Wie man eine Verbindung zu einem übergeordneten Proxy herstellt
Sie können Sophos XG Firewall mit einem übergeordneten Proxy verbinden.
Einleitung
In diesem Szenario wird der Internetverkehr von Ihrer XG Firewall auf ein übergeordnetes Gerät umgeleitet.
Es gibt zwei Methoden für die Bereitstellung des übergeordneten Proxys: Eine mit dem übergeordneten Proxy, der im Internet vorgehalten wird, und die andere mit dem übergeordneten Proxy im internen Netzwerk. Beide werden in diesem Szenario behandelt. Befolgen Sie die Anweisungen für die Methode, die Ihrer Bereitstellung entspricht.
Verbindung zu übergeordnetem Proxy im Internet herstellen
Wenn ein Upstream-Proxy im Internet bereitgestellt wird, müssen Sie XG Firewall als Proxy-Server für die Benutzer im LAN konfigurieren.
XG Firewall routet alle ausgehenden Anforderungen über den Upstream-Proxy.
Um eine Verbindung zum Server herzustellen, gehen Sie folgendermaßen vor:
Gehen Sie zu Routing > Upstream-Proxy.
Schalten Sie den übergeordneten Proxy ein, und geben Sie die folgenden Einstellungen an:
Option
Bezeichnung
Domänenname/IPv4-Adresse
203.1.23.5
Port
3128
Benutzername
<Benutzername für den Zugriff auf den übergeordneten Proxy>
Kennwort
<Kennwort für den Zugriff auf den übergeordneten Proxy>
Die folgende Abbildung zeigt Beispieleinstellungen für den übergeordneten Proxy.
Klicken Sie auf Übernehmen.
Verbindung zu internem übergeordneten Proxy herstellen
Wenn ein Upstream-Proxy im LAN oder in der DMZ bereitgestellt wird, müssen Sie XG Firewall als Proxy-Server konfigurieren.
XG Firewall routet alle ausgehenden Anforderungen über den Upstream-Proxy.
Um eine Verbindung zum Server herzustellen, gehen Sie folgendermaßen vor:
Gehen Sie zu Routing > Upstream-Proxy.
Schalten Sie den übergeordneten Proxy ein, und geben Sie die folgenden Einstellungen an:
Option
Bezeichnung
Domänenname/IPv4-Adresse
192.168.1.10
Port
3128
Benutzername
<Benutzername für den Zugriff auf den übergeordneten Proxy>
Kennwort
<Kennwort für den Zugriff auf den übergeordneten Proxy>
Die folgende Abbildung zeigt beispielhafte Routing-Einstellungen für den übergeordneten Proxy.
Klicken Sie auf Übernehmen.
Gehen Sie zu Firewall, klicken Sie auf Firewallregel hinzufügen und erstellen Sie eine Benutzer-/Netzwerkregel, um den Datenverkehr zwischen internen Hosts und dem übergeordneten Proxy folgendermaßen zuzulassen.
Option
Bezeichnung
Regelname
Geben Sie einen Namen ein.
Position der Regel
Unten
Maßnahme
Annehmen
Quelle
LAN
Quellnetzwerke und Geräte
Beliebig
Im geplanten Zeitraum
Jederzeit
Die Abbildung unten zeigt Beispieleinstellungen für die Netzwerkregel.
Klicken Sie auf Speichern.
Wenn sich der übergeordnete Proxy in der DMZ befindet, erstellen Sie eine Benutzer-/Netzwerkrichtlinie für den DMZ-DMZ-Datenverkehr.
Gehen Sie zu Firewall, klicken Sie auf Firewallregel hinzufügen und erstellen Sie eine Benutzer-/Netzwerkregel, um ausgehenden Datenverkehr folgendermaßen zu maskieren.
Option
Bezeichnung
Regelname
Geben Sie einen Namen ein.
Position der Regel
Unten
Maßnahme
Annehmen
Quelle
LAN
Quellnetzwerke und Geräte
Beliebig
Im geplanten Zeitraum
Jederzeit
Zielzonen
WAN
Zielnetzwerke
Beliebig
Dienste
Beliebig
Die Abbildung unten zeigt Beispieleinstellungen für die DMZ-Netzwerkregel.
Legen Sie folgende Erweiterte Einstellungen für die Regel fest:
Option
Bezeichnung
NAT & Routing
Quelladresse umschreiben (Maskieren)
Ausgehende Adresse verwenden
MASQ
Primäres Gateway
Geben Sie das Gateway ein.
DSCP-Markierung
DSCP-Markierung wählen
Die Abbildung unten zeigt Beispieleinstellungen für die DMZ-Netzwerkregel.
Klicken Sie auf Speichern.
Wenn der Upstream-Proxy in der DMZ bereitgestellt wird, erstellen Sie eine Benutzer-/Netzwerkrichtlinie, um ausgehenden Datenverkehr von DMZ zu WAN zu maskieren.