Explicit proxy是Fortigate firewall集成的众多优秀的功能之一,下面说下Explict防火墙的简单配置。文章中仅介绍部署web proxy的部分,FTP proxy的配置过程类似,这里就先略过。


背景:

  1. 最近使用中国联通的网络访问国外的一些工作常用站点非常困难,网页响应时间长,甚至无法加载网页等。

    1. 某些部门的同事需要下载国外的同事发来的一些文件,很多是通过国外的云服务共享的,比如dropbox,google docs,onedrive等等;

    2. 某部门同事工作常用的站点,比如webex.com,netsuite.com,微软的CRM站点;

    3. 外企常用的搜索引擎google.com等等。大家都知道靠baidu是搜索新的有价值的技术资料是非常困难的;

  2. 解决方案:

    1. 代理;

    2. ×××;

    3. 在国外的office提供VM给国内的用户远程使用等等;


      这里笔者之前主要使用的是代理服务器,SQUID for windows,没有使用Linux版本的SQUID主要是因为公司熟悉Linux的同事并不多,怕以后维护比较困难。我之前的SQUID配置了NTLM验证,公司内通过Domain环境管理,所以为用户开放权限比较方便。由于SQUID for windows的版本非常旧了,更新到2.7之后就不更新了。碰巧前端时间刚刚帮公司更换了Fortigate的NGFW,经过国外的同事提示,NGFW内置了Explicit proxy,非常有新鲜感。也正好有脱离SQUID的想法,所以研究了起来。


  3. 配置步骤,大概分为以下几个部分:

    1. 启用explicit feature;

    2. 启用WAN Optimization feature;

    3. 配置Explicit proxy使用的端口;

    4. 在需要的interface启用explicit proxy web支持;

    5. 配置explicit proxy使用的service;

    6. 配置explicit policy;

    7. 配置RADIUS验证用户