"). |
| 🔐 Integriti policy | Memastikan semua klien menggunakan logik pengecualian yang sama tanpa risiko memintas proksi. |
Langkah pelaksanaan
1. Cipta fail PAC
Gunakan contoh berikut sebagai asas:
function FindProxyForURL(url, host) {
// Domains to bypass proxy
if (dnsDomainIs(host, "internal.glasswall.com") ||
shExpMatch(host, "*.corpnet.glasswall.local") ||
isInNet(host, "10.0.0.0", "255.0.0.0")) {
return "DIRECT";
}
// Everything else goes through ICAP proxy
return "PROXY proxy.glasswall.com:3128";
}
Sesuaikan corak domain dan IP subnet mengikut keperluan.
2. Hoskan fail PAC
Letakkannya di lokasi yang boleh diakses melalui rangkaian:
- Pelayan web dalaman (cth.
https://intranet.glasswall.com/proxy.pac) - Perkongsian rangkaian (laluan SMB serasi macOS atau DFS)
Pastikan ia:
- Selamat (HTTPS diutamakan)
- Boleh dibaca oleh semua endpoint
- Dikawal versinya
3. Konfigurasikan klien untuk menggunakan PAC
Windows
- Use Group Policy (GPO) or Intune:
- Tetapkan
Automatic proxy configurationkepada URL PAC yang dihoskan. - Lumpuhkan pengecualian manual untuk mengelakkan penyalahgunaan had aksara.
- Tetapkan
macOS
- Use your Apple MDM provider
- Dayakan auto-config proksi melalui
.mobileconfig:
- Dayakan auto-config proksi melalui
<key>ProxyAutoConfigURLString</key>
<string>https://intranet.glasswall.com/proxy.pac</string>
4. Uji konfigurasi
- Open a browser and verify proxy behavior:
- Akses laman luaran (sepatutnya melalui ICAP).
- Akses domain/IP yang dikecualikan (sepatutnya pergi terus).
Nota daripada ujian dalaman
- Kes pinggir di mana sambungan pelayar atau aplikasi pihak ketiga mengenakan peraturan proksi tambahan mungkin mengatasi fail PAC.
- Pengecualian berkod keras pelayar (cth.
localhost,127.0.0.1) masih dipatuhi.
🔧 Penyelesaian masalah
| Gejala | Punca yang berkemungkinan | Penyelesaian |
|---|---|---|
| Semua trafik memintas proksi | Had aksara dicapai dalam senarai pengecualian | Gunakan fail PAC |
| Fail PAC tidak dipatuhi | URL tidak boleh dicapai atau tersalah konfigurasi | Sahkan URL boleh diakses daripada mesin klien |
| Aplikasi mengabaikan PAC | Aplikasi tidak menggunakan tetapan proksi sistem | Konfigurasikan aplikasi secara berasingan atau kuatkuasakan melalui peraturan firewall |
Ringkasan
Beralih kepada fail PAC untuk mengurus pengecualian proksi:
- Menyelesaikan had platform
- Memusatkan kemas kini policy
- Mengurangkan risiko salah konfigurasi
- Memastikan kawalan keselamatan kekal utuh
Untuk bantuan melaksanakan ini pada skala besar, hubungi pasukan infrastruktur IT atau kejuruteraan keselamatan.