Pro správnou funkčnost zařízení Kernun Clear Web v režimu Proxy ve vaší síti je potřeba, aby prohlížeče na jednotlivých uživatelských stanicích používaly zařízení jako webovou proxy. To lze nastavit manuálně na každé stanici zvlášť, což se hodí spíše pro menší sítě s malým množstvím klientských stanic nebo pro testovací účely. V případě větších sítí lze využít buď možnost automatické detekce proxy WPAD, případně konfigurace přes zásady skupiny GPO v doméně Microsoft Active Directory. Lze také využít nasazení Kernun Clear Web v režimu Firewall.
Zařízení Kernun Clear Web podporuje automatickou detekci proxy pomocí technologie Web Proxy Auto-Discovery Protocol (WPAD), ve které vystupuje v roli WPAD serveru. Tato technologie umožňuje klientům v síti automaticky detekovat a nastavit proxy. Pro mobilní uživatele připojující se k různým sítím (práce, hotel, domov) zajišťuje správné nastavení připojení k webu bez nutnosti manuálních změn v nastavení prohlížeče. Pro úspěšné využití této funkčnosti je nutné provést následující kroky:
Na interních DNS serverech přidat záznamy typu A pro převod jmen
wpadawpad.na IP adresu, na které běží Kernun Clear Web. V případě používání více domén je nutné zajistit odpovídající DNS záznamy i pro tyto domény.example.comZajistit, aby příslušný webový prohlížeč měl nastavenou . Toto nastavení je výchozí pro systémy Windows a většinu webových prohlížečů. Změnu tohoto nastavení lze také pomocí Group Policy v Microsoft Active Directory doméně.
Poznámka
Pokud jako interní DNS server používáte Microsoft Windows Server 2008 a novější, ujistěte se, že nejsou požadavky na WPAD blokovány, viz http://technet.microsoft.com/en-us/library/cc995158.aspx.
Automatická detekce proxy pomocí WPAD funguje tak, že webový prohlížeč se při
spuštění pokusí získat konfigurační soubor z adresy
http://wpad.example.com/wpad.dat, případně
http://wpad/wpad.dat. Tento soubor určuje, kterou proxy
má prohlížet použít. Pokud se soubor nepodaří získat, prohlížeč bude k webu
přistupovat přímo přes výchozí bránu.
Generovaný konfigurační soubor wpad.dat na zařízení Kernun Clear Web
způsobuje následující chování webového prohlížeče: pokud je proxy dostupná přes
odpovídající hostitelské jméno nebo alespoň přes IP adresu, webový prohlížeč ji
použije pro přístup do Internetu. V opačném případě se klient pokusí
připojit k Internetu přímo bez využití proxy. Přímo bez proxy se klient
připojuje, i pokud přistupuje k samotnému webovému rozhraní systému
Kernun Clear Web nebo k serverům ze seznamu, definovaném v pokročilých možnostech sekce
Síťové nastavení aktivity Správa.
Pro nastavení proxy do webových prohlížečů klientů lze v prostředí Microsoft Active Directory využít nástroj Správy zásad skupiny (Group Policy Management Tool). Více informací o Zásadách skupiny a jejích použití lze najít na http://technet.microsoft.com/.
Pro nastavení parametrů prohlížeče Internet Explorer lze v Zásadách skupiny využít sekci (), kde lze nastavit konkrétní parametry pro vybrané verze prohlížeče Internet Explorer.
Pro nastavení parametrů prohlížeče Firefox pomocí Šablon zásad skupiny (Group Policy Templates) doporučujeme použít FirefoxADM. Více informací na http://sourceforge.net/projects/firefoxadm/.
Kernun Clear Web je možné provozovat v režimu (bez nutnosti nastavení proxy v prohlížeči uživatele). Transparentní režim má oproti standardnímu zapojení následující omezení:
Politiku pro koncová zařízení lze řídit jen podle jejich IP adresy
Režim nasazení lze zvolit v aktivitě v sekci po kliknutí na tlačítko .
V režimu zařízení Kernun Clear Web v síti vystupuje jako síťový router. Zařízení stojí na perimetru sítě, a odděluje vnitřní síť od vnější. Používá dvě síťová rozhraní. Jedno je připojeno do interní sítě (stejné rozhraní, které je použito v režimu ). Druhé je připojeno do Internetu. Ostatní zařízení ve vnitřní síti by měla mít nastaven Kernun Clear Web jako výchozí bránu.
Kernun Clear Web má v tomto režimu spuštěnu transparentní proxy, která automaticky zpracovává webový provoz. Ve výchozím nastavení proxy zpracovává požadavky na portech 80 (HTTP) a 443 (HTTPS). Porty, na kterých transparentní proxy zpracovává požadavky, lze upravit ve stejné sekci.
I v režimu Kernun Clear Web provozuje netransparentní HTTP/HTTPS proxy (ve výchozím nastavení na portu 3128). Požadavky realizované netransparentně fungují stejně, jako v režimu nasazení (tj. včetně HTTPS inspekce a autentizace).
Pro provoz ostatních protokolů je možné vytvořit pravidla paketového filtru. Pro přístup z vnější sítě ke službám ve vnitřní síti lze přidat pravidla pro přesměrování portů (viz 1 – „Pravidla politiky“).
Zařízení může provozovat pro vnitřní síť DHCP server. Rozsah IP adres, které bude zařízení poskytovat klientům, lze nastavit v téže sekci. Seznam klientů, kterým bude poskytována pevná IP adresa, lze zadat v v sekci .
Adresu používanou pro přístup k Internetu je možno zadat buď přímo, nebo nastavit autokonfiguraci pomocí DHCP protokolu. Je-li automatická konfigurace na externím síťovém rozhraní zapnuta, je možno zvolit automatické nastavení DNS serverů, nebo je explicitně vyjmenovat.
Tato kapitola je počínaje verzí 4.3.1 považována za zastaralou. Pro transparentní nasazení je preferován režim nasazení , viz 6.3 – „Režim Firewall“.
Kernun Clear Web je možné provozovat v transparentním režimu (bez nutnosti nastavení proxy v prohlížeči uživatele). Transparentní režim má oproti standardnímu zapojení následující omezení:
Politiku pro koncová zařízení lze řídit jen podle jejich IP adresy
Podporovány jsou dvě varianty zapojení.
Kernun Clear Web může fungovat jako výchozí brána pro přístup do Internetu. V tomto zapojení zařízení propouští pouze HTTP a HTTPS komunikaci na portech, definovaných v příslušných polích podsekce v aktivitě , sekci . Provoz HTTPS na specifikovaných portech nelze omezit ani monitorovat.
Ostatní typy požadavků (např. DNS, IMAP, SSH, apod.) nejsou propouštěny. Servery obsluhující tyto požadavky by proto měly být dostupné v místní síti a používat pro přístup do internetu jinou výchozí bránu.
Toto zapojení lze použít v případě, že brána používaná pro přístup k internetu dokáže přesměrovat všechny HTTP požadavky na Kernun Clear Web (funkce DNAT).
Schéma transparentního nasazení je znázorněno na obr. 2.3 – „Zapojení v transparentním režimu“. Klienti jsou umístěni v síti LAN_NET, zařízení Kernun Clear Web je umístěno do své vlastní IP sítě KCW_NET. Klient nesmí mít přímý přístup na Kernun Clear Web. Sítě musí být fyzicky nebo virtuálně odděleny.
Brána přesměrovává HTTP/HTTPS požadavky klientů na zařízení Kernun Clear Web. Zařízení Kernun Clear Web přijímá transparentní požadavky na portech nastavených v HTTP porty a HTTPS porty, které lze nalézt v pokročilých možnostech sekce aktivity . V zařízení typu IP TABLES lze použít následující typ pravidla pro každý port webového provozu (80, 443, ...):
#!/bin/sh
WEB_PORT=80
KCW_IP=10.25.0.2
LAN_NET="10.12.0.0/24"
KCW_NET="10.25.0.0./24"
LAN_DEV="eth0"
# presmerovat webovy provoz smerujici na SERVER:WEB_PORT z LAN_NET na
# KCW:WEB_PORT (s vyjimkou provozu uvnitr LAN_NET)
iptables -t nat -A PREROUTING -i $LAN_DEV -s $LAN_NET ! -d $LAN_NET \
-p tcp --dport $WEB_PORT -j DNAT --to $KCW_IP:$WEB_PORT
Tip
Pro přístup k rozhraní Kernun Clear Web je vhodné na administrátorské stanici vytvořit síťový alias v síti KCW_NET.