【控制篇 / 策略】(5.4) ❀ 03. Explicit Web Proxy 显式web代理 ❀ FortiGate 防火墙

已于 2022-08-02 10:26:19 修改
阅读量6.8k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: # 策略
于 2017-05-19 11:38:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/meigang2012/article/details/72518741

        【简介】提供代理服务的计算机或其它类型的网络节点称为代理服务器,其具体过程为:客户端首先与代理服务器创建连接,接着发出一个对另外的目标服务器的文件或其它资源的连接请求,代理服务器通过与目标服务器连接或从缓存中取得请求的资源,并返回给客户端。通常在这个过程中,代理服务器可能改变客户端请求或服务器端响应的一些内容以满足各种代理需要。

  显式代理

        飞塔防火墙支持支持在一个或者多个物理接口上启用HTTP或HTTPS代理,显式的web代理支持通过web浏览器或PAC(Proxy auto-config)为web代理用户提供自动代理配置及FTP会话代理。

  启用显式代理

        默认情况下显式代理功能是关闭的,需要开启后才能使用。

        ① 选择菜单【系统管理】-【功能选择】,在安全功能选择里打开【显示代理】开关,点击【应用】。

  配置显式代理

        开启显式代理功能后,在菜单就会出现显式代理设置选项了。

        ① 首先需要在防火墙的物理接口启用代理,选择菜单【网络】-【接口】, 选择内网接口internal,点击【编辑】。

        ② 拉到最下方,点击打开启用显示WEB代理,点击【确认】。

        ③ 然后需要启用显示代理,选择菜单【网络】-【显示代理】,有两类代理可以启用,这里启用Web代理。

        ④ 监听接口出现了刚才打开过Web代理的internal接口,默认的http端口是8080,直接点击【应用】就可以了。

  配置策略

        显示代理拥有独立的策略。

        ① 选择菜单【策略&对象】-【显示代理策略】,点击【新建】。

        ② 策略里设置允许internal接口走wan1口代理上网。显示web代理不支持SSL、IPsec流量,也无法支持流量整形功能。

        ③ 新建的策略里可以看到没有流量。

        ④ IPv4策略里已经有一条默认策略指定internal走Wan1口上网,需要建一条新的策略,关闭走IPv4策略的http上网。选择菜单【策略&对象】-【IPv4策略】,点击【新建】。

        ⑤ 策略内容是禁止internal走wan1用http和https访问web网站。

        ⑥ 新建的禁止策略会在默认的策略下方,根据策略执行顺序,禁止策略是不起作用的。鼠标按住禁止策略的序号2,向上拖动鼠标,可以调整两条策略的顺序。

        ⑦ 修改顺序后,禁止策略在上方,这样http和https都会被禁用,但其它服务仍然可以使用。例如QQ等,还是通过网关到互联网。

  客户端设置

        浏览器默认还是走网关上网的,并没有走web代理。

        ① 打开IE浏览器,会发现由于走路由的http和https已经禁止了,点击右上角齿轮图标,弹出下拉菜单选择【Internet选项】。

        ② 打开连接子菜单,点击【局域网设置】。

        ③ 启用代理服务器,地址输入internal接口的IP地址,端口为8080,点击【确定】。

  效果测试

        IE设置完成后,就可以测试是否能通过web代理上网了。

        ① 打开百度网站,刚才还不能打开的,现在正常了。

        ② 再次通过浏览器打开防火墙的登录地址,却发现打不开了。这是因为开启代理之后,所有的HTTP流量将通过web代理访问,无论内网或者外网,而其它非HTTP流量,如telnet、smtp等则使用本地路由进行转发。

        ③ 关闭浏览器的web代理,登录防火墙,查看显式代理策略,现在有流量数据了,说明刚才浏览器是走显示代理上网的。

飞塔技术-老梅子   QQ:57389522

Starting MySQL... ERROR! The server quit without updating PID file (/usr/local/mysql/mysql-bin/data/
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
02-07 4414
最近在服务器上面搭建了宿主机–版本的mysql:5.7报错如下:Starting MySQL… ERROR!
Networked Graphics: Building Networked Games and Virtual Environments (Anthony Steed / Manuel Fradin...
weixin_34402408的博客
03-16 5683
PART I GROUNDWORK CHAPTER 1 Introduction CHAPTER 2 One on One (101) CHAPTER 3 Overview of the Internet CHAPTER 4 More Than Two PART II FOUNDATIONS CHAPTER 5 Issues in Networking Graphics CHAPTE...
[配置]飞塔防火墙Explicit Proxy
weixin_33713350的博客
12-27 1304
Explicit proxyFortigate firewall集成的众多优秀的功能之一,下面说下Explict防火墙的简单配置。文章中仅介绍部署web proxy的部分,FTP proxy的配置过程类似,这里就先略过。背景:最近使用中国联通的网络访问国外的一些工作常用站点非常困难,网页响应时间长,甚至无法加载网页等。某些部门的同事需要下载国外的同事发来的一些文件,很多是通...
教程(5.4) 08. 代理 FortiGate 基础 Fortinet 网络安全专家 NSE 4
防火墙技术专栏
11-19 3925
在这节课中你将学习如何配置FortiGate以作为一个web代理。 在完成这一课程之后,你将具备配置FortiGate作为一个web代理的实际技能。这包括如何使用PAC文件和WPAD来在web浏览器中配置代理设置,减少使用web缓存的WAN带宽,将安全策略应用于基于HTTP头的web代理通信,并对web代理用户进行身份验证和监视。 web代理接收或拦截从客户机到服务器的请...
考题(5.4) 08. 代理 FortiGate Fortinet 网络安全专家 NSE 4
防火墙技术专栏
12-16 915
作为一个web代理服务器,配置FortiGate需要采取哪些步骤? 检查展示,它包含一个web代理配置的截图。当设置默认防火墙策略动作为拒绝时,FortiGate会做什么? web浏览器使用什么方法来学习web代理PAC文件所在的URL? 使用web缓存的好处是什么? 如何配置web代理来阻塞请求特定HTTP方法的HTTP数据包? web浏览器使用什么协议来下载代理PAC文件?...
Squid代理实现内网上网
weixin_33772645的博客
04-20 156
一、Squid代理上网 Squid代理,监听某地址的3128活着8080端口,需要内网用户在浏览器上手动设置代理配置。内网pc只需要保证能路由可达Squid监听的地址即可,无需配置dns,内网pc的所有访问流量都通过浏览器出去(包括DNS解析)。二、配置拓扑:(该模下squid单臂部署,路由模也是没问题的,但需要保证squid能正常上网)①安装sq...
代理技术概述(图文)
...
05-17 3337
一、正向代理(Forward Proxy)一般情况下,如果没有特别说明,代理技术默认说的是正向代理技术。关于正向代理的概念如下: 正 向代理(forward)是一个位于客户端【用户A】和原始服务器(origin server)【服务器B】之间的服务器【代理服务器Z】,为了从原始服务器取得内容,用户A向代理服务器Z发送一个请求并指定目标(服务器B),然后代 理服务器Z向服务器B转交请求并将获得的内容...
[ERROR] Can‘t find error-message file ‘/usr/local/mysql/share/errmsg.sys‘.
超群的博客
01-21 5067
数据库初始化遇到过的那些坑 [ERROR] Can’t find error-message file ‘/usr/local/mysql/share/errmsg.sys’. Check error-message file location and ‘lc-messages-dir’ configuration directive. [root@localhost ~]# /opt/server/mysql/bin/mysqld --initialize-insecure --user=mysql --
浅谈C++ Explicit Constructors(构造函数)
08-31
C++中的构造函数(Explicit Constructors)是编程实践中一个重要的概念,主要用来控制类对象的隐类型转换。在C++中,如果一个类有一个只接受一个参数的构造函数,那么这个构造函数可以被用来进行隐类型转换...
Proxy的常见使用——正向代理的使用及配置总结
热门推荐
小人物,小心思
03-22 1万+
文章目录前言一、使用场景二、如何使用及配置总结 前言 前面提到了proxy是什么,今天就来着重讲解为什么使用正向代理,以及怎么使用。反向代理日常中使用的比较少,所以就放到后面去讲。正向代理根据部署的方又分为:代理、透明代理代理:相对来说就是能感知得到的,需要人为去配置代理才能去使用。抓包流量可以看见你的访问流量都是去跟代理服务器访交互的。其次代理也存在一些局限性,部分不支持代理的软件就不能很好的去支持。其次代理也分为常见的HTTP(s)代理、Socks(4/5)代理。 透明代
教程(7.4) 08. Web过滤 & FortiGate管理员 Fortinet网络安全专家 NSE4
防火墙技术专栏
03-24 1060
在本课中,你将学习如何在FortiGate上配置Web过滤,以控制网络中的网络流量。
教程(7.2) 07. Web过滤 & FortiGate安全 Fortinet网络安全专家 NSE4
防火墙技术专栏
03-01 1337
在本课中,你将学习如何在FortiGate上配置web过滤来控制网络中的web流量。
教程(7.2) 01. 简介及初始配置 & FortiGate安全 Fortinet网络安全专家 NSE4
防火墙技术专栏
02-04 4094
在本节课中,你将学习FortiGate管理基础知识以及FortiGate中可以扩展功能的组件。本课程还包括有关FortiGate如何以及在哪里适合你现有网络架构的详细信息。
FortiGate)飞塔防火墙使用LDAP和FSSO代理进行单点登录
weixin_34239592的博客
02-02 1661
案例中使用FSSO和Windows DC LDAP服务器的认证进行用户身份的校验来控制网络访问的权限。1.FortiGate防火墙上配置Windows DC LDAP服务器找到User & Device > LDAP Servers配置具体的LDAP内容2. 在Windows DC服务器上安装FSSO的代理软件按照软件安装的向导一步步操作安装输入Window...
基于VAEMC架构的物联网综合管理平台_支持多协议设备接入_实时数据采集与分析_云端存储与可视化_远程监控与控制_智能预警与决策支持_适用于工业40_智慧城市_智能家居_农业物联.zip
08-16
基于VAEMC架构的物联网综合管理平台_支持多协议设备接入_实时数据采集与分析_云端存储与可视化_远程监控与控制_智能预警与决策支持_适用于工业40_智慧城市_智能家居_农业物联.zip
JAVA一个简单的即时通讯工具的设计与开发(源代码+论文).7z
08-16
java
fengtianxi001-MF-GisMonitor-2852-1753359408678.zip
08-16
pythonfengtianxi001_MF-GisMonitor_2852_1753359408678.zipfengtianxi001_MF-GisMonitor_2852_1753359408678.zip
面向嵌入 AI 芯片的开发手册:自动驾驶域控制器学习指南
最新发布
08-16
资源下载链接为: https://pan.quark.cn/s/b47703bd82c2 面向嵌入 AI 芯片的开发手册:自动驾驶域控制器学习指南(最新、最全版本!打开链接下载即可用!)
A problem occurred configuring root project 'OplusCamera'. > Could not resolve all dependencies for configuration ':classpath'. > Using insecure protocols with repositories, without explicit opt-in, is unsupported. * Try: > Switch Maven repository 'maven2(http://maven.scm.adc.com:8081/nexus/content/groups/stable-public/)' to redirect to a secure protocol (like HTTPS) or allow insecure protocols. > For more information, please refer to https://docs.gradle.org/8.2/dsl/org.gradle.api.artifacts.repositories.UrlArtifactRepository.html#org.gradle.api.artifacts.repositories.UrlArtifactRepository:allowInsecureProtocol in the Gradle documentation. > Run with --info or --debug option to get more log output. > Run with --scan to get full insights. > Get more help at https://help.gradle.org.为什么还是不行
07-24
<think>我们正在解决Gradle构建时由于使用HTTP协议(不安全协议)访问Maven仓库导致的依赖解析失败问题。错误信息通常为: > Could not resolve all dependencies for configuration ':classpath'. > Using insecure protocols with repositories, without explicit opt-in, is unsupported. 根据引用[1][2][3][4]中的描述,这个问题在Gradle 7.0及以上版本中被引入,因为Gradle默认禁止使用不安全的协议(如HTTP)访问仓库,除非允许。 解决方案有两种: 1. 将仓库的URL从HTTP改为HTTPS(如果仓库支持HTTPS)。 2. 如果仓库不支持HTTPS,则需要在仓库配置中允许不安全协议(通过`allowInsecureProtocol = true`)。 下面我们详细说明这两种解决方案。 ### 解决方案1:使用HTTPS协议(推荐) 在项目的`build.gradle`文件中,找到所有使用`http://`的仓库URL,将其替换为`https://`。例如: **修改前(使用HTTP)**: ```groovy repositories { maven { url 'http://maven.aliyun.com/nexus/content/groups/public/' } // 其他仓库... } ``` **修改后(使用HTTPS)**: ```groovy repositories { maven { url 'https://maven.aliyun.com/nexus/content/groups/public/' } // 其他仓库... } ``` 注意:阿里云仓库已经支持HTTPS,所以这个修改是可行的(参考引用[3])。 ### 解决方案2:允许不安全协议(临时方案) 如果某个仓库暂时不支持HTTPS,则可以在该仓库的配置中添加`allowInsecureProtocol = true`。例如: ```groovy repositories { maven { url 'http://insecure.repository.com/repo' allowInsecureProtocol true // 允许不安全协议 } } ``` ### 完整示例 假设你的项目级`build.gradle`文件中有如下配置: ```groovy buildscript { repositories { maven { url 'http://maven.scm.adc.com:8081/nexus/content/groups/stable-public/' } google() mavenCentral() } dependencies { classpath "com.android.tools.build:gradle:7.0.2" // 其他依赖... } } allprojects { repositories { maven { url 'http://maven.scm.adc.com:8081/nexus/content/groups/stable-public/' } google() mavenCentral() } } ``` 根据错误信息,我们需要将`maven.scm.adc.com`的仓库URL改为HTTPS,或者允许不安全协议。如果该仓库支持HTTPS,则改为`https`;如果不支持,则添加`allowInsecureProtocol`。 **修改后的配置(改为HTTPS)**: ```groovy buildscript { repositories { maven { url 'https://maven.scm.adc.com:8081/nexus/content/groups/stable-public/' } // 改为https google() mavenCentral() } // ... 依赖不变 } allprojects { repositories { maven { url 'https://maven.scm.adc.com:8081/nexus/content/groups/stable-public/' } // 改为https google() mavenCentral() } } ``` **如果该仓库不支持HTTPS,则允许不安全协议**: ```groovy buildscript { repositories { maven { url 'http://maven.scm.adc.com:8081/nexus/content/groups/stable-public/' allowInsecureProtocol true // 允许 } google() mavenCentral() } // ... 依赖不变 } allprojects { repositories { maven { url 'http://maven.scm.adc.com:8081/nexus/content/groups/stable-public/' allowInsecureProtocol true // 允许 } google() mavenCentral() } } ``` ### 验证修复 修改配置后,执行以下命令刷新依赖并重新构建: ```bash ./gradlew clean --refresh-dependencies ./gradlew build ``` ### 注意事项 1. **安全风险**:允许不安全协议(HTTP)会使得依赖下载过程容易被中间人攻击,因此仅建议作为临时解决方案。长期来看,应推动仓库管理员提供HTTPS支持[^4]。 2. **多位置修改**:注意在`buildscript`和`allprojects`中可能都需要修改仓库配置。 ### 根本原因 Gradle 7.0及以上版本默认要求仓库使用安全协议(如HTTPS),以增强构建过程的安全性[^2][^3][^4]。这一变更旨在防止依赖包在传输过程中被篡改。 §§相关问题§§ 1. 如何检查Gradle项目中使用的仓库是否支持HTTPS? 2. 如何全局配置Gradle仓库以避免在每个项目中重复声明? 3. 除了协议安全,Gradle 7.0+还有哪些重要的安全策略变更? [^1]: 构建Gradle项目控制台报错:Could not resolve all dependencies for configuration ‘:testCompileClasspath’ [^2]: Could not resolve all dependencies for configuration ‘:classpath‘. > Using insecure protocols [^3]: 将gradle.build仓库更换为阿里云仓库后报错 [^4]: Gradle配置出错:> Could not resolve all artifacts for configuration ‘:classpath‘. [^5]: Could not resolve all dependencies for configuration ‘:classpath‘.</think>### Gradle项目配置失败:Maven仓库使用不安全协议解决方案 当Gradle构建出现以下错误时: ``` Could not resolve all dependencies for configuration ':classpath' Using insecure protocols with repositories, without explicit opt-in, is unsupported ``` 这表示您的项目使用了HTTP协议访问Maven仓库,而Gradle 7.0+版本默认禁止这种不安全连接。以下是完整解决方案: --- ### 解决方案分步指南 #### 1. **首选方案:升级为HTTPS协议(推荐)** 在`build.gradle`文件中修改仓库URL协议: ```groovy // 项目级 build.gradle buildscript { repositories { // 修改前: http://maven.scm.adc.com:8081/... maven { url "https://maven.scm.adc.com:8081/nexus/content/groups/stable-public/" } google() mavenCentral() } } allprojects { repositories { // 同样修改子项目仓库 maven { url "https://maven.scm.adc.com:8081/nexus/content/groups/stable-public/" } google() mavenCentral() } } ``` **优势**:HTTPS提供加密传输,防止依赖包被篡改[^2]。 #### 2. **临时方案:允许不安全协议** 如果仓库不支持HTTPS,添加`allowInsecureProtocol`参数: ```groovy maven { url "http://maven.scm.adc.com:8081/nexus/content/groups/stable-public/" allowInsecureProtocol = true // 允许HTTP } ``` **风险提示**:此方法应仅作为临时措施,长期使用存在安全风险较高[^4]。 #### 3. **阿里云仓库特殊处理** 如果使用阿里云仓库,确保使用正确的HTTPS地址: ```groovy maven { url "https://maven.aliyun.com/repository/public" // 不是 http://maven.aliyun.com/nexus/content/groups/public/ } ``` 阿里云旧版HTTP地址会触发此错误[^3]。 --- ### 完整配置示例 ```groovy // build.gradle (项目级) buildscript { repositories { // 安全仓库 maven { url "https://maven.scm.adc.com:8081/..." } maven { url "https://maven.aliyun.com/repository/public" } google() mavenCentral() // 特殊仓库(必须HTTP时) maven { url "http://custom.insecure-repo.com" allowInsecureProtocol true // 声明 } } dependencies { classpath "com.android.tools.build:gradle:7.0.2" } } allprojects { repositories { // 同样配置应用到所有子项目 } } ``` --- ### 验证修复 1. 清理并刷新依赖: ```bash ./gradlew clean --refresh-dependencies ``` 2. 重新构建项目: ```bash ./gradlew assembleDebug ``` --- ### 根本原因分析 - **安全策略变更**:Gradle 7.0+默认禁止HTTP协议访问仓库,防止中间人攻击[^2][^4] - **影响范围**:所有使用`http://`的仓库声明(包括`buildscript`和`allprojects`) - **错误定位**:Gradle会明确指示问题仓库名称(如`maven2(http://...)`)[^2][^4] > **最佳实践**:优先联系仓库管理员升级HTTPS支持,次选方案才是临时允许不安全协议[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值