北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

FortiGate 显式代理

版本 1.0

时间 2011 年 12 月

作者 胡丹丹(ddhu@fortinet.com)

支持的版本 FortiOS v4.3

状态 草稿

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

目录

1.目的 ................................................................................................................................ 3

2.环境介绍 ........................................................................................................................ 3

3.FortiGate 显式代理设置 ............................................................................................. 3

3.1 启用显式 Web 代理 ............................................................................. 4

3.2 网页代理转发服务器 ............................................................................ 8

3.3 显式 FTP 代理 ..................................................................................... 9

4.Socks 代理 .................................................................................................................. 11

5.Troubshooting ............................................................................................................ 11

6.参考 .............................................................................................................................. 12

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

1.目的

提供代理服务的计算机或其它类型的网络节点称为代理服务器,其具体过程

为:客户端首先与代理服务器创建连接,接着发出一个对另外的目标服务器的文件

或其它资源的连接请求,代理服务器通过与目标服务器连接或从缓存中取得请求

的资源,并返回给客户端。通常在这个过程中,代理服务器可能改变客户端请求或

服务器端响应的一些内容以满足各种代理需要。本文档针对 FortiGate 的显式代

理进行说明。

2.环境介绍

本文使用 FortiGate 200A 进行说明, 本文使用的系统版本为 FortiOS

v4.0MR3 Patch3 build0496。

3.FortiGate 显式代理设置

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

3.1 启用显式 Web 代理

FortiGate 支持在一个或者多个物理接口上启用 HTTP 或 HTTPS 代理,显式

的 web 代理支持通过 web 浏览器或 PAC(Proxy auto-config)为 web 代理用户提

供自动代理配置及 FTP 会话代理。

在系统管理—网络—显式代理,启用显式代理,选择需要使用 web 代理的协

议。设置使用的代理端口,此文为 8080 作为 HTTP 的代理端口。Web 显式代理

支持 FQDN 形式的域名代理。显式 web 代理不支持 SSL,IPSec 流量,也无法支

持流量整形功能。对于接收到却未能识别的 HTTP 版本,可以选择拒绝或尽力处

理。

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

Web 代理用户在浏览器配置代理服务器时,则使用的启用了代理服务器的接

口地址。在 FortiGate 透明模式下启用 web 显式代理时,则使用 FortiGate 的管理

IP 作为代理服务器地址。

Web 代理用户使用 FortiGate 的路由表穿过 FortiGate 到达目的地,在会话离

开 FortiGate 之前,显式 web 代理将会话的源地址变更为 FortiGate 启用代理接口

的地址,若运行在透明模式,则变更为 FortiGate 的管理 IP 地址。

在相应的接口上开启显式代理。

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

默认防火墙对 web 代理流量未阻止,需要指定策略来实现 web 代理的安全访

问。可以根据需要开启用户认证。

由于大部分的 web 代理用户使用了 NAT 或者虚拟化技术,如 Ctrix 或者微软

的终端服务器,那么这些代理用户使用了相同的 IP 地址来认证该策略,一旦其中

的一个用户通过认证,那么该 IP 地址的所有认证用户都视为已认证,鉴于此,在启

用了基于用户认证的策略的同时,建议同时将基于 IP 的授权方式开启。基于不同

的方式用于鉴别相同 IP 的不同 web 代理用户。

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

启用基于 IP 认证,可以使用基本,消息摘要,NTLM 与 FSAE 四种授权方式。

同时可以针对外网通过 Web proxy 访问内网资源而无需设定 VPN,不失为除

VPN 以外的另一种解决方案。

在 PC 浏览器中设置代理服务器

在开启代理之后,所有的 HTTP 流量将通过 web proxy 访问,无论内网或者外

网,而其他非 HTTP 流量,如 telnet,smtp 等则使用本地路由进行转发。

设置完成之后可以通过简单的方法确认 web proxy 是否生效,在搜索引擎或

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

相关网站查询本机 IP 是否成为 Web proxy 的接口地址。

理论上系统对于显式代理的用户数量没有限制,但是过多的显式代理用户数

将消耗系统资源并影响系统性能,可以通过以下命令限制显式代理的用户数

config global

config system resource-limits

set proxy 50

end

end

3.2 网页代理转发服务器

通过 FortiGate 将代理请求转发至另一个或多个代理服务器处理

config web-proxy forward-server

edit fwd-srv

set addr-type fqdn

set fqdn proxy.example.com

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

set port 8080

end

定义转发服务器之后,可在策略中启用该转发服务器

3.3 显式 FTP 代理

显式 FTP 代理的接口需要在命令行下启用

config system interface

edit "wan1"

set vdom "root"

set ip 59.108.29.182 255.255.255.0

set allowaccess ping https snmp http telnet fgfm

set type physical

set explicit-ftp-proxy enable

next

end

接口上启用显式 FTP 代理后,可以在策略中定义 FTP 代理允许的策略

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

通过CMD连接显式代理FTP 接口地址,显式代理会提示输入用户名,此时需

要输入指定格式用户名:

proxy-user:proxy-password:realftp-user@real-ftp-ip

proxy-user 与 proxy-password 为认证策略中的用户名与密码,realftp-user

为真实 FTP 服务器的用户,real-ftp-ip 为真实 ftp 服务器的 ip 或域名地址。服务器

会继续要求输入密码,此时输入真实 ftp 服务器该用户的密码。如 FTP 代理策略

中不启用用户认证,则在 proxy-user 与 proxy-password 可以输入任意字符。示例

如下

C:\Users\Administrator>ftp 59.108.29.182

连接到 59.108.29.182。

220 Welcome to Fortigate FTP proxy

用户(59.108.29.182:(none)): ftp:ftp:ddhu@59.108.29.181

331 User name okay, need password.

密码:

230 User logged in, proceed.

通过 Flashfxp 连接显式代理至 FTP server

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

4.Socks 代理

Web Proxy 也支持 Socks 代理方式,代理除 HTTP 以外的其他应用,可以在命

令行下开启 socks 代理

config web-proxy explicit

set status enable

set socks enable

end

5.Troubshooting

查看当前代理用户

FG200A_1_177 # get test wad 60

users:

user:web@59.108.29.180(0x40d0e07c), type:IP, vfid:0, ref_cnt:1,

user:1(0x40ebd020), user_ip:1(0x40cfa0f0), timeout:~36, id: 7

北京市海淀区北四环西路 52 号大厦 12 层 电话: (010)62960376

Total allocated user:1

Total user count:1, shared user quota:3000, shared user count:1

form_auth_keepalive=1

Explicit proxy authentication timeout: 300 sec, timeout precision: 30000 msec

查看当前代理用户汇总

FG200A_1_177 # get test wad 62

Total user count:0, shared user quota:3000, shared user count:0

form_auth_keepalive=1

vd=root max=0 guarantee=0 used=0

清除当前代理用户认证

FG200A_1_177 # get test wad 61

可以使用该命令清除当前所有认证的代理用户,强制其重新认证(仅在策略中开

启用户认证方可生效)。

6.参考

WAN Optimization, Web Cache, Explicit Proxy, and WCCP