FortiProxy: Шлюз Secure Web Gateway
Безопасность сети и оптимизация операций
Атаки становятся все более универсальными. Это означает, что эффективную защиту корпоративной сети от вредоносного веб-трафика, веб-сайтов и вирусов можно обеспечить лишь в рамках интегрированного подхода. Шлюз Fortinet Secure Web Gateway — FortiProxy — это единый продукт, который решает эти проблемы и обеспечивает защиту от веб-атак при помощи функций фильтрации URL-адресов, противодействия продвинутым угрозам и защиты от вредоносного ПО. Защитите конечных пользователей от интернет-угроз и обеспечьте согласованную реализацию политик.
Благодаря шлюзу Secure Web Gateway ряд смежных проблем безопасности можно решить при помощи одного продукта. Единое решение, включающее функции защиты от веб-атак с помощью фильтрации URL-адресов, противодействия продвинутым угрозам и защиты от вредоносного ПО, обеспечивает безопасность пользователей в условиях распространения интернет-угроз и согласованную реализацию интернет-политик.
Модели и характеристики FortiProxy
Для шлюза SWG доступно множество разных форм-факторов с разными моделями — от аппаратных средств начального уровня до виртуальных машин для развертывания в центре обработки данных.
Аппаратные средства
FortiProxy 400E
Модель | FortiProxy 400E |
Емкость лицензии | 500-4,000 Users |
Порты | 4x GE RJ45 |
FortiProxy 2000E
Модель | FortiProxy 2000E |
Емкость лицензии | 2,500-15,000 Users |
Порты | 2x 10 GE SFP+, 2x GE SFP ports, 2x GE RJ45 ports |
FortiProxy 4000E
Модель | FortiProxy 4000E |
Емкость лицензии | 10,000-50,000 Users |
Порты | 4x 10 GE SFP+, 2x GE SFP ports, 4x GE RJ45 ports |
Виртуальные машины
FortiProxy VM
Модель | FortiProxy VM |
Емкость лицензии | 100-25,000 Users |
Порты | 1 / 10 (Minimum/Maximum) |
Технические данные
FortiProxy Ordering Guide
This ordering guide is a quick reference to FortiProxy
Службы безопасности FortiGuard для FortiProxy
FortiProxy использует комплексные службы FortiGuard для защиты пользователей от новейших веб-угроз и обеспечения соответствия требованиям. Одной из ключевых служб является FortiGuard Web Filtering, которая представляет собой единственный сервис веб-фильтрации в отрасли, прошедший сертификационный тест на эффективность системы безопасности VBWeb компании Virus Bulletin.
Antivirus
Служба FortiGuard AntiVirus обеспечивает защиту от последних вирусов, шпионского ПО и прочих угроз на уровне содержимого. Эта служба оснащена ведущими современными модулями выявления угроз, которые предотвращают проникновение существующих и новых угроз в сеть с последующим доступом к ценному содержимому.
Подробнее
Application Control
Наше решение способствует повышению эффективности защиты и обеспечивает соответствие требованиям за счет реализации надлежащих политик при помощи уникальной функции отслеживания состояния запущенных пользователями приложений в режиме реального времени. Решение FortiGuard Application Control служит для оперативного создания политик разрешения, ограничения и запрета доступа к приложениям или целым категориям приложений.
Подробнее
FortiSandbox Cloud
Служба FortiSandbox Cloud — это решение для выявления продвинутых угроз, выполняющее динамический анализ для идентификации ранее неизвестного вредоносного ПО. Актуальные данные, созданные «песочницей» FortiCloud Sandbox, поступают в системы профилактической проверки внутри сети для обезвреживания угрозы.
Подробнее
Intrusion Prevention
FortiGuard IPS предотвращает вторжение в сеть за счет выявления и блокировки угроз до того, как они достигнут сетевых устройств.
Подробнее
Web Filtering
Подробнее
FortiProxy Secure Web Gateway — Демоверсия
В этом видео мы познакомим вас с некоторыми функциями и возможностями шлюза Fortinet Secure Web Gateway — FortiProxy.
Смотреть сейчасСведения о решении FortiProxy
FortiProxy — это высокопроизводительный прокси-сервер с физическими и виртуальными средствами локального развертывания, который подойдет организации любого размера.
Диагностика прокси-службы веб-приложения | Microsoft Learn
- Статья
- Чтение занимает 10 мин
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Данный материал относится к локальной версии прокси-сервера веб-приложения. Сведения о безопасном доступе к локальным приложениям через облако см. в содержимом прокси-сервера приложения Azure AD.
В этом разделе описаны процедуры устранения неполадок веб-Application Proxy включая объяснения событий и решения. Отображаются три места, в которых отображаются ошибки:
В консоли администрирования веб-Application Proxy
Каждый идентификатор события, указанный в консоли администрирования, можно просмотреть в Windows Просмотр событий, а соответствующие описания и решения приведены ниже.
Откройте Просмотр событий и найдите события, связанные с веб-Application Proxy в разделе «Приложения и службы LogsMicrosoft>>Windows>Web Application Proxy>Admin
При необходимости подробные журналы доступны, включив аналитические и отладочные журналы и включив журнал сеансов веб-Application Proxy, найденный в Windows Просмотр событий в разделе \ Microsoft \ Windows \ Web Application Proxy \ Admin.
В ошибках PowerShell
События проблем, возникающих во время настройки, отображаются в PowerShell.
Все ошибки отображаются пользователю PowerShell с помощью стандартных запросов ошибок PowerShell. Все команды PowerShell регистрируются как события. Все события, происходящие в PowerShell, перечислены в Windows Просмотр событий с идентификатором 12016 и определены ниже в разделе PowerShell.
В анализаторе рекомендаций
Эти события описаны в анализаторе рекомендаций для веб-Application Proxy
Сообщения PowerShell
Событие или симптом | Возможная причина | Решение |
---|---|---|
Недопустимый сертификат доверия («ADFS ProxyTrust — <имя> компьютера WAP») | Это может быть вызвано следующим: — Application Proxy машина была слишком длинной. | Убедитесь, что часы синхронизированы. Запустите командлет Install-WebApplicationProxy. |
Данные конфигурации не найдены в AD FS | Это может быть связано с тем, что веб-Application Proxy еще не был полностью установлен или из-за изменений в базе данных AD FS или повреждения базы данных. | Запуск командлета Install-WebApplicationProxy |
Произошла ошибка, когда веб-Application Proxy пытались считывать конфигурацию из AD FS. | Это может указывать на то, что AD FS недоступен или что AD FS столкнулась с внутренней проблемой, пытающейся считывать конфигурацию из базы данных AD FS. | Убедитесь, что AD FS доступен и работает правильно. |
Данные конфигурации, хранящиеся в AD FS, повреждены или веб-Application Proxy не удалось проанализировать его. ИЛИ Веб-Application Proxy не удалось получить список проверяющих сторон из AD FS. | Это может произойти, если данные конфигурации были изменены в AD FS. | Перезапустите службу веб-Application Proxy. Если проблема не исчезнет, запустите командлет Install-WebApplicationProxy. |
События консоли администрирования
Следующие события консоли администрирования обычно указывают на ошибки проверки подлинности, недопустимые маркеры или файлы cookie с истекшим сроком действия.
Событие или симптом | Возможная причина | Решение |
---|---|---|
11005 Веб-Application Proxy не удалось создать ключ шифрования файлов cookie с помощью секрета из конфигурации. | Параметр глобальной конфигурации AccessCookiesEncryptionKey был изменен командой PowerShell: Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey | Никаких действий не требуется. Проблематичный файл cookie был удален, и пользователь перенаправлялся на stS для проверки подлинности. |
12000 Веб-Application Proxy не удалось проверить наличие изменений конфигурации не менее 60 минут | Веб-Application Proxy не может получить доступ к конфигурации веб-Application Proxy с помощью команды Get-WebApplicationProxyConfiguration/Application. Обычно это вызвано отсутствием подключения к AD FS или необходимостью продления доверия с AD FS. | Проверьте подключение к AD FS. Это можно сделать с помощью ссылки https://< FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlMake, чтобы убедиться, что между AD FS и веб-Application Proxy установлено доверие. Если эти решения не работают, запустите командлет Install-WebApplicationProxy. |
12003 Веб-Application Proxy не удалось проанализировать файл cookie доступа. | Это может указывать на то, что веб-Application Proxy и AD FS не подключены или что они не получают ту же конфигурацию. | Проверьте подключение к AD FS. Это можно сделать с помощью ссылки https://< FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlMake, чтобы убедиться, что между AD FS и веб-Application Proxy установлено доверие. Если эти решения не работают, запустите командлет Install-WebApplicationProxy. |
12004 Веб-Application Proxy получил запрос с файлом cookie с невалидным доступом. | Это событие может указывать на то, что веб-Application Proxy и AD FS не подключены или что они не получают ту же конфигурацию. Если параметр AccessCookiesEncryptionKey был изменен с помощью команды Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey PowerShell, это событие является нормальным и не требует действий по разрешению. | Проверьте подключение к AD FS. Это можно сделать с помощью ссылки https://< FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlMake, чтобы убедиться, что между AD FS и веб-Application Proxy установлено доверие. Если эти решения не работают, запустите командлет Install-WebApplicationProxy. |
12008 Веб-Application Proxy превысило максимально допустимое количество разрешенных попыток проверки подлинности Kerberos на сервере. | Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером сервером серверных приложений, или проблема в конфигурации даты и времени на обоих компьютерах. | Сервер сервер отказался от билета Kerberos, созданного веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и сервер серверного приложения настроены правильно. Убедитесь, что конфигурация времени и даты в веб-Application Proxy и сервере серверных приложений синхронизируются. |
12011 Веб-Application Proxy получил запрос с недопустимой подписью файла cookie доступа. | Это событие может указывать на то, что веб-Application Proxy и AD FS не подключены или что они не получают ту же конфигурацию. Если параметр AccessCookiesEncryptionKey был изменен с помощью команды Set-WebApplicationProxyConfiguration -RegenerateAccessCookiesEncryptionKey PowerShell, это событие является нормальным и не требует действий по разрешению. | Проверьте подключение к AD FS. Это можно сделать с помощью ссылки https://< FQDN_AD_FS_Proxy>/FederationMetadata/2007-06/FederationMetadata.xmlMake, чтобы убедиться, что между AD FS и веб-Application Proxy установлено доверие. Если эти решения не работают, запустите командлет Install-WebApplicationProxy. |
12027 Прокси-сервер столкнулся с неожиданной ошибкой при обработке запроса. Предоставленное имя не является правильным именем учетной записи. | Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером контроллера домена или проблемой во времени и конфигурации даты на обоих компьютерах. | Контроллер домена отклонил билет Kerberos, созданный веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и сервер серверного приложения настроены правильно, особенно конфигурация имени субъекта-службы. Убедитесь, что веб-Application Proxy присоединен к тому же домену, что и контроллер домена, чтобы убедиться, что контроллер домена устанавливает доверие к веб-Application Proxy. Убедитесь, что конфигурация даты и времени в Веб-Application Proxy и контроллере домена синхронизированы. |
13012 Веб-Application Proxy получил невалидную подпись маркера edge | Убедитесь, что вы обновили веб-Application Proxy с 2955164 базы знаний. | |
13013 Веб-Application Proxy получил запрос, содержащий маркер edge с истекшим сроком действия. | Веб-Application Proxy и AD FS не синхронизированы часы. | Синхронизируйте часы между веб-Application Proxy и AD FS. |
13014 Веб-Application Proxy получил запрос с невалидным маркером edge. Недопустимый маркер, так как его не удалось проанализировать. | Это может указывать на проблему с конфигурацией AD FS. | Проверьте конфигурацию AD FS и при необходимости восстановите конфигурацию по умолчанию. |
13015 Веб-Application Proxy получил запрос с файлом cookie с истекшим сроком действия доступа. | Это может указывать на часы, которые не синхронизированы. | Если вы работаете с кластером компьютеров веб-Application Proxy, убедитесь, что время и дата компьютеров синхронизированы. |
13016 Веб-Application Proxy не может получить билет Kerberos от имени пользователя, так как в маркере edge или в файле cookie для доступа отсутствует имя участника-пользователя. | Существует проблема с конфигурацией службы маркеров безопасности. | Исправьте конфигурацию утверждения UPN в службе маркеров безопасности. |
13019 Веб-Application Proxy не удается получить билет Kerberos от имени пользователя из-за следующей общей ошибки API | Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером контроллера домена, а также проблему в конфигурации даты и времени на обоих компьютерах. | Контроллер домена отклонил билет Kerberos, созданный веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и внутреннего сервера приложений настроены правильно, особенно конфигурация имени субъекта-службы. Убедитесь, что веб-Application Proxy присоединен к тому же домену, что и контроллер домена, чтобы убедиться, что контроллер домена устанавливает доверие с веб-Application Proxy. Убедитесь, что конфигурация времени и даты в веб-Application Proxy и контроллере домена синхронизированы. |
13020 Веб-Application Proxy не может получить билет Kerberos от имени пользователя, так как имя субъекта-службы внутреннего сервера не определено. | Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером контроллера домена, а также проблему в конфигурации даты и времени на обоих компьютерах. | Контроллер домена отклонил билет Kerberos, созданный веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и внутреннего сервера приложений настроены правильно, особенно конфигурация имени субъекта-службы. Убедитесь, что веб-Application Proxy присоединен к тому же домену, что и контроллер домена, чтобы убедиться, что контроллер домена устанавливает доверие с веб-Application Proxy. Убедитесь, что конфигурация времени и даты в веб-Application Proxy и контроллере домена синхронизированы. |
13022 Веб-Application Proxy не может пройти проверку подлинности пользователя, так как внутренний сервер отвечает на попытки проверки подлинности Kerberos с ошибкой HTTP 401. | Это событие может указывать на неправильную конфигурацию между веб-Application Proxy и сервером серверных приложений, или проблему во времени и конфигурации даты на обоих компьютерах. | Внутренний сервер отклонил билет Kerberos, созданный веб-Application Proxy. Убедитесь, что конфигурация веб-Application Proxy и внутреннего сервера приложений настроены правильно. Убедитесь, что конфигурация времени и даты в веб-Application Proxy и сервере серверных приложений синхронизированы. |
13025 Клиент не указал SSL-сертификат в веб-Application Proxy. | Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна и что время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что отпечаток, настроенный для веб-Application Proxy, является правильным. |
13026 Клиент представил SSL-сертификат веб-Application Proxy, но сертификат недопустим: сертификат не соответствует отпечатку. | Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна и что время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что отпечаток, настроенный для веб-Application Proxy, является правильным. |
13028 Веб-Application Proxy получил запрос, содержащий маркер edge, который еще недопустим. | Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна и что время и дата веб-Application Proxy и AD FS синхронизированы. |
13030 Клиент представил SSL-сертификат веб-Application Proxy, но поставщик доверия не доверяет центру сертификации, выдаваемого сертификатом клиента. | Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна и что время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что отпечаток, настроенный для веб-Application Proxy, является правильным. |
13031 Клиент представил SSL-сертификат веб-Application Proxy, но цепочка сертификатов завершается в корневом сертификате, который не является доверенным поставщиком доверия. | Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна и что время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что отпечаток, настроенный для веб-Application Proxy, является правильным. |
13032 Клиент представил SSL-сертификат в веб-Application Proxy, но сертификат недопустим для запрошенного использования. | Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна и что время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что отпечаток, настроенный для веб-Application Proxy, является правильным. |
13033 Клиент представил SSL-сертификат веб-Application Proxy, но сертификат не был в течение срока действия при проверке текущих системных часов или метки времени в подписанном файле. | Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна и что время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что отпечаток, настроенный для веб-Application Proxy, является правильным. |
13034 Клиент представил SSL-сертификат веб-Application Proxy, но сертификат недопустим. | Это событие может указывать на проблему в конфигурации времени и даты. | Убедитесь, что инфраструктура сертификатов действительна и что время и дата веб-Application Proxy и AD FS синхронизированы. Убедитесь, что отпечаток, настроенный для веб-Application Proxy, является правильным. |
Следующие события консоли администрирования обычно указывают на проблемы, связанные с конфигурацией, такой как подготовка, запросы, которые не являются успешными, внутренние серверы, которые недоступны и переполнения буфера.
Событие или симптом | Возможная причина | Решение |
---|---|---|
12019 Веб-Application Proxy не удалось создать прослушиватель для следующего URL-адреса. | Возможная причина события заключается в том, что другая служба прослушивает тот же URL-адрес. | Администратор должен убедиться, что никто не прослушивает или не привязывается к тем же URL-адресам. Чтобы проверить это, выполните команду: netsh http show urlacl. Если этот URL-адрес используется другим компонентом, работающим на компьютере веб-Application Proxy, удалите его или используйте другой URL-адрес для публикации приложений через веб-Application Proxy. |
12020 Веб-Application Proxy не удалось создать резервирование для следующего URL-адреса. | Возможная причина события заключается в том, что у другой службы есть резервирование по тому же URL-адресу. | Администратор должен убедиться, что никто не привязывается к тем же URL-адресам. Чтобы проверить это, выполните команду: netsh http show urlacl. Если этот URL-адрес используется другим компонентом, работающим на компьютере веб-Application Proxy, удалите его или используйте другой URL-адрес для публикации приложений через веб-Application Proxy. |
12021 Веб-Application Proxy не удалось привязать сертификат SSL-сервера. Были применены все остальные параметры конфигурации. | Не удается создать и задать запись конфигурации данных SSL-сертификата. | Убедитесь, что отпечатки сертификатов, настроенные для приложений веб-Application Proxy, установлены на всех компьютерах веб-Application Proxy с закрытым ключом в хранилище локальных компьютеров. |
13001 Сертификат SSL-сервера, представленный веб-Application Proxy сервером, недопустим; сертификат не является доверенным. | Одна или несколько ошибок были обнаружены в ssl-сертификате, отправленном сервером. Это может указывать на то, что внутренний сервер предоставил ssl, который был недопустим или что между веб-Application Proxy и внутренним сервером нет доверия. | Проверка SSL-сертификата внутреннего сервера. Убедитесь, что компьютер веб-Application Proxy настроен с правильным корневым ЦС для доверия сертификату внутреннего сервера. |
13006 | Если код ошибки 0x80072ee7, ошибка возникает из-за невозможности разрешения URL-адреса внутреннего сервера. Другие коды ошибок описаны в разделе https://msdn.microsoft.com/library/windows/desktop/aa384110(v=vs.85) | Убедитесь, что URL-адрес внутреннего сервера является правильным и что его имя можно разрешить правильно с веб-Application Proxy компьютера. |
13007 Http-ответ от внутреннего сервера не был получен в течение ожидаемого интервала. | Время ожидания запроса внутреннего сервера истекло или не отвечает. | Проверьте конфигурацию внутреннего сервера. Если это очень медленно, проверьте подключение к внутреннему серверу, а также рассмотрите возможность изменения командлета параметра глобальной конфигурации веб-Application Proxy для InactiveTransactionsTimeoutSec. |
См. также:
Новые возможности веб-Application Proxy в Windows Server 2016Working с веб-Application Proxy
Обзор рынка прокси-серверов Secure Web Gateways (SWG)
Главная » Обзоры
Вебинар «Песочница промышленного масштаба: защищаемся от атак на АСУ ТП с помощью PT Sandbox»22 сентября эксперты Positive Technologies продемонстрируют работу промышленной версии песочницы PT Sandbox. Она позволяет детектировать действия зловредов, специфических для промышленности, анализирует поведение файлов с конечных узлов АСУ ТП и выявляет вредоносное ПО, нацеленное на компоненты SCADA.Зарегистрироваться »
11 Июля 2017 — 21:32
Вверх
Проголосовало: 219
Обзоры
Аналитика
Анализ рынка
Корпорации
Blue Coat
Cisco
UserGate
Forcepoint
Kerio
РТК-Солар
Symantec
Trend Micro
А-Реал Консалтинг
Айдеко
Смарт-Софт
Check Point Next Generation Secure Web Gateway
Cisco Web Security Appliance
UserGate Web Filter
Forcepoint Web Security
Fortinet FortiGate
Ideco ICS
Kerio Control
Smart-Soft Traffic Inspector
Solar Dozor Web Proxy
Symantec ProxySG
Trend Micro InterScan Web Security
Интернет Контроль Сервер
UserGate
Сетевые экраны для рабочих станций (Firewall)
Сетевая безопасность
Системы контентной веб-фильтрации
На фоне стремительного развития ИБ-технологий стали ускользать из упоминания пионеры обеспечения безопасного сетевого взаимодействия — Secure Web Gateways (SWG). На российском рынке Secure Web Gateways стали почти незаметны на фоне развивающихся рынков UTM и NGFW. Поэтому в данном обзоре мы напомним о таких компонентах сетевой инфраструктуры, как прокси-серверы с функциями информационной безопасности, и расскажем о существующих на рынке решениях.
1. Введение
2. Назначение и виды прокси-серверов
3. Мировой рынок прокси-серверов
4. Российский рынок прокси-серверов
5. Обзор SWG-продуктов
5.1. Check Point Next Generation Secure Web Gateway
5.2. Cisco Web Security Appliance
5.3. Forcepoint Web Security
5.4. Smart-Soft Traffic Inspector
5.5. Solar Dozor Web Proxy
5.6. Symantec ProxySG (Blue Coat ProxySG)
5.7. Trend Micro InterScan Web Security
6. Обзор продуктов других производителей — в качестве альтернативы SWG
6.1. Entensys UserGate Web Filter
6.2. Fortinet FortiGate
6.3. Ideco ICS
6.4. Kerio Control
6.5. Интернет Контроль Сервер
7. Обзор бесплатных прокси-серверов
7.1. Squid
7.2. 3proxy
8. Выводы
Введение
В настоящее время может показаться, что термин «прокси-сервер» исчез из употребления в профессиональных сообществах. Больший интерес сейчас проявляется к средствам защиты такого класса, как DLP, SIEM, SOC, NGFW, WAF, а прокси-серверы как бы остались в стороне. Однако это только первые впечатления. На самом деле прокси-серверы из самостоятельных решений перешли в состав многофункциональных комплексов, например, таких, как шлюзы/серверы безопасности или интернет-шлюзы.
Одним из хороших примеров такого развития является история роста Microsoft Proxy Server до ISA Server и далее до Microsoft Forefront Threat Management Gateway. Возможно, это не самый удачный пример, так как 9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG (основная поддержка прекращена 14.04.2015 года, а расширенная закончится 14. 04.2020 года). О возможных вариантах замены Forefront TMG мы уже писали в нашей статье «Незаменимых нет: куда мигрировать с Forefront TMG?». Но речь сейчас не об этом.
В целом решения такого класса, как прокси-серверы — есть. И они представлены либо в виде самостоятельных продуктов (такие все-таки остались), либо в виде комплексных систем. При этом на рынке присутствуют как бесплатные продукты, так и платные. В этом обзоре мы расскажем о таких решениях, существующих на российском рынке.
Назначение и виды прокси-серверов
С терминологической точки зрения ничего нового в понятии прокси-сервера не появилось. По-прежнему это посредник между пользователями и интернет-ресурсами. Прокси-сервер предназначен для решения следующих задач:
- Контроль доступа и использования интернет-ресурсов пользователями. Позволяет ограничить доступ к различным сайтам; установить квотирование трафика, полосы пропускания, временные интервалы доступа, выполнить контентную фильтрацию (например, рекламы). Поддерживает ведение журналов регистрации действий пользователя в Сети, включая фиксацию даты, времени и просмотренного содержимого.
- Повышение скорости доступа к ресурсам и экономия трафика с сохранением пропускной способности. Позволяет сжимать трафик и кэшировать данные. Загруженная из интернета информация может быть передана пользователю в сжатом виде. При обращении пользователя к какому-либо интернет-ресурсу прокси-сервер сохраняет копию просмотренных веб-страниц в локальном хранилище. При повторном обращении и после проверки отсутствия изменений на ресурсе прокси-сервер предоставит пользователю сохраненную копию из локального хранилища.
- Обеспечение конфиденциальности пользователей для внешних ресурсов. Позволяет скрывать для внешних ресурсов сведения об истинном источнике запроса. Для внешнего ресурса в качестве источника запроса будет выступать прокси-сервер, а не конечный пользователь.
- Защита внутренней сети организации от внешнего доступа. Позволяет организовать обращения к внешним ресурсам только через прокси-сервер. Тем самым исключается возможность обратного доступа со стороны внешних ресурсов непосредственно на рабочие места внутри организации (так как видеть они будут только прокси-сервер, а не конкретные рабочие места). Кроме того, может поддерживаться шифрование.
На практике выделяют следующие основные типы прокси-серверов:
- Шлюз (gateway), или прокси-сервер туннелирования (tunneling proxy) — к такому типу относятся прокси-серверы, которые передают запросы и ответы между пользователями и интернет-ресурсами без изменений.
- Прямой прокси-сервер (forward proxy) — прокси-сервер, ориентированный на доступ пользователей к внешним ресурсам интернета. Прямые прокси-серверы, по большому счету, можно разделить на два основных вида: внутренние и открытые (open proxy). К внутренним относятся прокси-серверы, устанавливаемые на границе сетевой инфраструктуры организации для управления (ограничения) доступа внутренних пользователей к интернет-ресурсам. Открытые прокси-серверы — это серверы, доступ к которым может получить любой пользователь интернета. В Сети в открытом виде размещаются и поддерживаются в актуальном состоянии перечни таких open-proxy-серверов. Как правило, открытые прокси-серверы пользователями применяются для обхода ограничений доступа к внешним интернет-ресурсам и анонимизации. Одним из представителей такого средства анонимизации выступает Tor — система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищенное от прослушивания. По поводу обеспечения им анонимности мы уже высказывали свое мнение в статье «Действительно ли браузер Tor обеспечивает полную анонимность?». В данном обзоре мы не рассматриваем открытые прокси-серверы.
- Обратный прокси-сервер (reverse proxy) — прокси-сервер, в противоположность прямому, ориентированный на доступ внешних сотрудников к внутренним ресурсам организации через интернет.
В зависимости от способа подключения в сетевой инфраструктуре и дальнейшей работы прокси-сервера выделяют следующие основные варианты его применения:веб-прокси (web proxy), SOCKS-прокси, прозрачный прокси (transparent proxy), DNS-прокси и другие.
Мировой рынок прокси-серверов
Исследовательская компания Gartner объединила производителей прокси-серверов с функциями безопасности в сегмент Secure Web Gateways (SWG). Проведя свое исследование в 2017 году, Gartner распределила производителей по магическому квадранту следующим образом:
Рисунок 1. Магический квадрант Gartner для SWG
В исследованиях указывается, что продукты, предлагаемые в виде облачных услуг (SWG-services), развиваются стремительнее, чем SWG-appliance. Однако, SWG-appliance все еще занимают более 70% рынка решений. Согласно определению, к SWG относятся продукты, обеспечивающие URL-фильтрацию, защиту от вредоносного кода и возможность контроля доступа приложений в интернет.
Важно отметить, что в исследовании Gartner в качестве SWG не рассматриваются UTM-устройства и NGFW-устройства (которые также позволяют обеспечить фильтрацию URL-адресов и защиту от вредоносных программ).
Лидерами мирового рынка, по результатам исследований компании Gartner, являются Symantec и ZScaler. В июне 2016 года компания Symantec сделала довольно хитрый ход, позволяющий ей перепрыгнуть из нишевых игроков рынка сразу в лидеры — она совершила крупную покупку, приобретя Blue Coat Systems Inc.
К претендентам в лидерство, чьи продукты хорошо зарекомендовали себя на рынке, относятся: Cisco, Forcepoint (бывший Websense) и McAfee (бывший Intel Security).
Основными нишевыми игроками рынка являются Barracuda Networks, Trend Micro, Sophos, Sangfor, ContentKeeper.
Из квадранта 2017 года по сравнению с 2016 была исключена компания Trustwave. Это произошло из-за того, что компания не смогла получить заметного дохода от продажи SWG.
По оценкам компании Gartner, совокупный доход вендоров, представленных в квадранте, в 2016 году составил $1,6 млрд. Таким образом, по сравнению с 2015 годом доход вырос на 7%. При этом доход от реализации облачных услуг составляет порядка 29% от общего объема реализованных в 2016 году решений. И, по прогнозам, эта доля будет увеличиваться с каждым годом.
Российский рынок прокси-серверов
Если на глобальном рынке такие продукты представлены сегментом SWG, то на российском рынке ситуация немного сложнее. Учитывая менталитет российского потребителя («нам бы все и сразу»), функции безопасности прокси-сервера отечественные вендоры стараются реализовать в составе своих комплексных решений. Явной и, наверное, самой передовой в этом случае альтернативой SWG в России являются UTM- и FW‑решения.
На российском рынке наиболее распространены продукты таких международных компаний, как Blue Coat (с недавних пор Symantec), Cisco, Forcepoint (Websense) и Trend Micro. Бесплатную альтернативу продуктам этих компаний предлагает Squid-cache.org. Все эти компании, по нашей оценке, можно считать лидерами рынка в России. Присутствуют на рынке также ContentKeeper, Sophos, Barracuda Networks, Kerio Technologies.
Отечественные вендоры предлагают решения со сходной функциональностью, но в других рыночных сегментах. К ним можно отнести: Entensys, «Етайп», «А-Реал Консалтинг», «Смарт-Софт» и Solar Security.
Учитывая особенности российского рынка и многообразие представителей, наиболее распространенные в России продукты можно разделить на следующие группы:
- SWG-продукты:
- Check Point Next Generation Secure Web Gateway
- Cisco Web Security Appliance (WSA)
- Forcepoint Web Security (бывший Websense TRITON AP-WEB)
- Smart Soft Traffic Inspector
- Solar Dozor Web Proxy (Solar Security)
- Symantec Corporation (Blue Coat) ProxySG
- Trend Micro InterScan Web Security
- Альтернатива SWG (UTM-, FW- и другие решения производителей, не вошедших в первую группу):
- Entensys UserGate Web Filter
- Fortinet FortiGate
- Kerio Control
- Интернет Контроль Сервер (компания «А-Реал Консалтинг», на основе open-source-решений)
- Бесплатные прокси-серверы:
- Squid (open-source-решение)
- 3proxy (open-source-решение)
У производителей SWG-продуктов из первой группы есть свои собственные альтернативные решения, реализованные в виде комплексов UTM и NGFW, но мы решили кратко рассказать, что же могут предложить на этом поприще и другие вендоры.
Для укрепления своих позиций на российском рынке вендоры стремятся включить свои продукты в «Единый реестр российских программ для электронных вычислительных машин и баз данных» и сертифицировать их в соответствии с требованиями ФСТЭК России.
Отдельных представителей группы «альтернатива SWG», а именно UTM-решения, мы уже рассматривали ранее (см. «Обзор корпоративных UTM-решений на российском рынке»). Поэтому подобные комплексные решения в нашем обзоре мы будем рассматривать только с точки зрения функции безопасности прокси-сервера.
Обзор SWG-продуктов
Check Point Next Generation Secure Web Gateway
Компания Check Point предлагает шлюз для защиты доступа к интернет-ресурсам нового поколения (Next Generation Secure Web Gateway). Этот продукт охватывает широкий спектр приложений и обеспечивает безопасное использование web 2.0, защиту от заражения вредоносными программами, гранулированный контроль и функции обучения конечных пользователей.
Преимущества:
- Блокирование доступа к зараженным (вредоносным и фишинговым) сайтам.
- Блокирование использования опасных веб-приложений или их отдельных функций (библиотека 4800 веб-приложений).
- Возможность использования опционально доступной IPS-системы для предотвращения эксплуатации уязвимостей браузера и приложений.
- Проверка защищенного SSL-трафика, позволяет устанавливать исключения в рамках проверки SSL, пропуская без проверки отдельные части зашифрованного контента.
- Фильтрация URL-адресов на основании категорий, пользователей, групп и устройств.
- Единые политики контроля для приложений и фильтрации URL.
- Применение динамически обновляемого облачного сервиса ThreatCloud, который в режиме реального времени передает на интернет-шлюз информацию о новейших угрозах.
- Гибкая система формирования и предоставления отчетов о часто используемых приложениях, посещаемых сайтах, детальной активности пользователей в интернете и многом другом.
Подробнее с Check Point Next Generation Secure Web Gateway можно ознакомиться здесь.
В качестве альтернативы этому продукту вендор предлагает Check Point Next Generation Firewall. Он выполняет контроль за идентификацией, блокирует или ограничивает использование приложений и виджетов для обмена сообщениями, сканирует передаваемые данные, а также обладает функционалом системы предотвращения вторжений (IPS). Этот продукт является одним из пакетов безопасности, поставляемых в составе программно-аппаратных комплексов. Подробнее о нем можно узнать здесь.
Cisco Web Security Appliance
Компания Cisco предлагает шлюз для защиты доступа к интернет-ресурсам Cisco Web Security Appliance (WSA). Он объединяет в себе средства защиты от вредоносных программ, средства контроля и управления использованием веб-приложений и средства обеспечения безопасного мобильного доступа. Также WSA помогает защищать и контролировать веб-трафик организации, снижая ее затраты на интернет. Он реализован в виде программно-аппаратного устройства, виртуального образа (virtual appliance) и услуг облачной инфраструктуры.
Преимущества:
- Функционирование в качестве прозрачного прокси и явного прокси (explicit proxy).
- Возможность функционирования в качестве обратного прокси.
- Применение для таких протоколов передачи данных, как: HTTP/HTTPs, SOCKS, FTP, FTP over HTTP, WCCP.
- Проверка защищенного SSL-трафика. Позволяет устанавливать исключения в рамках проверки SSL, пропуская без проверки отдельные части зашифрованного контента.
- Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: basic, NTLM, LDAP.
- Поддержка протокола ICAP — для интеграции с DLP или другими системами безопасности.
- Поддерживается интеграция с Active Directory.
- Кэширование данных.
- Выполнение контентной фильтрации и категорирования интернет-ресурсов.
- Возможность обеспечения оперативной и всесторонней защиты веб-сайтов с помощью Talos Security Intelligence.
- Наличие встроенных функций предотвращения утечки данных (DLP).
- Обнаружение вредоносного кода и рекламного программного обеспечения. Интеграция с платформой защиты от вредоносного кода, поддерживающей в том числе и запуск исследуемого файла в песочнице.
- Настройка ограничений на доступ в интернет по времени и пропускной способности.
- Контроль доступа пользователей в интернет. Позволяет в том числе блокировать не сайты целиком, а отдельные веб-приложения.
- Блокировка доступа к сайтам с опасной активностью (включая блокировку коммуникаций с ботнет-сетями и их командными центрами).
- Поддержка технологий сквозного контроля сетевого доступа Cisco TrustSec.
- Защита и контроль мобильных пользователей.
- Гибкий механизм формирования отчетности. Централизация отчетности при эксплуатации в режиме распределенных офисов и множества устройств.
Подробнее о Cisco Web Security Appliance можно ознакомиться здесь и здесь.
Альтернативой этому продукту от того же вендора является Cisco ASA с сервисами FirePower — Next Generation Firewall с активной защитой от угроз, контролем состояния в сочетании со средствами контроля приложений, системой предотвращения вторжений нового поколения и защитой от сложных вредоносных программ. Поставляется продукт в виде программно-аппаратного устройства. Подробнее с продуктом можно ознакомиться здесь
Forcepoint Web Security
Продукты Forcepoint (более известной в России под старым именем Websense) ориентированы на предоставление сотрудникам организаций беспрепятственного доступа к данным с обеспечением защиты ее интеллектуальной собственности.
Компания предлагает продукт Forcepoint Web Security — раньше он назывался TRITON AP-WEB. Он построен на универсальной платформе, обеспечивающей возможность интеграции с другими продуктами компании. Этот продукт обеспечивает комплексную защиту в режиме реального времени от целевых атак, кражи конфиденциальных данных, внедрения вредоносного кода. Forcepoint Web Security реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.
Преимущества:
- Применение в качестве прозрачного и явного прокси.
- Применение в качестве обратного прокси.
- Применение для таких протоколов, как HTTP/HTTPs, FTP, FTP over HTTP.
- Фильтрация IM-протоколов: Jabber, Yahoo Mail Char/Messenger, MSN, Google Talk.
- Кэширование данных. Возможность использования в качестве DNS proxy cache — позволяет обрабатывать DNS-запросы, уменьшая нагрузку на удаленные DNS-серверы и время отклика на запросы.
- Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: LDAP, RADIUS, Novell eDirectoary, Windows Directory, Microsoft TMG.
- Возможность настройки квотирования времени доступа к интернету и блокирования доступа на определенный период.
- Контентная фильтрация и категорирование интернет-ресурсов (включая новые ресурсы). Поддержка протокола ICAP (Internet Content Adaptation Protocol).
- Мониторинг веб-трафика посредством использования песочницы для исследования поведения с помощью анализа кода в реальном времени, направленного на идентификацию угроз.
- Возможность взаимодействия с вышестоящим (родительским) прокси-сервером. Построение цепочки прокси-серверов.
- Интеграция с DLP-системой Forcepoint DLP.
- Наличие гибкого механизма формирования отчетности.
Подробнее с продуктом Forcepoint Web Security (TRITON AP-WEB) можно ознакомиться здесь и здесь.
Вендор предлагает в том числе и альтернативный продукт — Forcepoint Stonesoft Next Generation Firewall. Он имеет функциональность детального контроля приложений, системы предотвращения вторжений (IPS), встроенной виртуальной частной сети (VPN) и глубокой проверки пакетов. Продукт реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры. Подробнее с продуктом можно ознакомиться здесь.
Smart-Soft Traffic Inspector
«Смарт-Софт» разрабатывает комплексные средства обеспечения информационной безопасности, организации и контроля интернет-доступа. Компания предлагает свой флагманский продукт Traffic Inspector — сертифицированный по новым Требованиям ФСТЭК России комплексное решение информационной безопасности. Сертификат ФСТЭК России № 2407 (срок действия 15.08.2011 – 15.08.2020).
Решение реализует следующий состав универсальных функций: организация доступа к интернету из локальной сети, контроль и учет трафика, межсетевой экран, антивирусная защита, блокировка рекламы, сайтов, спама, маршрутизация по условию, прокси-сервер, контентная фильтрация, ограничение скорости работы в интернете, биллинговая система и многое другое.
Traffic Inspector устанавливается на стандартном персональном компьютере, выполняющем функции шлюза для LAN-сети и рассчитано на использование в Windows-среде.
Преимущества:
- Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных».
- Функционирует как прозрачный прокси.
- Применение для таких протоколов, как HTTP/1.1 (поддержка FTP over HTTP, перенаправление SSL-соединений (метод HTTP CONNECT)), FTP, SOCKS 4/5.
- Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: basic (открытым паролем) или интегрированная через домен Windows (NTLM v. 1/2), по IP и MAC-адресам, VLan ID.
- Гибкая настройка кэширования, включая индивидуальную настройку параметров кэширования для отдельных интернет-ресурсов.
- Для фильтрации существует возможность указания типа контента, а также выполнения анализа протокола и URL вплоть до контекстного поиска с помощью регулярных выражений.
- Контроль внешнего трафика посредством использования контролируемых счетчиков, описываемых в качестве IP-сетей.
- Перенаправление HTTP-запросов на другой прокси-сервер (при использовании каскадной организации прокси-серверов) и блокирование HTTP-трафика, направляемого в обход прокси-сервера.
- Ограничение индивидуальной скорости передачи и приема для каждого пользователя, группы пользователей.
- Ограничение трафика по количеству пакетов (для предотвращения перегрузки сети).
- Выставление отдельных ограничений скорости для конкретного типа трафика или исключения определенного типа трафика из состава контролируемых.
- Выборочное включение записи в журнал регистрации всех запросов через прокси-сервер.
- Запись сетевой статистики во внутреннюю СУБД программы, а также синхронизация внутренней СУБД с внешней базой на MSSQL 2005, либо MySQL, либо PosrgreSQL.
Подробнее о Traffic Inspector можно узнать здесь.
Альтернативным продуктом этого же вендора является Traffic Inspector Next Generation. Этот продукт представляет собой UTM-решение, построенное на базе open-sourсe-решения — OPNsense. Traffic Inspector Next Generation обеспечивает межсетевое экранирование с динамической фильтрацией пакетов, мониторинг и управление трафиком, а также анализ трафика на уровне приложений. Он может быть развернут на UNIX-подобных системах. Подробнее о Traffic Inspector Next Generation можно узнать здесь.
Solar Dozor Web Proxy
Компания Solar Security предлагает продукт: «Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy). Он предназначен для защиты корпоративных локальных вычислительных сетей от рисков, связанных с использованием веб-ресурсов, а также для контроля использования сотрудниками ресурсов интернета. Защита обеспечивается комплексом мер, включая фильтрацию содержимого информационного обмена, осуществляемого по протоколам HTTP(s) и FTP over HTTP, авторизацию пользователей и протоколирование их действий.
Dozor Web Proxy работает под управлением Linux (дистрибутивы CentOS 6.7/RHEL 6.7).
Преимущества:
- Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных» («Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy))
- Балансировка и отказоустойчивость. Возможность работы в распределенном режиме (продукт развернут на нескольких серверах).
- Работа прокси в прозрачном режиме, в том числе при контроле HTTPS. Возможность прозрачного контроля шифрованного трафика (SSL-трафика). Расшифровка трафика выполняется по технологии Man-in-the-Middle.
- Возможность разграничения прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: basic, NTLM, Kerberos, IP-адреса. Поддерживается интеграция с Active Directory.
- Организация фильтрации на основании более 30 параметров: членство в группе, URL или IP-адрес ресурса, ключевые слова, расписание, порты, протоколы, тип передаваемого файла, категории веб-сайтов.
- Возможность использования для категоризации веб-ресурсов сторонних решений, например, Blue Coat или iAdmin, а также ведения локального списка категорий.
- Возможность принудительного использования протокола HTTPs в случае его поддержки на стороне интернет-ресурса.
- Возможность блокирования рекламных баннеров при помощи специальной базы adBlock.
- Мониторинг деятельности пользователей в интернете и формирование сводных данных об их работе в виде разнообразных статистических отчетов (более 60 готовых шаблонов отчетов).
- Возможность взаимодействия с вышестоящим (родительским) прокси-сервером.
- Возможность интеграции с серверами антивирусов Symantec Scan Engine, DrWeb, Kaspersky Antivirus и ClamAv для защиты от вредоносных кодов, распространяемых через зараженные веб-сайты.
- Контроль веб-запросов и интеграция с корпоративной DLP-системой Solar Dozor.
Подробнее с продуктом Dozor Web Proxy можно ознакомиться здесь.
Symantec ProxySG (Blue Coat ProxySG)
Blue Coat ProxySG долгое время является лидером мирового рынка SWG. Фактически ProxySG — это целое семейство устройств, представляющих собой масштабируемую прокси-платформу. ProxySG предназначен для обеспечения безопасности взаимодействия с интернет-ресурсами (web security) и оптимизации работы бизнес-приложений (WAN optimization).
ProxySG работает на основе фирменной операционной системы Blue Coat SGOS и поставляется в виде физических устройств (ProxySG и Advanced Security Gateway) и виртуальных образов (virtual appliance) для ESX/ESXi, Hyper-V или Amazon Web Services.
Преимущества:
- Функционирование в качестве прозрачного и явного прокси одновременно.
- Возможность функционирования в качестве обратного прокси (Web Application Firewall бесплатный).
- Контроль ненадлежащего использования интернет-ресурсов.
- Применение для таких протоколов передачи данных, как: HTTP/HTTPs, CIFS, SSL, FTP, FTP-over-HTTP, MAPI, P2P, MMS, RTMP, RTSP, QuickTime, TCP-Tunnel, DNS, WCCP.
- Поддержка протокола ICAP — для интеграции с DLP или другими системами безопасности.
- Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: на основании локальных списков пользователей; IWA (Basic, NTLM, Microsoft Kerberos), LDAP (Active Directory, eDirectory, SunOne), CA eTrust SiteMinder, Oracle Access Manager, RADIUS; применение сертификатов; поддержка SSO и прозрачной аутентификации, а также последовательная аутентификация в нескольких системах.
- Сжатие и кэширование данных.
- Управления сетевыми протоколами и полосой пропускания каналов связи.
- Позволяет блокировать отдельные приложения и действия в этих приложениях (например, загрузку/выгрузку вложений в веб-почте или отправку писем или сообщений в социальных сетях).
- Выполнение контентной фильтрации и категорирования интернет-ресурсов — BlueCoat WebFilter или BlueCoat Intelligence Services.
- Аппаратное ускорение SSL-трафика. Контроль параметров SSL-соединений: валидности сертификатов серверов, версий протоколов шифрования SSL/TLS, шифрования и контроля целостности SSL/TLS-соединения (cipher suites). Функционал Encrypted TAP позволяет отдать расшифрованный *-over-SSL-трафик (HTTPS, IMAPS и т. д.) на анализ во внешнее устройство безопасности (например, песочницу) в раскрытом виде.
- Использование фирменной операционной системы Blue Coat SGOS.
- Интеграция с такими решениями Blue Coat, как Content Analysis System, Malware Analysis Appliance, SSL Visibility Appliance и Intelligent Services. Интеграция с этими продуктами позволяет значительно повысить уровень сетевой безопасности.
- Возможность сбора статистической информации и формирования отчетов в отношении протоколов передачи данных (более 60 контролируемых параметров), а также для определения эффективности и активности рабочих мест пользователей.
Подробнее с продуктом ProxySG можно ознакомиться здесь и здесь.
Trend Micro InterScan Web Security
Trend Micro InterScan Web Security предназначен для обеспечения динамической защиты на уровне интернет-шлюзов как от известных, так и от новейших комбинированных веб-угроз. Функции управления приложениями в сочетании с модулями обнаружения уязвимостей нулевого дня, поиска вредоносных программ, определения репутации веб-сайтов в режиме реального времени, фильтрации URL-адресов и расширенного обнаружения бот-сетей позволяют обеспечивать безопасность систем и эффективную работу пользователей.
Trend Micro InterScan Web Security реализован в виде программного виртуального устройства (virtual appliance) — InterScan Web Security Virtual Appliance (IWSVA) и услуги облачной инфраструктуры, предоставляемой по модели SaaS — InterScan Web Security as a Service (IWSaaS).
Преимущества:
- Применение в качестве прозрачного моста и явного прокси.
- Возможность применения в качестве обратного прокси.
- Применение для мониторинга более чем 1000 интернет-протоколов и приложений, в числе которых: наиболее распространенные протоколы HTTP/HTTPs, FTP, приложения для мгновенного обмена сообщениями (мессенджеры), одноранговые сети (P2P), соцсети и потоковый медиаконтент.
- Контентная фильтрация исходящего трафика с целью предотвращения утечки данных благодаря применению модуля защиты от утечек (DLP).
- Мониторинг опасного контента, включая возможность расшифровки (полной или избирательной) HTTPs-трафика.
- Настройка квотирования времени использования интернет-ресурсов (веб-активности пользователей).
- Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: IP-адрес, наименование хоста, LDAP.
- Блокировка доступа к сайтам с опасной активностью (включая блокировку коммуникаций с ботнет-сетями и их командными центрами).
- Категоризация и оценка репутации URL-адресов.
- Поддержка интеграции со сторонними кэширующими и обычными прокси-серверами, а также сетевыми хранилищами по протоколам ICAP и WCCP, Syslog и SNMP.
- Централизованное управление распределенными шлюзами.
- Гибкий механизм формирования отчетности. Централизация отчетности при эксплуатации в режиме распределенных офисов и множества устройств.
Подробнее с Trend Micro InterScan Web Security можно ознакомиться здесь и здесь.
Обзор продуктов других производителей — в качестве альтернативы SWG
Entensys UserGate Web Filter
Компания Entensуs (Новосибирск) разрабатывает продукты сетевой безопасности. Ее продукты: Entensys UserGate Web Filter и Entensys UserGate UTM.
Entensys UserGate Web Filter обеспечивает фильтрацию загружаемого контента, блокировку опасных веб-страниц и негативных баннеров, защиту от вредоносов и многих других интернет-угроз. Продукт может быть развернут на виртуальных машинах (VMWare, Virtual Box и др. ), в виде виртуального образа или аппаратно-программного комплекса. UserGate Web Filter предоставляет возможность встраивания в сеть на уровне L2, что не требует изменения существующей инфраструктуры.
Преимущества:
- Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных».
- Обеспечение высокоточной URL-фильтрации. Морфологический анализ контента в реальном времени. Веб-фильтрация осуществляется на уровне обработки DNS- и HTTP-/HTTPs- запросов. Контентная фильтрация обеспечивается на основании технологии Deep Content Inspection (DCI).
- Блокировка сторонней баннерной рекламы, приложений для социальных сетей.
- Обеспечение безопасного поиска. Включает возможность принудительной активации «безопасного режима» в популярных поисковых системах и на YouTube.
- Поддержка запросов на фильтрацию по ICAP-протоколу от любого внешнего прокси-сервера или сетевого шлюза.
- Контроль, фиксация (журналирование) и анализ посещаемые пользователем интернет-ресурсы.
- Антивирусная защита посредством применения собственного облачного антивируса, осуществляющего эффективную проверку трафика в режиме реального времени.
- Работа прокси в прозрачном режиме.
- Возможность контроля/фильтрации шифрованного трафика (HTTPs/SSL-трафика) посредством применения технологии подмены сертификата (trusted man-in-the-middle — MitM).
- Блокировка IP-адресов ботнет-сетей посредством применения репутации адресов.
- Поддержка работы с черными и белыми списками ресурсов.
- Кэширование загружаемого контента.
Подробнее с продуктом UserGate Web Filter можно ознакомиться здесь.
Кроме UserGate Web Filter у вендора есть аналог — это Entensys UserGate UTM. Он представляет собой интернет-шлюз — единое решение, включающее в себя: межсетевой экран нового поколения, систему обнаружения вторжений, защиту от вредоносных программ и вирусов, систему контент-фильтрации, серверный антиспам, VPN-сервер. Продукт может использоваться как программно-аппаратный комплекс или может быть установлен на виртуальной машине. Подробнее с ним можно ознакомиться здесь.
Fortinet FortiGate
Fortinet специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. В числе решений межсетевые экраны, антивирусные программы, системы предотвращения вторжений и обеспечения безопасности конечных точек.
Fortinet предлагает серию UTM-устройств FortiGate, которые поддерживают такие сервисы, как межсетевой экран (FW), VPN, IPS, контроль приложений, URL-фильтрация, антивирус и антиспам.
Преимущества:
- Функционирует в режиме Sniffer и как прозрачный прокси.
- Применение для таких протоколов, как HTTP/HTTPs, FTP, SMTP/ SMTPs, POP3/ POP3s, IM.
- Настройка ограничения по времени доступа в интернет.
- Контентная фильтрация. Возможность создания собственных категорий фильтрации.
- Настройка балансировки нагрузки.
- Настройка правил трансляции адресов.
- Возможность использования функциональности DLP-решений.
- Временная блокировка IP-адреса сервера (атакующего/атакуемого) или интерфейса с помощью функционала обнаружения и предотвращения вторжений (IPS).
- Настройка записи в журнал доступа к выбранным категориям веб-сайтов.
- Хранение журналов событий и копии трафика. Формирование отчетов (по запросу и по расписанию) на основе собранной информации.
- Собственная операционная система FortiOS.
Подробнее с FortiGate можно ознакомиться здесь, а также в материалах на нашем сайте здесь и здесь.
Ideco ICS
Компания «Айдеко» образована в 2005-ом году и является российским производителем программных продуктов для построения сетей и развития сетевых инфраструктур любого уровня сложности.
Флагманский продукт — Шлюз безопасности Ideco ICS — многофункциональное программное и программно-аппаратное UTM-решение для организации защищенного доступа в Интернет в корпоративных и ведомственных сетях.
Преимущества:
- Система предотвращения вторжений: анализ входящего и исходящего трафика, блокирование атак, DDoS, spyware, ботнетов и предупреждение вирусной активности внутри сети.
- Безопасный VPN: несколько протоколов с криптостойким шифрованием и широким списком поддерживаемых клиентов (в том числе мобильными ОС): PPTP, OpenVPN и IPsec.
- Антивирус и антиспам: современные технологии обеспечивают антиспам- и антивирусную проверку трафика.
- Публикация ресурсов: защита (Web Application Firewall) внутренних веб-ресурсов при публикации их в Интернет. Защита и фильтрация почтового трафика для опубликованных почтовых серверов (через почтовый релей).
- Межсетевой экран. Блокирование IP-адресов, пользователей и протоколов по заданным условиям. Защита от сканеров сети, DoS, MIT-атак и блокирование чрезмерной активности с помощью предустановленных правил.
- Контентная фильтрация: управление доступом в более чем 500 млн URL, классифицированных по 140 категориям. Блокировка нецелевого использования ресурсов в интернете, защита от фишинговых, вирусных и мошеннических сайтов.
- HTTPS-фильтрация. Весь защищенный htpps-трафик доступен всем сервисам проверки на шлюзе: системе контентной фильтрации, антивирусам и системе статистики.
- Система отчётов: удобный инструмент IT-менеджера для анализа эффективности использования интернет-ресурсов.
- Управление сервером осуществляется из любой точки сети через русскоязычный веб-интерфейс.
Подробнее с продуктом Ideco ICS можно ознакомиться здесь.
Kerio Control
Компания Kerio Technologies предлагает продукт Kerio Control (ранее известный как Kerio WinRoute Firewall и WinRoute Pro). Kerio Control — это программный межсетевой экран. Его основными функциями являются: организация безопасного доступа пользователей в интернет, надежная сетевая защита локальной сети, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента. Межсетевой экран сертифицирован ФСТЭК России — сертификат №3351 (срок действия 18.02.2015-18.02.2018).
Kerio Control может быть развернут посредством использования: Software Appliance (основан на Linux kernel v.3.16), VMware Virtual Appliance и Hyper-V Virtual Appliance.
Преимущества:
- Функционирует как обратный прокси.
- Применение для таких протоколов, как HTTP/HTTPs, FTP.
- Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: basic, NTLM, Kerberos.
- Настройка ограничения по количеству подключений и временному интервалу.
- Поддержка трансляции префикса сети для протокола IPv6.
- Балансировка нагрузки между несколькими интернет-каналами с автоматическим переключением активного канала.
- Возможность обеспечения гарантированной скорости передачи данных для трафика с высокой важностью (качество обслуживания QoS) и ограничения скорости передачи данных для трафика низкой важности.
- Настройка квотирования: объема передаваемых данных пользователями, полосы пропускания и скорости передачи данных.
- Возможность блокирования P2P-соединений.
- Контентная фильтрация на основании временных интервалов, имен пользователей, приложений, веб-категорий, URL-групп, типов файлов. В том числе поддерживается применение регулярных выражений в отношении URL-правил.
Подробнее с продуктом Kerio Control можно ознакомиться здесь.
Интернет Контроль Сервер
Компания «А-Реал Консалтинг» разрабатывает собственный продукт Интернет Контроль Сервер (далее — ИКС). Это комплексное решение, представляющее собой интернет-шлюз. ИКС может использоваться в качестве прокси-сервера и осуществляет сжатие данных, кэширование веб-страниц и объектов, скачанных из сети, защиту NAT, управление сетевой подсистемой, взаимодействие с вышестоящим (родительским) прокси-сервером, блокировку доступа пользователей к определенным URL-адресам. Возможно применение ИКС в качестве прозрачного прокси в случае отсутствия авторизации пользователей по логину/паролю, а также применение для протоколов HTTP/HTTPs, SOCKS.
Также Интернет Контроль Сервер включает в себя межсетевой экран, VPN, контент-фильтр, DLP, сетевые сервисы, модули антивируса и антиспама. Интернет-шлюз для корпоративной сети может поставляться в виде программного и программно-аппаратного решения (с адаптированной аппаратной частью), также поддерживает виртуальное развертывание. Программный межсетевой экран ИКС является сертифицированной ФСТЭК России версией продукта — сертификат ФСТЭК №2623 (срок действия 19.04.2012 – 19.04.2018).
Преимущества:
- Регистрация Программного межсетевого экрана Интернет Контроль Сервер в Едином реестре российских программ для электронных вычислительных машин и баз данных.
- Возможность объединения серверов в кластер и централизованное управление.
- Система обнаружения вторжений Suricata.
- Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: по пользователям, IP-адресам, имени/паролю, через Active Directory, программу-агента, VPN-соединение (PPPoE, PPTP).
- Поддержка функций брандмауэра и фильтрации содержимого (Layer 7-фильтрация, контент-анализ с помощью категорий трафика SkyDNS и KWF, категоризация сайтов).
- Широкие возможности сетевых сервисов (файловый, почтовый, web-, ftp-, jabber-серверы, ip-телефония).
- Учет трафика и формирование детальной статистики по обращениям пользователей к интернет-ресурсам.
- Интеграция с антивирусами ClamAv, DrWeb и Kaspersky Antivirus.
- Использование встроенной операционной системы. Дополнительное программное обеспечение не требуется.
Подробнее с модулем Прокси-сервер продукта Интернет Контроль Сервер можно ознакомиться здесь.
Обзор бесплатных прокси-серверов
Squid
Проект Squid начинался с NSF-гранта (NCR-9796082), а сейчас поддерживается инициативной группой. Squid представляет собой кэширующий прокси-сервер. Он был разработан как программа с открытым исходным кодом и распространяется в соответствии с лицензией GNU GPL.
Может быть развернут на UNIX-подобных системах и на операционных системах Windows.
Преимущества:
- Бесплатный.
- Использование в качестве прозрачного прокси-сервера в сочетании с некоторыми межсетевыми экранами и маршрутизаторами.
- Использование в качестве обратного прокси-сервера. В данном режиме предоставляется возможность распределения запросов между несколькими серверами, тем самым осуществляется балансировка нагрузки и обеспечивается отказоустойчивость.
- Применение для таких протоколов, как HTTP/HTTPs, FTP, Gopher.
- Возможность интеграции с Active Directory.
- Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: по IP-адресу (или доменному имени узла), по логину/паролю, по идентификатору используемого браузера.
- Возможность ограничения максимальной скорости получения данных пользователем. Данная возможность реализована посредством механизма пулов задержки (delay pools).
- Кэширование запросов пользователей.
- Ограничение доступа пользователей к запрещенным ресурсам (или организация доступа только к разрешенным ресурсам).
- Контроль времени доступа.
- Фильтрация (перенаправление) запросов пользователей к баннерам и счетчикам.
Подробнее с прокси-сервером Squid можно ознакомиться здесь.
3proxy
Проект разработан и поддерживается инициативной группой. 3proxy — это кроссплатформенный комплект прокси-серверов. Он был разработан как программа с открытым исходным кодом и может использоваться по лицензии GNU GPL. 3proxy поставляется в двух вариантах:
- В виде набора отдельных модулей: proxy, socks, pop3p, tcppm, udppm.
- В виде универсального прокси-сервера (3proxy). Универсальный прокси-сервер представляет собой законченную программу, не требующую отдельных модулей.
В силу кроссплатформенности может быть развернут на UNIX-подобных системах и на операционных системах Windows (включая 64-разрядные).
Преимущества:
- Бесплатный.
- Небольшой по объему в силу отсутствия графического интерфейса. Вся настройка осуществляется с помощью создания и модификации конфигурационного файла.
- Функционирует как прозрачный прокси-сервер.
- Возможно применение в качестве обратного прокси-сервера (режим connect back).
- Применение для таких протоколов, как HTTP/HTTPs, FTP, SOCKS v4/5, POP3, SMTP, IM-протоколов (AIM/ICQ, MSN).
- Применение в качестве кэширующего DNS-прокси.
- Ограничение доступа пользователей к веб-ресурсам с помощью списков доступа, формируемых на основании логинов пользователей, списка сетей (IP-адреса и маски), списка портов. Список пользователей формируется на основании логина (имени) пользователя и пароля (включая тип пароля).
- Управление шириной потребляемого канала.
- Квотирование трафика (по дням, неделям, месяцам) и скорости приема данных.
- Перенаправление соединений на другой прокси-сервер (при использовании каскадной организации прокси-серверов).
- Поддержка IPv6.
Выводы
Несмотря на появление новых классов средств защиты информации (DLP, SIEM, SOC ,UTM, NGFW и WAF), прокси-сервер по-прежнему остается востребованным компонентом сетевой инфраструктуры. Производители предлагают решения, реализующие функции прокси-сервера как в виде самостоятельных продуктов, так и в составе многофункциональных комплексов.
На российском рынке много отечественных компаний, чьи продукты включены в «Единый реестр российских программ для электронных вычислительных машин и баз данных». Только в своем обзоре мы привели несколько таких компаний:
- Entensys — решения Entensys UserGate Web Filter и Entensys UserGate UTM.
- «А-Реал Консалтинг» — решение «Программный межсетевой экран «Интернет Контроль Сервер».
- «Смарт-Софт» — решение Traffic Inspector (Traffic Inspector GOLD, Traffic Inspector FSTEC, Traffic Inspector Enterprise, Traffic Inspector Next Generation).
- Solar Security — решение «Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy).
Все представленные в обзоре продукты в целом обладают схожими по составу функциональными возможностями:
- Ограничение доступа к ресурсам.
- Квотирование трафика, полосы пропускания, временных интервалов доступа.
- Контентная фильтрация (например, рекламные баннеры).
- Сбор статистической информации о действиях пользователей в интернете (фиксация даты, времени и просмотренного содержимого).
- Сжатие трафика и кэширование данных.
- Сокрытие для внешних ресурсов сведений об истинном источнике запроса.
- Разграничения прав доступа к ресурсам посредством различных механизмов аутентификации (авторизации).
Отличия рассмотренных продуктов проявляются в следующем:
- Способ подключения: в качестве прозрачного или обратного прокси, а некоторые могут использоваться в обоих режимах.
- Наличие кэширования данных и способы его организации: в виде файлов или баз данных.
- Механизмы аутентификации/авторизации: basic, NTLM, Kerberos, по IP-адресу, по логину/паролю, по результатам подзапроса, идентификатору используемого браузера, VLan ID.
- Поддерживаемые протоколы: HTTP/HTTPs (поддержка FTP over HTTP), FTP, SOCKS 4/5, POP3, SMTP, SIP и H.323, TCP и UDP, Gopher.
- Поддерживаемые платформы для установки прокси-сервера: физическая или виртуальная машина, UNIX-подобные системы, операционные системы Windows и macOS, собственная ОС, встроенная в продукт и не требующая установки дополнительного программного обеспечения.
- Способах поставки: программные, программно-аппаратные решения.
- Возможности взаимодействия с вышестоящими (родительскими) прокси-серверами.
- Стоимости: бесплатные (Squid), платные — стоимость зависит от вида подписки (лицензии).
- Возможность интеграции с DLP-системами из коробки по стандартным протоколам.
В целом рынок прокси-серверов продолжает развиваться, но по большей части уже в составе комплексных решений, в том числе UTM. А на фоне общего технологического развития (применение облачной инфраструктуры и облачных сервисов, а также распространенность мобильных технологий) спрос на такие решения будет расти.
Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Kaspersky Web Traffic Security | Лаборатория Касперского
Интернет является источником огромного количества киберугроз, возможно уступая лишь электронной почте. Поэтому любой организации необходима эффективная система защиты веб-трафика. Kaspersky Web Traffic Security проверяет входящий и исходящий трафик, проходящий через интернет-шлюз, а также позволяет контролировать доступ ваших сотрудников к интернет-ресурсам. Это первый эшелон защиты, который обнаруживает угрозы (включая вредоносное ПО, шифровальщики и фишинговые ссылки) и блокирует их до того, как они смогут заразить конечные узлы сети. Это позволяет минимизировать риски, связанные с неосмотрительным использованием веб-ресурсов и несанкционированной передачей конфиденциальных данных.
- ФУНКЦИИ
- Системные требования
ФУНКЦИИ
Многоуровневая защита от вредоносного ПО
Многоуровневая облачная защита от вредоносного ПО (на базе Kaspersky Security Network)
Kaspersky Web Traffic Security включает последнюю версию передового антивирусного движка «Лаборатории Касперского» и получает информацию в режиме реального времени из глобальной облачной системы Kaspersky Security Network (KSN). Это сочетание позволяет добиться максимального уровня защиты шлюзов и обеспечить эффективное обнаружение и удаление опасных объектов, в том числе эксплойтов, вредоносных скриптов и других известных, неизвестных и сложных угроз.
Репутационная фильтрация
Эта технология обнаруживает подозрительные и нежелательные файлы и URL-адреса с помощью репутационных данных, получаемых из баз глобальной облачной сети Kaspersky Security Network (KSN) или ее локальной версии Kaspersky Private Security Network (KPSN).
Обнаружение зараженных документов
Внедрение вредоносных скриптов в документы применялось в некоторых наиболее опасных недавних кибератаках, таких как ExPetr / Petya / NotPetya. Kaspersky Web Traffic Security обнаруживает вредоносные элементы в различных типах документов, включая документы Microsoft Office и PDF-файлы, и блокирует их открытие.
Обнаружение потенциально опасных программ
Внедрение вредоносных скриптов в документы использовалось в некоторых наиболее опасных кибератаках, таких как ExPetr / Petya / NotPetya. Kaspersky Web Traffic Security проверяет документы различных типов (включая файлы Microsoft Office и PDF) на наличие вредоносных элементов и при обнаружении признаков заражения блокирует доступ к файлу.
Защита от шифровальщиков
Kaspersky Web Traffic Security обеспечивает защиту от различных видов программ-вымогателей, в том числе новейших и сложных.
Контроль доступа к интернету
Веб-Контроль с категоризацией
Распределение веб-ресурсов по более чем 40 категориям с использованием нашей обширной базы URL-адресов позволяет гибко и точно применять заданные ограничения. Блокирование URL-адресов не требует перехвата SSL (SSL-bumping), даже если трафик зашифрован.
Контентная фильтрация
Передача файлов в обоих направлениях через ваш интернет-шлюз может быть заблокирована в соответствии с правилами фильтрации. Возможна фильтрация по имени (можно использовать специальные символы), расширению (с использованием распознавателя формата для выявления файлов с поддельным расширением), размеру, типу MIME и / или контрольным суммам.
Сбор данных
Интеграция с ICAP
Продукт поддерживает интеграцию с прокси-серверами и системами хранения данных по протоколам ICAP и ICAP(s).
Поддержка контроля зашифрованного трафика
Там, где применяется контроль трафика (SSL-bumping), после настройки корпоративного прокси-сервера Kaspersky Web Traffic Security может контролировать зашифрованный SSL-трафик и анализировать объекты (такие как объекты веб-трафика HTPPS), проходящие через защищенный канал;
Производительность, масштабируемость, отказоустойчивость
Кластерное развертывание
Возможность кластерного развертывания позволяет обрабатывать большие объемы трафика и добавлять новые узлы по мере роста нагрузки на сеть.
Шлюз информационной безопасности (Secure Web Gateway) НОВИНКА
Готовое к работе виртуальное устройство безопасности включает в себя преднастроенный прокси-сервер и систему защиты проходящего через него трафика.
Поддержка рабочих областей
Иногда растущему бизнесу с распределенной структурой требуется обеспечить независимость отдельных проектов или филиалов таким образом, чтобы для каждого действовали отдельные политики. При этом у главного офиса должна быть возможность полностью управлять доступом на более высоком уровне. Для этого в Kaspersky Web Traffic Security предусмотрен специальный режим поддержки независимых рабочих областей.
Гибкость настройки
Если вам не нужны специфические настройки безопасности, например, массовое сканирование трафика в телекоммуникационной компании, то вы можете использовать версию решения с базовыми параметрами, что позволит увеличить производительность системы защиты.
Простое администрирование
Веб-консоль управления
Удобная веб-консоль позволяет эффективно управлять безопасностью интернет-шлюзов из любой точки, что особенно актуально для предприятий с географически распределенной инфраструктурой.
Управление доступом на основе ролей
Решение позволяет назначать роли для различных категорий администраторов, чтобы гибко ограничивать их доступ к тем или иным областям консоли управления.
Управление событиями
Результаты анализа угроз представляются с ориентацией на события и отображением активности в режиме реального времени. Кроме того, можно анализировать поведение пользователей в интернете.
Интеграция с SIEM-системами
Информация о событиях безопасности на уровне шлюза может быть легко включена в общий поток событий в инфраструктуре, контролируемых корпоративной SIEM-системой.
Поддержка нескольких клиентов
Благодаря поддержке нескольких рабочих областей, которая может применяться для централизованного управления безопасностью компаний-клиентов, Kaspersky Web Traffic Security является идеальным решением для поставщиков IT-услуг (MSP).
Настройка параметров прокси-сервера устройства и подключения к Интернету
- Статья
- 11 минут на чтение
Применяется к:
- Microsoft Defender для конечной точки, план 2
- Защитник Microsoft 365
Хотите попробовать Defender for Endpoint? Подпишитесь на бесплатную пробную версию.
Для датчика Defender for Endpoint требуется Microsoft Windows HTTP (WinHTTP) для передачи данных датчика и связи со службой Defender for Endpoint. Встроенный датчик Defender for Endpoint работает в контексте системы с использованием учетной записи LocalSystem. Датчик использует HTTP-службы Microsoft Windows (WinHTTP) для связи с облачной службой Defender for Endpoint.
Совет
В организациях, использующих прокси-серверы пересылки в качестве шлюза в Интернет, можно использовать защиту сети для расследования событий подключения, происходящих за прокси-серверами пересылки.
Параметр конфигурации WinHTTP не зависит от параметров прокси-сервера просмотра Windows Internet (WinINet) (см. WinINet и WinHTTP). Он может обнаружить прокси-сервер только с помощью следующих методов обнаружения:
Методы автообнаружения:
Ручная настройка статического прокси:
Примечание
Антивирус Defender и прокси EDR можно настроить независимо. В следующих разделах помните об этих различиях.
Настройте статический прокси-сервер на основе реестра для датчика обнаружения и ответа Defender for Endpoint (EDR), чтобы сообщать диагностические данные и обмениваться данными со службами Defender for Endpoint, если компьютеру не разрешено подключение к Интернету.
Примечание
При использовании этого параметра в Windows 10, Windows 11, Windows Server 2019 или Windows Server 2022 рекомендуется иметь следующую (или более позднюю) сборку и накопительный пакет обновления:
- Windows 11
- Windows 10 версии 1809 или Windows Server 2019 или Windows Server 2022 — https://support.microsoft.com/kb/5001384
- Windows 10, версия 1909 — https://support. microsoft.com/kb/4601380
- Windows 10, версия 2004 — https://support.microsoft.com/kb/4601382
- Windows 10, версия 20х3 — https://support.microsoft.com/kb/4601382
Эти обновления улучшают возможности подключения и надежность канала CnC (Command and Control).
Статический прокси-сервер можно настроить с помощью групповой политики (GP), оба параметра в разделе значений групповой политики должны быть настроены на прокси-сервер для использования EDR. Групповая политика доступна в административных шаблонах.
Административные шаблоны > Компоненты Windows > Сбор данных и предварительные сборки > Настроить использование прокси-сервера с проверкой подлинности для службы подключенных пользователей и телеметрии .
Установите его на Включено и выберите Отключить использование прокси-сервера с проверкой подлинности .
Административные шаблоны > Компоненты Windows > Сбор данных и предварительные сборки > Настройка подключенных пользователей и телеметрии :
Настройте прокси.
Групповая политика | Ключ реестра | Запись реестра | Значение |
---|---|---|---|
Настройка использования прокси-сервера с проверкой подлинности для подключенного пользователя и службы телеметрии | HKLM\Software\Policies\Microsoft\Windows\DataCollection | Дисаблеэнтерпрайзеауспрокси | 1 (РЕГ_DWORD) |
Настройка подключенных пользователей и телеметрии | HKLM\Software\Policies\Microsoft\Windows\DataCollection | Телеметрический прокси-сервер | имя_сервера:порт или IP-адрес:порт Например: |
Примечание
Если вы используете параметр «TelemetryProxyServer» на устройствах, которые в противном случае полностью отключены от сети , что означает, что операционная система не может подключиться к онлайн-списку отозванных сертификатов или Центру обновления Windows, рекомендуется добавить дополнительный параметр реестра PreferStaticProxyForHttpRequest
со значением 1
.
Путь родительского реестра для «PreferStaticProxyForHttpRequest» — «HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection»
Для вставки значения реестра в правильное место можно использовать следующую команду:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection" /v PreferStaticProxyForHttpRequest /t REG_DWORD /d 1 /f
Вышеупомянутое значение реестра применимо только начиная с MsSense.exe версии 10.8210.* и выше или версии 10.8049.* и выше (в Windows Server 2012R2/2016 с унифицированным агентом)
Облачная защита Microsoft Defender Antivirus обеспечивает почти мгновенную, автоматизированная защита от новых и возникающих угроз. Обратите внимание, что подключение требуется для пользовательских индикаторов, когда Defender Antivirus является вашим активным решением для защиты от вредоносных программ. Для EDR в блочном режиме имеет основное решение по защите от вредоносных программ при использовании решения, отличного от Microsoft.
Настройте статический прокси-сервер с помощью групповой политики, доступной в административных шаблонах:
Административные шаблоны > Компоненты Windows > Антивирус Microsoft Defender > Определить прокси-сервер для подключения к сети .
Установите для него значение Включено и определите прокси-сервер. Обратите внимание, что URL-адрес должен иметь либо http://, либо https://. Поддерживаемые версии для https:// см. в разделе Управление обновлениями антивирусной программы Microsoft Defender.
В разделе реестра
HKLM\Software\Policies\Microsoft\Windows Defender
политика устанавливает значение реестраProxyServer
как REG_SZ.Значение реестра
ProxyServer
принимает следующий строковый формат:<имя или IP-адрес сервера>:<порт> Например: http://10.0.0.6:8080
Примечание
В целях обеспечения отказоустойчивости и обеспечения защиты в режиме реального времени антивирусная программа Microsoft Defender будет кэшировать последний известный работающий прокси-сервер. Убедитесь, что ваше прокси-решение не выполняет проверку SSL. Это нарушит безопасное облачное соединение.
Антивирусная программа Microsoft Defender не будет использовать статический прокси-сервер для подключения к Центру обновления Windows или Центру обновления Майкрософт для загрузки обновлений. Вместо этого он будет использовать общесистемный прокси-сервер, если он настроен на использование Центра обновления Windows, или настроенный внутренний источник обновлений в соответствии с настроенным резервным порядком.
При необходимости можно использовать Административные шаблоны > Компоненты Windows > Антивирусная программа Microsoft Defender > Определить автоматическую настройку прокси-сервера (.pac) для подключения к сети. Если вам нужно настроить расширенные конфигурации с несколькими прокси, используйте Административные шаблоны > Компоненты Windows > Антивирусная программа Microsoft Defender > Определите адреса для обхода прокси-сервера и запретите антивирусной программе Microsoft Defender использовать прокси-сервер для этих назначений.
Вы можете использовать PowerShell с командлетом Set-MpPreference
для настройки следующих параметров:
- ProxyBypass
- Проксипакурл
- Прокси-сервер
Примечание
Чтобы правильно использовать прокси-сервер, настройте следующие три разных параметра прокси-сервера:
- Защитник Майкрософт для конечной точки (MDE)
- AV (Антивирус)
- Обнаружение конечной точки и ответ (EDR)
Настройте прокси-сервер вручную с помощью команды netsh
Используйте netsh для настройки общесистемного статического прокси-сервера.
Примечание
- Это повлияет на все приложения, включая службы Windows, которые используют WinHTTP с прокси-сервером по умолчанию.
Открыть командную строку с повышенными привилегиями:
- Перейдите к Начните и введите cmd .
- Щелкните правой кнопкой мыши Командная строка и выберите Запуск от имени администратора .
Введите следующую команду и нажмите Введите :
netsh winhttp установить прокси <прокси>:<порт>
Например:
netsh winhttp установить прокси 10.0.0.6:8080
Чтобы сбросить прокси-сервер winhttp, введите следующую команду и нажмите Enter :
netsh winhttp сбросить прокси
Дополнительные сведения см. в разделе Синтаксис, контексты и форматирование команд Netsh.
Включить доступ к URL-адресам службы конечной точки Microsoft Defender на прокси-сервере
По умолчанию, если прокси-сервер или брандмауэр по умолчанию блокирует весь трафик и разрешает только определенные домены, добавьте домены, перечисленные в загружаемом листе, в разрешенные домены. список.
В следующей загружаемой электронной таблице перечислены службы и связанные с ними URL-адреса, к которым ваша сеть должна иметь возможность подключаться. Убедитесь, что нет правил брандмауэра или сетевой фильтрации, запрещающих доступ для этих URL-адресов. Необязательно, вам может понадобиться создать разрешить правило специально для них.
Таблица списка доменов | Описание |
---|---|
Microsoft Defender для списка URL-адресов конечной точки для коммерческих клиентов | Электронная таблица конкретных записей DNS для местоположений служб, географических местоположений и ОС для коммерческих клиентов. Загрузите электронную таблицу здесь. Обратите внимание, что Microsoft Defender для Endpoint Plan 1 и Plan 2 используют одни и те же URL-адреса прокси-службы. |
Microsoft Defender для списка URL-адресов конечной точки для Gov/GCC/DoD | Электронная таблица конкретных записей DNS для сервисов, географических местоположений и ОС для клиентов Gov/GCC/DoD. Загрузите электронную таблицу здесь. |
Если на прокси-сервере или брандмауэре включено сканирование HTTPS (проверка SSL), исключите домены, перечисленные в таблице выше, из сканирования HTTPS. В брандмауэре откройте все URL-адреса, в которых столбец географии имеет значение WW. Для строк, в которых столбец географии не является WW, откройте URL-адреса для вашего конкретного местоположения данных. Чтобы проверить параметр расположения данных, ознакомьтесь со статьей Проверка места хранения данных и обновление параметров хранения данных для Microsoft Defender для конечной точки.
Примечание
Для устройств Windows с версией 1803 или более ранней требуется settings-win.data.microsoft.com
.
URL-адреса, содержащие v20, необходимы только в том случае, если у вас есть устройства Windows с версией 1803 или более поздней. Например, us-v20.events.data.microsoft.com
требуется для устройства Windows с версией 1803 или более поздней, подключенной к региону хранилища данных США.
Если прокси-сервер или брандмауэр блокирует анонимный трафик в качестве датчика Defender for Endpoint и подключается из системного контекста, чтобы убедиться, что анонимный трафик разрешен в ранее перечисленных URL-адресах.
Примечание
Microsoft не предоставляет прокси-сервер. Эти URL-адреса доступны через настроенный вами прокси-сервер.
Microsoft Monitoring Agent (MMA) — требования к прокси-серверу и брандмауэру для более старых версий клиента Windows или Windows Server
Информация в списке сведений о конфигурации прокси-сервера и брандмауэра требуется для связи с агентом Log Analytics (часто называемым Microsoft Monitoring Агент) для предыдущих версий Windows, таких как Windows 7 с пакетом обновления 1 (SP1), Windows 8.1 и Windows Server 2008 R2*.
Ресурс агента | Порты | Направление | Обход проверки HTTPS |
---|---|---|---|
*.ods.opinsights.azure.com | Порт 443 | Исходящий | Да |
*.oms.opinsights.azure.com | Порт 443 | Исходящий | Да |
*.blob.core.windows.net | Порт 443 | Исходящий | Да |
*. azure-automation.net | Порт 443 | Исходящий | Да |
Примечание
*Эти требования к подключению относятся к предыдущему Microsoft Defender для конечной точки Windows Server 2016 и Windows Server 2012 R2, для которого требуется MMA. Инструкции по интеграции этих операционных систем с новым унифицированным решением находятся на встроенных серверах Windows или по переходу на новое унифицированное решение в сценариях миграции сервера в Microsoft Defender для конечной точки.
Примечание
В случае облачного решения диапазон IP-адресов может меняться. Рекомендуется перейти к настройке разрешения DNS.
Подтвердите требования к URL-адресу службы Microsoft Monitoring Agent (MMA)
См. следующее руководство, чтобы исключить требование использования подстановочного знака (*) для вашей конкретной среды при использовании Microsoft Monitoring Agent (MMA) для предыдущих версий Windows.
Встроенная предыдущая операционная система с Microsoft Monitoring Agent (MMA) в Defender for Endpoint (дополнительные сведения см. в разделе Встроенные предыдущие версии Windows в Defender for Endpoint и на встроенных серверах Windows).
Убедитесь, что компьютер успешно передает отчеты на портал Microsoft 365 Defender.
Запустите инструмент TestCloudConnection.exe из «C:\Program Files\Microsoft Monitoring Agent\Agent», чтобы проверить подключение и получить необходимые URL-адреса для конкретной рабочей области.
Проверьте полный список URL-адресов конечных точек в Microsoft Defender для вашего региона (см. Таблицу URL-адресов служб).
Подстановочные знаки (*), используемые в конечных точках URL-адресов *.ods.opinsights.azure.com, *.oms.opinsights.azure.com и *.agentsvc.azure-automation.net, можно заменить вашим конкретным идентификатором рабочей области. Идентификатор рабочей области зависит от вашей среды и рабочей области. Его можно найти в разделе Onboarding вашего клиента на портале Microsoft 365 Defender.
Конечную точку URL-адреса *. blob.core.windows.net можно заменить URL-адресами, показанными в разделе «Правило брандмауэра: *.blob.core.windows.net» результатов теста.
Примечание
В случае подключения через Microsoft Defender для облака можно использовать несколько рабочих областей. Вам нужно будет выполнить процедуру TestCloudConnection.exe на встроенном компьютере из каждой рабочей области (чтобы определить, есть ли какие-либо изменения в URL-адресах *.blob.core.windows.net между рабочими областями).
Проверьте подключение клиента к Microsoft Defender для URL-адресов службы конечной точки
Убедитесь, что настройка прокси-сервера выполнена успешно. Затем WinHTTP может обнаруживать и взаимодействовать через прокси-сервер в вашей среде, а затем прокси-сервер разрешает трафик к URL-адресам службы Defender for Endpoint.
Загрузите средство Microsoft Defender for Endpoint Client Analyzer на компьютер, на котором работает датчик Defender for Endpoint. Для серверов нижнего уровня используйте последнюю предварительную версию, доступную для загрузки Бета-версии инструмента Microsoft Defender for Endpoint Client Analyzer.
Извлеките содержимое MDEClientAnalyzer.zip на устройство.
Открыть командную строку с повышенными привилегиями:
- Перейдите к Запустите и введите cmd .
- Щелкните правой кнопкой мыши Командная строка и выберите Запуск от имени администратора .
Введите следующую команду и нажмите Введите :
HardDrivePath\MDEClientAnalyzer.cmd
Замените HardDrivePath на путь, по которому был загружен инструмент MDEClientAnalyzer. Например:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Инструмент создает и извлекает MDEClientAnalyzerResult.zip в папке для использования в HardDrivePath .
Откройте MDEClientAnalyzerResult.txt и убедитесь, что вы выполнили действия по настройке прокси-сервера, чтобы обеспечить обнаружение сервера и доступ к URL-адресам службы.
Инструмент проверяет возможность подключения Defender для URL-адресов службы конечной точки. Убедитесь, что клиент Defender for Endpoint настроен для взаимодействия. Инструмент распечатает результаты в файле MDEClientAnalyzerResult.txt 9.0291 для каждого URL-адреса, который потенциально может использоваться для связи со службами Defender for Endpoint. Например:
Тестовый URL: https://xxx.microsoft.com/xxx 1 — прокси-сервер по умолчанию: успешно (200) 2 – Автоматическое обнаружение прокси-сервера (WPAD): успешно (200) 3 - Прокси-сервер отключен: успешно (200) 4 - Именованный прокси: не существует 5 - Прокси-сервер командной строки: не существует
Если какой-либо из параметров подключения возвращает статус (200), клиент Defender for Endpoint может правильно взаимодействовать с проверенным URL-адресом, используя этот метод подключения.
Однако, если результаты проверки подключения указывают на сбой, отображается ошибка HTTP (см. Коды состояния HTTP). Затем вы можете использовать URL-адреса из таблицы, показанной в разделе Включение доступа к Defender для URL-адресов службы конечной точки на прокси-сервере. Доступные для использования URL-адреса будут зависеть от региона, выбранного во время процедуры регистрации.
Примечание
Проверки подключения к облаку с помощью инструмента Connectivity Analyzer несовместимы с правилом сокращения направлений атак Блокировать создание процессов, происходящих из команд PSExec и WMI. Вам нужно будет временно отключить это правило, чтобы запустить инструмент подключения. Кроме того, вы можете временно добавить исключения ASR при запуске анализатора.
Если TelemetryProxyServer установлен в реестре или с помощью групповой политики, Defender for Endpoint откажется, ему не удастся получить доступ к определенному прокси-серверу.
- Используйте параметры групповой политики для настройки и управления антивирусной программой Microsoft Defender
- Встроенные устройства Windows
- Устранение неполадок с подключением Microsoft Defender для конечной точки
Учебник — добавление локального приложения — прокси приложения в Azure Active Directory — Microsoft Entra
- Статья
- 14 минут на чтение
Azure Active Directory (Azure AD) имеет службу Application Proxy, которая позволяет пользователям получать доступ к локальным приложениям путем входа в свою учетную запись Azure AD. Чтобы узнать больше о прокси-сервере приложения, см. раздел Что такое прокси-сервер приложения?. Это руководство подготовит вашу среду для использования с Application Proxy. Когда ваша среда будет готова, вы будете использовать портал Azure, чтобы добавить локальное приложение в свой клиент Azure AD.
Прежде чем приступить к работе, убедитесь, что вы знакомы с принципами управления приложениями и единого входа (SSO) . Ознакомьтесь со следующими ссылками:
- Серия кратких руководств по управлению приложениями в Azure AD
- Что такое единый вход (SSO)?
Соединители являются ключевой частью Application Proxy. Дополнительные сведения о соединителях см. в статье Общие сведения о соединителях прокси приложения Azure AD.
В этом руководстве:
- Открывает порты для исходящего трафика и разрешает доступ к определенным URL-адресам
- Устанавливает соединитель на ваш сервер Windows и регистрирует его в Application Proxy .
- Проверяет правильность установки и регистрации соединителя
- Добавляет локальное приложение в клиент Azure AD
- Проверяет, может ли тестовый пользователь войти в приложение с помощью учетной записи Azure AD.
Предварительные условия
Чтобы добавить локальное приложение в Azure AD, вам потребуется:
- Премиум-подписка Microsoft Azure AD
- Учетная запись администратора приложения
- Удостоверения пользователей должны быть синхронизированы из локального каталога или созданы непосредственно в клиентах Azure AD. Синхронизация удостоверений позволяет Azure AD предварительно аутентифицировать пользователей, прежде чем предоставлять им доступ к опубликованным приложениям прокси-сервера приложения, и получать необходимую информацию об идентификаторе пользователя для выполнения единого входа (SSO).
Сервер Windows
Для использования Application Proxy необходим сервер Windows под управлением Windows Server 2012 R2 или более поздней версии. Вы установите соединитель Application Proxy на сервер. Этот сервер соединителя должен подключаться к службам Application Proxy в Azure и локальным приложениям, которые вы планируете опубликовать.
Для обеспечения высокой доступности в производственной среде рекомендуется иметь более одного сервера Windows. Для этого руководства достаточно одного сервера Windows.
Важно
Если вы устанавливаете соединитель на Windows Server 2019, вы должны отключить поддержку протокола HTTP2 в компоненте WinHttp для правильной работы ограниченного делегирования Kerberos. Это отключено по умолчанию в более ранних версиях поддерживаемых операционных систем. Добавление следующего раздела реестра и перезапуск сервера отключает его в Windows Server 2019.. Обратите внимание, что это ключ реестра для всей машины.
Редактор реестра Windows версии 5. 00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] "EnableDefaultHTTP2"=dword:00000000
Ключ можно установить через PowerShell с помощью следующей команды:
Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
Рекомендации для сервера коннектора
- Физически разместите сервер соединителя рядом с серверами приложений, чтобы оптимизировать производительность между соединителем и приложением. Дополнительные сведения см. в статье Оптимизация потока трафика с помощью прокси приложения Azure Active Directory.
- Сервер коннектора и серверы веб-приложений должны принадлежать к одному и тому же домену Active Directory или охватывать доверительные домены. Наличие серверов в одном домене или доверительных доменах является требованием для использования единого входа (SSO) со встроенной проверкой подлинности Windows (IWA) и ограниченным делегированием Kerberos (KCD). Если сервер соединителя и серверы веб-приложений находятся в разных доменах Active Directory, необходимо использовать делегирование на основе ресурсов для единого входа. Дополнительные сведения см. в статье KCD для единого входа с помощью Application Proxy.
Предупреждение
Если вы развернули прокси-сервер защиты паролем Azure AD, не устанавливайте прокси-сервер приложения Azure AD и прокси-сервер защиты паролем Azure AD вместе на одном компьютере. Прокси-сервер приложения Azure AD и прокси-сервер защиты паролем Azure AD устанавливают разные версии службы обновления агента Azure AD Connect. Эти разные версии несовместимы при совместной установке на одном компьютере.
Требования TLS
На сервере соединителя Windows должен быть включен TLS 1.2 перед установкой соединителя Application Proxy.
Чтобы включить TLS 1.2:
Установите следующие разделы реестра:
Редактор реестра Windows версии 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1. 2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 «Включено» = двойное слово: 00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 «Включено» = двойное слово: 00000001 [HKEY_LOCAL_MACHINE\ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Перезапустите сервер.
Примечание
Корпорация Майкрософт обновляет службы Azure для использования сертификатов TLS из другого набора корневых центров сертификации (ЦС). Это изменение вносится из-за того, что текущие сертификаты CA не соответствуют одному из базовых требований CA/Browser Forum. Дополнительные сведения см. в разделе Изменения сертификата Azure TLS.
Подготовка локальной среды
Начните с включения связи с центрами обработки данных Azure, чтобы подготовить вашу среду для использования прокси приложения Azure AD. Если на пути есть брандмауэр, убедитесь, что он открыт. Открытый брандмауэр позволяет соединителю выполнять запросы HTTPS (TCP) к прокси приложения.
Важно
Если вы устанавливаете соединитель для облака Azure для государственных организаций, выполните предварительные требования и шаги установки. Для этого требуется включить доступ к другому набору URL-адресов и дополнительный параметр для запуска установки.
Открытые порты
Откройте следующие порты для исходящего трафика .
Номер порта | Как это используется |
---|---|
80 | Загрузка списков отзыва сертификатов (CRL) при проверке сертификата TLS/SSL |
443 | Все исходящие соединения со службой Application Proxy |
Если ваш брандмауэр принудительно распределяет трафик в соответствии с исходящими пользователями, также откройте порты 80 и 443 для трафика от служб Windows, которые работают как сетевые службы.
Разрешить доступ к URL-адресам
Разрешить доступ к следующим URL-адресам:
URL-адрес | Порт | Как это используется |
---|---|---|
*.msappproxy.net *.servicebus.windows.net | 443/HTTPS | Связь между соединителем и облачной службой Application Proxy |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com | 80/HTTP | Соединитель использует эти URL-адреса для проверки сертификатов. |
Вход.0116. .azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops | 443/HTTPS | Соединитель использует эти URL-адреса в процессе регистрации. |
ctldl.windowsupdate.com www.microsoft.com/pkiops | 80/HTTP | Соединитель использует эти URL-адреса в процессе регистрации. |
Вы можете разрешить подключения к *.msappproxy.net
, *.servicebus.windows.net
и другим указанным выше URL-адресам, если ваш брандмауэр или прокси-сервер позволяет настраивать правила доступа на основе доменных суффиксов. Если нет, вам необходимо разрешить доступ к диапазонам IP-адресов Azure и тегам службы — общедоступное облако. Диапазоны IP-адресов обновляются каждую неделю.
Важно!
Избегайте всех форм встроенной проверки и прекращения исходящих соединений TLS между соединителями прокси приложения Azure AD и облачными службами прокси приложения Azure AD.
Общедоступные записи DNS для конечных точек прокси приложения Azure AD представляют собой связанные записи CNAME, указывающие на запись A. Это обеспечивает отказоустойчивость и гибкость. Гарантируется, что соединитель Azure AD Application Proxy всегда обращается к именам узлов с доменными суффиксами *.msappproxy.net 9.0117 или
*.servicebus.windows.net
. Однако во время разрешения имен записи CNAME могут содержать записи DNS с другими именами узлов и суффиксами. В связи с этим вы должны убедиться, что устройство (в зависимости от вашей настройки — сервер коннектора, брандмауэр, исходящий прокси) может разрешать все записи в цепочке и разрешает подключение к разрешенным IP-адресам. Поскольку записи DNS в цепочке могут время от времени изменяться, мы не можем предоставить вам какой-либо список записей DNS.
Установите и зарегистрируйте соединитель
Чтобы использовать Application Proxy, установите соединитель на каждый сервер Windows, который вы используете со службой Application Proxy. Соединитель — это агент, который управляет исходящим подключением от локальных серверов приложений к прокси приложения в Azure AD. Вы можете установить соединитель на серверах, на которых также установлены другие агенты проверки подлинности, такие как Azure AD Connect.
Чтобы установить соединитель:
Войдите на портал Azure в качестве администратора приложения каталога, использующего Application Proxy. Например, если домен клиента
contoso.com
администратором должен быть[email protected]
или любой другой псевдоним администратора в этом домене.Выберите свое имя пользователя в правом верхнем углу. Убедитесь, что вы вошли в каталог, использующий Application Proxy. Если вам нужно изменить каталоги, выберите Переключить каталог и выберите каталог, который использует Application Proxy.
На левой панели навигации выберите Azure Active Directory .
В разделе Управление выберите Прокси приложения .
Выберите Загрузить службу соединителя .
Ознакомьтесь с Условиями обслуживания. Когда будете готовы, выберите Принять условия и загрузить .
В нижней части окна выберите Запустите , чтобы установить соединитель. Откроется мастер установки.
Следуйте инструкциям мастера, чтобы установить службу. Когда вам будет предложено зарегистрировать соединитель с прокси приложения для вашего клиента Azure AD, укажите учетные данные администратора приложения.
- Для Internet Explorer (IE), если Конфигурация усиленной безопасности IE имеет значение В экран регистрации может не отображаться. Чтобы получить доступ, следуйте инструкциям в сообщении об ошибке. Убедитесь, что для параметра Конфигурация усиленной безопасности Internet Explorer установлено значение Off .
Общие замечания
Если вы уже устанавливали соединитель, переустановите его, чтобы получить последнюю версию. Чтобы просмотреть сведения о ранее выпущенных версиях и вносимых в них изменениях, см. раздел Application Proxy: журнал выпусков версий.
Если вы решите использовать несколько серверов Windows для своих локальных приложений, вам потребуется установить и зарегистрировать соединитель на каждом сервере. Соединители можно организовать в группы соединителей. Дополнительные сведения см. в разделе Группы соединителей.
Если вы установили соединители в разных регионах, вы можете оптимизировать трафик, выбрав ближайший регион облачной службы Application Proxy для использования с каждой группой соединителей, см. раздел Оптимизация потока трафика с помощью Azure Active Directory Application Proxy
Если ваша организация использует прокси-серверы для подключения к Интернету, вам необходимо настроить их для прокси приложения. Дополнительные сведения см. в статье Работа с существующими локальными прокси-серверами.
Сведения о соединителях, планировании емкости и способах их обновления см. в статье Общие сведения о соединителях Azure AD Application Proxy.
Убедитесь, что соединитель правильно установлен и зарегистрирован
Вы можете использовать портал Azure или сервер Windows, чтобы убедиться, что новый соединитель установлен правильно.
Проверьте установку через портал Azure.
Чтобы убедиться, что соединитель правильно установлен и зарегистрирован:
Войдите в каталог клиента на портале Azure.
На левой панели навигации выберите Azure Active Directory , а затем выберите Application Proxy в разделе Управление . На этой странице отображаются все ваши соединители и группы соединителей.
Просмотрите соединитель, чтобы проверить его сведения. Соединители должны быть развернуты по умолчанию. Если соединитель, который вы хотите просмотреть, не развернут, разверните соединитель, чтобы просмотреть сведения. Активная зеленая метка означает, что ваш соединитель может подключиться к службе. Однако, несмотря на то, что метка зеленого цвета, проблема с сетью может по-прежнему блокировать прием сообщений соединителем.
Дополнительные сведения об установке соединителя см. в разделе Проблемы с установкой соединителя прокси приложения.
Проверьте установку через сервер Windows
Чтобы убедиться, что коннектор правильно установлен и зарегистрирован:
Откройте диспетчер служб Windows, нажав клавишу Windows и введя services.msc .
Проверьте, соответствует ли статус следующих двух служб Работает .
Если состояние служб отличается от Работает , щелкните правой кнопкой мыши, чтобы выбрать каждую службу, и выберите Запустить .
Добавление локального приложения в Azure AD
Теперь, когда вы подготовили среду и установили соединитель, вы готовы добавить локальные приложения в Azure AD.
Войдите как администратор на портал Azure.
На левой панели навигации выберите Azure Active Directory .
Выберите Корпоративные приложения , а затем выберите Новое приложение .
Выберите Добавить кнопку локального приложения , которая появляется примерно посередине страницы в разделе Локальные приложения . Кроме того, вы можете выбрать Создать собственное приложение в верхней части страницы, а затем выбрать Настроить прокси приложения для безопасного удаленного доступа к локальному приложению 9.0016 .
В разделе Добавьте собственное локальное приложение укажите следующую информацию о своем приложении:
Поле Описание Имя Имя приложения, которое будет отображаться в разделе Мои приложения и на портале Azure. Внутренний URL-адрес URL-адрес для доступа к приложению из вашей частной сети. Вы можете указать определенный путь на внутреннем сервере для публикации, в то время как остальная часть сервера не будет опубликована. Таким образом, вы можете публиковать разные сайты на одном сервере как разные приложения и давать каждому свое имя и правила доступа. Если вы публикуете путь, убедитесь, что он включает все необходимые изображения, сценарии и таблицы стилей для вашего приложения. Например, если ваше приложение находится по адресу
https://yourapp/app
и использует изображения, расположенные по адресуhttps://yourapp/media
, вам следует опубликоватьhttps://yourapp/
в качестве пути. Этот внутренний URL-адрес не обязательно должен быть целевой страницей, которую видят ваши пользователи. Дополнительные сведения см. в разделе Установка пользовательской домашней страницы для опубликованных приложений.Внешний URL-адрес Адрес для доступа пользователей к приложению из-за пределов вашей сети. Если вы не хотите использовать домен прокси приложения по умолчанию, узнайте о личных доменах в прокси приложения Azure AD. Предварительная аутентификация Как Application Proxy проверяет пользователей, прежде чем предоставить им доступ к вашему приложению. Azure Active Directory — прокси приложения перенаправляет пользователей для входа с помощью Azure AD, который аутентифицирует их разрешения для каталога и приложения. Мы рекомендуем оставить этот параметр по умолчанию, чтобы вы могли воспользоваться функциями безопасности Azure AD, такими как условный доступ и многофакторная проверка подлинности. Azure Active Directory требуется для мониторинга приложения с помощью Microsoft Defender для облачных приложений.
Сквозной — пользователям не нужно проходить аутентификацию в Azure AD для доступа к приложению. Вы по-прежнему можете настроить требования аутентификации на серверной части.
Группа разъемов Соединителиобрабатывают удаленный доступ к вашему приложению, а группы соединителей помогают организовать соединители и приложения по региону, сети или назначению. Если у вас еще нет созданных групп соединителей, вашему приложению назначается По умолчанию . Если ваше приложение использует WebSockets для подключения, все соединители в группе должны иметь версию 1.5.612.0 или более позднюю.
При необходимости настройте Дополнительные настройки . Для большинства приложений следует оставить эти параметры в состоянии по умолчанию.
Поле Описание Тайм-аут внутреннего приложения Установите это значение равным Длинный , только если ваше приложение медленно проходит аутентификацию и соединение. По умолчанию время ожидания серверного приложения составляет 85 секунд. Если установлено значение long, время ожидания серверной части увеличивается до 180 секунд. Использовать файлы cookie только для HTTP Установите для этого значения значение Да , чтобы файлы cookie Application Proxy включали флаг HTTPOnly в заголовок ответа HTTP. При использовании служб удаленных рабочих столов установите для этого значения значение Нет . Использовать безопасный файл cookie Установите для этого значения значение Да , чтобы передавать файлы cookie по защищенному каналу, такому как зашифрованный HTTPS-запрос. Использовать постоянные файлы cookie Оставьте это значение равным Нет . Используйте этот параметр только для приложений, которые не могут обмениваться файлами cookie между процессами. Дополнительные сведения о параметрах файлов cookie см. в разделе Параметры файлов cookie для доступа к локальным приложениям в Azure Active Directory. Перевод URL-адресов в заголовках Оставьте это значение равным Да , если только вашему приложению не требуется исходный заголовок узла в запросе проверки подлинности. Перевод URL-адресов в теле приложения Сохраните это значение как Нет , если у вас нет жестко закодированных HTML-ссылок на другие локальные приложения и вы не используете пользовательские домены. Дополнительные сведения см. в разделе Преобразование ссылок с помощью прокси приложения. Установите для этого значения значение Да , если вы планируете отслеживать это приложение с помощью Microsoft Defender для облачных приложений. Дополнительные сведения см. в разделе Настройка мониторинга доступа к приложениям в режиме реального времени с помощью Microsoft Defender для облачных приложений и Azure Active Directory.
Выбрать Добавить .
Проверка приложения
Вы готовы проверить правильность добавления приложения. В следующих шагах вы добавите учетную запись пользователя в приложение и попытаетесь войти в систему.
Добавить пользователя для тестирования
Перед добавлением пользователя в приложение убедитесь, что учетная запись пользователя уже имеет разрешения на доступ к приложению из корпоративной сети.
Чтобы добавить тестового пользователя:
- Выберите Корпоративные приложения , а затем выберите приложение, которое хотите протестировать.
- Выберите Начало работы , а затем выберите Назначить пользователя для тестирования .
- До Пользователи и группы , выберите Добавить пользователя .
- В разделе Добавить назначение выберите Пользователи и группы . Появится раздел пользователей и групп .
- Выберите учетную запись, которую хотите добавить.
- Выберите Выберите , а затем выберите Назначить .
Проверка входа в систему
Проверка входа в приложение:
- В приложении, которое необходимо протестировать, выберите Application Proxy .
- В верхней части страницы выберите Test Application , чтобы запустить тест приложения и проверить наличие проблем с конфигурацией.
- Обязательно сначала запустите приложение, чтобы проверить вход в приложение, а затем загрузите диагностический отчет, чтобы просмотреть рекомендации по устранению любых обнаруженных проблем.
Информацию об устранении неполадок см. в разделе Устранение неполадок прокси-сервера приложения и сообщений об ошибках.
Очистка ресурсов
Если они больше не нужны, удалите ресурсы, созданные в этом руководстве.
Дальнейшие действия
В этом руководстве вы подготовили локальную среду для работы с Application Proxy, а затем установили и зарегистрировали соединитель Application Proxy. Затем вы добавили приложение в свой клиент Azure AD. Вы убедились, что пользователь может войти в приложение с помощью учетной записи Azure AD.
Вы сделали следующее:
- Открыли порты для исходящего трафика и разрешили доступ к определенным URL-адресам
- Коннектор установлен на вашем сервере Windows и зарегистрирован в Application Proxy 9.0004
- Проверка правильности установки и регистрации соединителя
- Добавлено локальное приложение в ваш клиент Azure AD
- Подтверждено, что тестовый пользователь может войти в приложение с помощью учетной записи Azure AD
Вы готовы настроить приложение для единого входа. Воспользуйтесь следующей ссылкой, чтобы выбрать метод единого входа и найти учебные пособия по единому входу.
Настройка единого входа
Регистрация с помощью прокси-сервера Puhuri AAI
Обзор
В этой статье описывается процесс регистрации службы с помощью прокси-сервера Puhuri AAI.
Для этого вам необходимо заполнить регистрационную форму услуги по адресу:
- https://webapp.prod.puhuri.eduteams.org/sp_request (для производственной среды)
- https://webapp.acc.puhuri.eduteams.org/sp_request (для среды принятия)
Перед отправкой заявки на регистрацию убедитесь, что заявка заполнена, иначе регистрация не будет одобрена.
Сведения о запросителе
Отображаемое имя
- уже предварительно заполнено из вашего профиля MyAccessIDЭлектронная почта
- Уже заполнено из вашего профиля MyAccessIDОрганизация
- Если поле не заполнено, введите название вашей организации. Это может отличаться от организации/юридического лица, предоставляющего услугу
Название организации
- Название организации, отвечающей за обслуживание. Эта информация будет видна конечным пользователям.Веб-сайт организации
- Веб-сайт организации, отвечающей за обслуживание. Эта информация будет видна конечным пользователям.
Сведения об услуге
Имя службы
- Название сервиса, который является предметом вашего запроса на подключение к прокси-серверу Puhuri AAI. Эта информация будет видна конечным пользователям.Веб-сайт службы (URL)
— URL-адрес веб-сайта или целевой страницы службы. Эта информация будет видна конечным пользователям.Логотип службы (URL)
— URL-адрес с логотипом/значком службы.Описание услуги
- Краткое описание услуги. Эта информация будет видна конечным пользователям.
Адреса электронной почты для контактов по административным вопросам, безопасности и техническим вопросам или команд, ответственных за службу. Эта информация будет видна конечным пользователям.
Политики поставщика услуг
Уведомление о конфиденциальности (URL)
— URL-адрес, указывающий на уведомление о конфиденциальности службы. Хороший пример того, что должно содержаться в Уведомлении о конфиденциальности, можно найти на вики REFEDS. Эта информация будет видна конечным пользователям.Политика допустимого использования / Условия использования
— URL-адрес, указывающий на Политику допустимого использования и/или Условия использования службы. Рассмотрите возможность использования шаблона WISE Baseline AUPКодекс поведения GÉANT по защите данных
— Установите флажок, если служба соответствует Кодексу поведения GÉANT. Дополнительную информацию о контактном коде GÉANT можно найти на REFEDS wikiSirtfi
— установите флажок, если служба совместима с Sirtfi. Дополнительную информацию о платформе Sirtfi можно найти на веб-сайте REFEDSИсследования и стипендии
— установите флажок, если услуга соответствует категории объектов «Исследования и стипендии». Использование категории объектов «Исследования и стипендии» является обязательным для всех услуг, подключенных к PUHURI Proxy . Дополнительную информацию о категории организаций «Исследования и стипендии» можно найти на веб-сайте REFEDS 9.0017Политика реагирования на инциденты (URL)
— URL-адрес, указывающий на политику реагирования на инциденты, применимую к службе. Это необязательное поле.
SAML или OIDC — выберите SAML для регистрации поставщика услуг SAML
Регистрация поставщика услуг SAML
SP является частью eduGAIN
- Если поставщик услуг уже доступен в eduGAIN через участвующую федерацию, установите этот флажокИдентификатор объекта SAML2
— это текстовое поле отображается только в том случае, если вы выбрали, что SP доступен в eduGAIN. Укажите идентификатор сущности SAML2 для службы.Метаданные SAML2 (URL)
— это текстовое поле отображается только в том случае, если вы НЕ выбрали, что SP доступен в eduGAIN. Укажите URL-адрес, указывающий на метаданные SAML2 службы.
Регистрация поставщика услуг OIDC
Поток
— выберите поток OpenID Connect / OAuth3, применимый к вашей службе. Варианты: код авторизации и неявный. Настоятельно рекомендуется использовать код авторизации.Метод аутентификации конечной точки токена
— выберите метод аутентификации конечной точки токена для вашей службы. Параметры — client_secret_basic и client_secret_post.Автономный доступ
— если для службы требуется автономный доступ, установите этот флажок. Для сервисов, подключающихся к прокси PUHURI, эта опция не понадобится.URL-адреса перенаправления OIDC
— введите один или несколько URL-адресов перенаправления OIDC для вашей службы
Отправка формы
Когда вы нажмете кнопку «Отправить», вы увидите страницу, подтверждающую ваш запрос приложения.
Вы получите секрет, отображаемый после отправки регистрационной формы. Сохраните его в надежном месте, так как он понадобится вам для настройки.
Ваша заявка будет рассмотрена eduTEAMS и службой поддержки Puhuri, и вы получите уведомление по электронной почте.
Требуемые адреса, прокси и порты
Применяется к: Tableau Desktop, Tableau Prep, Tableau Public
Tableau использует общие порты (80 и 443) для выполнения интернет-запросов. В большинстве случаев компьютер, на котором установлен Tableau Desktop или Tableau Prep Builder, и сеть, в которой он работает, уже настроены для предоставления необходимого доступа.
Требования к Интернет-адресу
Если у Tableau нет прямого доступа к Интернету, убедитесь, что домены, перечисленные в следующей таблице, разрешены прокси-сервером на компьютере, на котором установлена Tableau, и в сетевом брандмауэре (если есть является одним).
Продукт/компонент | Требования к доступу в Интернет |
---|---|
Для публикации книг и источников данных в Tableau Online |
|
Карты | Tableau 2019. 2 и более поздние версии:
Tableau 2019.1 and earlier:
Note : Beginning with Tableau 9.1, Tableau maps используйте SSL-соединение на порту 443. |
Лицензирование | Используется при активации ключей продукта и регистрации продукта.
Запросы к вышеуказанным доменам могут быть через порт 80 или 443. Порт 80 используется для проверки сертификата (отзыв, цепочка сертификатов и т. д.). Порт 443 используется для соединений SSL. |
Журналы сбоев | отчет-issue.tableau.com |
Активировать и запустить Tableau Prep Builder | Чтобы активировать и запустить Tableau Prep Builder, когда настроен безопасный веб-прокси:
|
Регистрация | регистр. tableau.com:443 Требуется регистрация Tableau Prep Builder. |
Панель обнаружения (дополнительно) |
Если к этим веб-сайтам нет доступа, панель «Обнаружение» не будет правильно отображаться на домашней странице. Если доступ отключен, ссылки на панели будут разорваны. |
Обновление продукта | https://downloads.tableau.com Если вы выбрали «Включить автоматическое обновление продукта» в меню «СПРАВКА», то Tableau Desktop подключается к downloads.tableau.com при запуске. |
MFA с аутентификацией Tableau | Если для вашего сайта включена многофакторная аутентификация (MFA) с аутентификацией Tableau (Tableau с MFA) и ваша среда использует прокси-серверы, которые не позволяют клиентам получить доступ к другим необходимым службам. См. IP-адреса Tableau Online для авторизации поставщика данных. (Ссылка открывается в новом окне) |
Tableau Desktop Public Edition | public.tableau.com: 443 |
Поддержка прокси-среды
Tableau Prep Builder не может подключиться к серверу с аутентифицирующим обратным прокси-сервером, расположенным перед сервером; вся аутентификация должна выполняться через Tableau Server или Tableau Online. Кроме того, Tableau Prep Builder не поддерживает прямые прокси-серверы, требующие аутентификации. Вместе со своей ИТ-командой разрешите доступ к Tableau Server или Tableau Online через прокси-сервер без аутентификации. Сведения о настройке прокси для Tableau Server см. в разделе Настройка прокси для Tableau Server.
Карты
Если домен карт или порты заблокированы, вместо них можно использовать автономные карты. Дополнительные сведения см. в разделе «Выбор фоновых карт» (ссылка открывается в новом окне) в справке Tableau.
Журналы сбоев
Когда Tableau Desktop сталкивается с непредвиденными обстоятельствами, он может неожиданно завершить работу. В случае сбоя создаются файлы журнала и файлы дампа для сбора подробной информации, которая помогает инженерам Tableau устранить проблему. При следующем открытии Tableau Desktop пользователю предоставляется возможность автоматически загрузить файлы журнала и дампа.
Однако, если вы работаете в организации, на которую распространяются положения о конфиденциальности данных, вы можете запретить своим пользователям загружать файлы журнала и дампа. В таких ситуациях вы можете отключить отображение запроса на загрузку после сбоя. Информацию о том, как отключить запрос аварийной загрузки для пользователей, см. в разделе Изменение параметров установки после установки.
Проверить доступ в Интернет
Используйте следующие ссылки, чтобы проверить, правильно ли настроены параметры брандмауэра и прокси-сервера, а также есть ли у компьютера доступ в Интернет, необходимый Tableau:
- Tableau Map Server Json(ссылка открывается в новом окне)
- Mapbox Json(ссылка открывается в новом окне)
Если конфигурация работает, эти ссылки предложат вам загрузить файл json. Однако, если вы не получили запрос на загрузку или если ваш тест прошел успешно только потому, что вы вручную ввели учетные данные пользователя, вам нужно будет либо изменить настройки сети, либо вашим пользователям придется работать в автономном режиме.
Работа в автономном режиме (Tableau Desktop)
В некоторых случаях, если вы или ИТ-администратор не можете изменить настройки конфигурации веб-прокси или брандмауэра, чтобы разрешить Tableau доступ к нужным сайтам, ваши пользователи могут использовать Tableau в автономном режиме. Использование Tableau в автономном режиме означает, что вы должны выполнять активацию продукта с использованием автономного процесса, а ваши пользователи используют автономные карты для визуализаций, которые в них требуются.
- Информацию о том, как активировать Tableau в автономном режиме, см. в разделе Активация продукта в автономном режиме.
- Информацию об использовании автономных карт см. в разделе «Выбор фоновых карт» (ссылка открывается в новом окне) в справке Tableau.
Banner Web Proxy Руководство по настройке
Система Banner Web Proxy (ранее известная как PRESTO Proxy) позволяет учащимся предоставлять другим доступ к информации о финансовой помощи, регистрации и расписании, учетных записях учащихся и личных записях учащихся. У вас есть возможность предоставить или ограничить доступ к любой или всей этой информации в любое время.
Инструкции по настройке для учащихся
У учащихся есть три шага, чтобы предоставить доступ к назначенному прокси-серверу: добавить адрес электронной почты прокси-сервера, настроить связь с прокси-сервером и авторизовать страницы для доступа к прокси-серверу. Пока учащийся не выполнит эти три шага, доверенное лицо не сможет получить доступ к своим записям.
Посетите портал технической поддержки CIT, чтобы узнать, как настроить доступ к баннеру для назначенного прокси-сервера.
Инструкции по настройке прокси-сервера
Первый вход в систему
Система Banner Web Proxy позволяет учащимся предоставлять другим доступ к просмотру информации о финансовой помощи, регистрации и расписании, учетных записях учащихся и личных данных учащихся. Ваш учащийся имеет возможность предоставлять или ограничивать доступ к любой или всей этой информации в любое время.
Когда ваш ученик добавит вас в качестве доверенного лица, вы получите два электронных письма. В первом будет электронное письмо с основной информацией об услуге, а во втором будет ссылка на страницу входа в прокси, пароль действия и старый PIN-код. Прежде чем продолжить, убедитесь, что у вас есть оба адреса электронной почты.
- Нажмите на ссылку в электронном письме с приглашением. Если ссылка не работает, скопируйте ее и вставьте в веб-браузер.
- Введите пароль действия, указанный в сообщении электронной почты, затем нажмите «Отправить».
- На следующем экране вам будет предложено создать PIN-код. PIN-код может содержать от 6 до 15 символов, вы можете использовать как буквы, так и цифры. Вы будете использовать его каждый раз при входе в Banner.
- Введите адрес электронной почты. Введите пароль действия в качестве «Старого PIN-кода». Создайте новый PIN-код и нажмите «Сохранить».
- Если вы не видите вкладку с именем вашего ученика, ваш ученик неправильно добавил вас в систему. Они должны следовать инструкциям, определяющим их отношения с вами, прежде чем вы сможете двигаться дальше.
Текущий доступ
Перейти к OberView. Найдите «прокси» и найдите задачу «Доступ родителей/гостей к записям учащихся».
Введите адрес электронной почты, который был зарегистрирован вашим учеником, и установленный вами PIN-код.
Баннерный веб-прокси Часто задаваемые вопросы
Перейти к OberView. Найдите «прокси» и найдите задачу «Доступ родителей/гостей к записям учащихся». Введите адрес электронной почты, который был зарегистрирован вашим учеником, и PIN-код, который вы установили.
Имейте в виду, что ваш ученик должен дать вам разрешение и может отозвать это разрешение в любое время. Они могут предоставлять или не предоставлять вам доступ к любому сочетанию следующего: информация об учетных записях учащихся, информация о финансовой помощи и информация об оценках/выписках.
Проверьте папку со спамом. Если письма нет, попросите учащегося отправить его вам повторно.
Да. Убедитесь, что ваш учащийся разрешил вам просматривать страницы учетных записей учащихся.
PIN-код — это аббревиатура от Personal Identification Number и представляет собой «пароль», состоящий из цифр или букв, который используется для входа в Proxy Access.
Сброс прокси-сервера
Перейти к OberView . Найдите «прокси» и найдите задачу Родительский/гостевой доступ к студенческим записям.
Введите адрес электронной почты, который использовался для создания вашей учетной записи, и нажмите кнопку «Забыли PIN-код». На ваш адрес электронной почты будет отправлено письмо с уникальной ссылкой и временным паролем. Вы будете использовать этот временный пароль в качестве «Старого PIN-кода» в процессе сброса PIN-кода.
Нет. Персонал колледжа и служба поддержки CIT не могут отправить PIN-код. Следуйте приведенным выше инструкциям, чтобы сбросить его, или попросите учащегося войти в Banner Web Proxy и нажать ссылку «Сбросить PIN-код».
Да. Прокси идентифицируются по адресу электронной почты, и этот адрес может быть назначен в качестве прокси для нескольких студентов. Это особенно полезно, когда оба брата и сестры посещают Оберлинский колледж.
Для каждого учащегося, который идентифицировал человека в качестве доверенного лица, будет вкладка с именем каждого учащегося. Когда вы выберете имя, вы увидите список элементов, которые этот студент разрешил вам просматривать.
Учащийся имеет полный контроль над тем, какую информацию может просматривать каждый пользователь. Если имя учащегося не отображается, значит, он не предоставил доступ к информации об учетной записи. Родитель должен связаться с учащимся с вопросами о доступе.
Нет. Однако, если родители используют один и тот же адрес электронной почты, и учащийся желает предоставить доступ через доверенное лицо обоим, использующим этот адрес, учащийся может это сделать. Если учащийся хочет настроить его таким образом, мы просим, чтобы при заполнении поля имени учащийся вводил оба имени (пример: Мэри и Дэвид).
В поле описания отношений введите «родители» или «мама и папа», чтобы любой администратор, просматривающий разрешения, понял, что этот адрес электронной почты предназначен для нескольких человек.
Блокировка отображается до тех пор, пока учащийся не щелкнет имя прокси и не выберет связь. Функциональность на веб-странице авторизации, где вы выбираете элементы, которые вы хотите, чтобы ваш прокси-сервер видел, сохраняет ваш выбор сразу после каждого щелчка.
Нет кнопки Сохранить.
Чтобы просмотреть действия, учащийся должен выбрать вкладку «История», чтобы просмотреть последние выполненные действия, включая авторизации.
Да. Каждый учащийся, который предоставляет прокси-доступ к адресу электронной почты, имеет полный контроль над доступом к своей учетной записи, включая даты начала и окончания.
Учащийся контролирует информацию, которую может просматривать назначенный доверенное лицо. Если доверенное лицо больше не может видеть информацию, доверенное лицо должно связаться со студентом.
Перейти к OberView. Найдите «прокси» и найдите задачу «Доступ родителей/гостей к записям учащихся».
На странице профиля обновите адрес электронной почты и нажмите Сохранить. Система отправит сообщение электронной почты на новый адрес. Нажмите на уникальное письмо со ссылкой, чтобы подтвердить правильность изменения.
На старый адрес электронной почты также будет отправлено информационное сообщение, указывающее, что поступил запрос на изменение этого адреса.
Нажмите на вкладку "Профиль", чтобы использовать ссылку "Выход", или закройте браузер, чтобы выйти.
Настройки брандмауэра некоторых работодателей блокируют порты, используемые нашим веб-сайтом. Вместо этого попробуйте получить доступ к Banner Web Proxy из дома.
Чтобы получить помощь по вопросам подключения и входа в систему, обратитесь в службу поддержки по адресу [email protected] или по телефону (440) 775-819.7 .
С вопросами о финансовой помощи обращайтесь в Управление финансовой помощи по адресу [email protected] или 1-800-693-3173.
По вопросам, связанным с записями учащихся и оценками, обращайтесь в офис регистратора по адресу [email protected] или по телефону (440) 775-8450 .
По вопросам о платежах, выписках и сборах со студентов обращайтесь в Управление счетов студентов по адресу [email protected] или по телефону (440) 775-8457 .
Веб-прокси
Веб-прокси работает!!
Что такое веб-прокси?Учащиеся CTX могут предоставить другим доступ для просмотра определенных фрагментов информации, которые обычно доступны в их учетной записи MyInfo. Это называется предоставлением доступа через прокси и другое лицо называется доверенным лицом. Наиболее распространенный сценарий для студента. предоставить родителю или супругу доступ к своей информации; однако студент может выберите любого, у кого есть адрес электронной почты. Предоставляя прокси-доступ, студент дает Разрешение CTX на передачу выбранной информации этому лицу. Это разрешение необходимо для соблюдения Закона о правах семьи на образование и конфиденциальность (FERPA).
Отношения доверенного лица и ученика контролируются учеником. Учащийся может создать
прокси-аккаунты пользователей и назначать доступ к определенным страницам в MyInfo. Прокси-пользователи
потенциально может просматривать такие элементы, как расписание занятий учащихся, итоговые оценки, академические
стенограмма и информация об учетной записи студента. Учащийся может сбросить PIN-код для своего
прокси, а также может запретить доступ прокси к своей информации. Студент
также может повторно отправить URL-адрес для входа на прокси-сервер. Запросы на доступ к академической информации учащихся
а чтобы стать доверенным лицом, нужно обратиться непосредственно к ученику.
- Доступ через прокси-сервер Доступ через прокси-сервер
Университет Конкордия Техас (CTX) Система доступа через прокси-сервер доступна для всех физических лиц которые были установлены в качестве доверенных лиц текущим студентом CTX и ввели свои реквизиты для входа. Если вам нужен доступ через прокси, вы должны связаться со своим учеником.
Инструкции для учащихся:
- Создание и настройка прокси
- Вы можете настроить прокси-сервер, чтобы иметь доступ к просмотру академической справки, расписанию курсов, итоговые оценки и информацию об учетной записи студента. Вид будет выглядеть точно так же, как если бы вы нажали на соответствующую ссылку в своей учетной записи MyInfo.
Инструкции пользователя прокси:
- Настройка учетной записи: Если вы назначены прокси, вы получите электронное письмо с указанием входа Информация.
- Любые вопросы, которые у вас есть по поводу первоначального электронного письма, должны быть адресованы учащемуся. предоставление вам доступа через прокси.
- Любые вопросы, которые могут у вас возникнуть относительно информации, которую вы просматриваете, следует направлять студенту.
- Для доступа к прокси-системе Техасского университета Конкордия после настройки прокси-сервера. завершено, вы можете войти в систему, используя URL-адрес в электронном письме, которое вы получили с вашим прокси-сервером. учетные данные для входа.
- Часто задаваемые вопросы для учащихся
Что означает настройка доступа через прокси?
- Настраивая доступ через прокси, вы даете согласие на просматривать академическую информацию из вашей студенческой карты в Интернете. Кроме того, ваше согласие указывает на разрешение персоналу CTX обсуждать эти конкретные вопросы с этими лицами также.
Сколько прокси я могу настроить?
- Вы можете иметь столько прокси, сколько захотите. Однако вы несете ответственность за управление каждый из этих лиц получает доступ и отвечает на любые вопросы о проблемах с доступом.
Как долго будет предоставляться доступ после добавления прокси?
- В системе прокси вы можете выбрать дату начала и окончания доступа для вашего прокси.
Что, если я передумаю и больше не хочу, чтобы кто-то имел доступ через прокси?
- Вы можете прекратить доступ прокси, изменив дату окончания доступа.
Что делать, если я хочу сохранить свой прокси, но изменить элементы, к которым мой прокси может получить доступ?
- Вы можете в любой момент перейти на вкладку Авторизация под прокси-доступом, чтобы изменить привилегии. Простая установка и снятие флажков автоматически изменит привилегии авторизации.
(Примечание. Справа вы увидите кнопку, которую можно использовать для отправки электронной почты прокси-серверу. Вы должны нажать эту кнопку Авторизация электронной почты, чтобы прокси-сервер получил электронное письмо с их учетными данными для входа и списком разрешенных элементов.
Что, если мой прокси-сервер забудет свой PIN-код?
- Им нужно будет связаться с вами. Вы нажмете кнопку сброса PIN-кода в нижней части страница. Когда вы нажмете эту кнопку, он автоматически отправит по электронной почте ваш прокси с временный PIN-код.
Что делать, если мой прокси-сервер потеряет электронное письмо с URL-адресом доступа к прокси-серверу?
- Нажмите кнопку Авторизации по электронной почте на вкладке Авторизации. Это вызовет электронное письмо с URL-адресом и списком элементов, которые им разрешено просматривать.
Могу ли я предоставить разным прокси доступ к разной информации?
- Да. Для каждого прокси, который вы устанавливаете, вам нужно будет выбрать из списка выбора к чему вы хотите, чтобы этот человек имел доступ. Вы можете настроить выбор для каждого человека в рамках выпадающего списка.
Если кто-то был настроен в качестве прокси другим студентом, если я хочу, чтобы они имели доступ к моей информации, мне нужно настроить их в качестве прокси-сервера?
- Да. Каждый учащийся должен предоставить доступ к своей информации индивидуально. Никто, кроме вас, не может предоставить этот доступ. Вы можете настроить прокси-сервер с той же учетной записью электронной почты, которую использовал другой учащийся, но только вы можете управлять доступом к информации об ученике.
Сколько времени потребуется, чтобы мои прокси-серверы получили уведомление о том, что я предоставил им доступ?
- Электронное письмо отправляется на ваш прокси сразу после настройки.
Как определить, все ли работает после настройки прокси?
- Вы увидите прокси в своем списке. Когда вы нажимаете на его / ее имя, вы можете просмотреть под на вкладке Авторизация вы можете просмотреть элементы, к которым вы предоставили им доступ.
Мой прокси говорит, что он/она не получал никаких электронных писем для настройки доступа через прокси учетная запись. Что я делаю?
- Убедитесь, что у вашего доверенного лица настроена его/ее электронная почта, чтобы сообщения не отправлялись на его/ее спам-аккаунт.
- Часто задаваемые вопросы о прокси
Что делать, если я забыл свой PIN-код?
- Свяжитесь со студентом, предоставившим вам доступ по доверенности. Студент, авторизовавший ваш доступа потребуется войти в свою учетную запись и сбросить PIN-код. Университет Конкордия Персонал Техаса не имеет возможности сбросить PIN-код прокси-сервера.
URL-адрес, который я использовал для первоначальной регистрации, больше не работает. Как теперь получить доступ к прокси?
- URL-адрес и пароль, указанные в исходном электронном письме, действительны только в течение пяти дней и предназначены только для первого входа в систему.
- Если вы успешно вошли в систему в первый раз, используйте URL-адрес из второго письма. вы получили за последующие входы в систему. Второе электронное письмо содержит список страниц, которые вы разрешено видеть и URL для постоянного доступа. Если вы потеряли второе письмо, пусть ваш ученик знает. Они могут повторно отправить его вам, нажав на авторизацию по электронной почте. ссылка на вкладке Авторизации.
- Если вы еще не вошли в систему, попросите вашего ученика щелкнуть кнопку «Сбросить булавку». кнопку на вкладке «Профиль». Это отправит вам электронное письмо с новым временным URL-адресом и пароль для первого входа. После этого первого входа используйте URL-адрес из второго почту для последующих входов.
Я получил электронное письмо с инструкциями, но когда я вернулся через неделю, чтобы настроить его, это не сработало. Почему?
- Возможность настроить свой доступ с информацией в письме активна только и доступен в течение пяти дней. Вам нужно связаться со своим учеником и попросить его переделать процесс.
Раньше у меня был доступ к информации, к которой я больше не могу получить доступ. Что случилось?
- Учащийся контролирует информацию, к которой может получить доступ прокси. Тебе понадобится чтобы связаться с уполномоченным студентом, чтобы разрешить ваш доступ. Техасский университет Конкордия Персонал не может изменить доступ к прокси.
Я не могу просмотреть всю информацию о моих учениках; кто может изменить это для меня?
- Только учащийся, предоставивший прокси-доступ, может изменить предоставленные разрешения. Администраторы, служба поддержки, консультанты и персонал не могут изменять разрешения, предоставленный.
У меня есть доступ к информации, но я не уверен, что она означает. Как я могу понять на что я смотрю?
- Ваш студент сможет ответить на ваши вопросы, так как он/она может для доступа к той же самой информации.
Мне нужно изменить адрес электронной почты, связанный с моей учетной записью Proxy Access. Как мне это сделать что?
- На странице профиля Proxy Access обновите адрес электронной почты и нажмите «Сохранить». Система затем отправит два сообщения электронной почты. Первое электронное письмо отправляется на старый адрес электронной почты чтобы указать, что запрос на изменение с этого адреса произошел. Секунда электронная почта отправляется на новый адрес электронной почты, указывающий, что изменение этого адреса был инициирован. Второе письмо содержит уникальную ссылку, по которой вам нужно будет перейти чтобы подтвердить правильность изменения.
Когда доверенному лицу предоставляется доступ к двум или более учащимся, может ли предоставленный доступ отличаться для каждого ученика?
- Да. Каждый учащийся, предоставляющий доступ по доверенности, имеет полный контроль над доступом к своей информацию, включая даты начала и окончания и уровни разрешений.