Настройка HTTP Redirect в аппаратных шлюзах серии ZyWALL USG

Как настроить перенаправление HTTP-трафика (HTTP Redirect) на прокси-сервер в аппаратных шлюзах серии ZyWALL?


Функция HTTP Redirect перенаправляет HTTP-запросы от клиентов (кроме HTTP-трафика, предназначенного непосредственно для ZyWALL USG) на прокси-сервер.

Приведем пример, в котором прокси-сервер подключен к интерфейсу DMZ аппаратного шлюза ZyWALL USG. Когда клиент, подключенный к зоне LAN1, попытается открыть веб-страницу, его HTTP-запрос перенаправится на прокси-сервер. Если прокси-сервер не сможет найти веб-страницу в собственном кэше, то он должен иметь возможность получить ее из Интернета через ZyWALL USG.

Для работы HTTP Redirect убедитесь, что подключенный к ZyWALL USG прокси-сервер по настройкам транка (Trunk), Policy Route и Firewall имеет выход в Интернет.

В ZyWALL USG установлен следующий порядок обработки пакетов для HTTP-трафика:

1. Firewall
2. Application Patrol
3. HTTP Redirect
4. Policy Route

Если настроить один и тот же входящий интерфейс в Policy Route и правиле HTTP Redirect, ZyWALL проверяет сначала правило HTTP Redirect и затем направляет HTTP-трафик на прокси-сервер. Таким образом, для HTTP-трафика настроенное правило в Policy Route по таким же критериям работать не будет.

Далее приведем пример настройки функции HTTP Redirect в аппаратном шлюзе ZyWALL USG.

Предположим, что используется следующая топология сети:

Подключитесь к веб-конфигуратору аппаратного шлюза ZyWALL USG и зайдите в меню Configuration > Network > HTTP Redirect для создания правила перенаправления трафика.
Внимание! Вы можете настроить не более одного правила HTTP Redirect для каждого (входящего) интерфейса.

В поле Interface укажите интерфейс, на котором должен быть получен HTTP-запрос (в нашем примере это lan1). Этот запрос будет перенаправлен аппаратным шлюзом на указанный прокси-сервер.
В поле Proxy Server укажите IP-адрес прокси-сервера, а в поле Port - номер порта, который использует (прослушивает) прокси-сервер.


Теперь попробуйте обратиться к веб-сайту и выполнить захват сетевых пакетов (с помощью программы Wireshark) с порта DMZ. Вы увидите, что трафик с номером порта 8080 был перенаправлен с компьютера на прокси-сервер.

При необходимости HTTP-трафик напрямую от локальных хостов в Интернет, минуя прокси, можно заблокировать правилом Firewall.

 

KB-2347

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев