我正在为一家企业设计网络,希望获得一些关于可免费使用 HTTP 和 HTTPS 的防火墙/网络过滤器的建议。
主网络的成本非常高,因此我想使用免费的网络过滤服务。我听说过并使用过 Squid,但我认为我需要一个透明代理。我研究过它们,但我认为我不能为域控制器上的用户使用 AD 单点登录。
我的计划是使用一个 Web 过滤器,根据用户在 Active Directory 上所在的安全组来设置 ACL。有没有办法在 Squid 中完成此操作?或者有没有其他免费的 Web 文件管理器,我可以将它们以透明模式放置在 FIRST 核心交换机和路由器之间。
以下是对网络的一些解释,出于显而易见的原因
ISP - LEASE LINE IN ↓ CISCO ISR ROUTER GIG LAN ↓ PROPOSED PLACE FOR TRANSPARENT FILTER ↓ CORE 3750 CISCO (L3) ↓ ↓ ↓ ↓ MAIN DISTRIBUTION LAYER (4x3750 L3) ↓ ↓ ↓ ↓ ↓ ACCESS LAYER - FULL MESH (L2)
答案1
代理身份验证只能在显式代理上进行。当代理透明部署时,浏览器不知道代理的存在,因此正确地拒绝向不知从何而来要求身份识别的人出示用户凭证。
如果您的环境中的一个用户从一个设备(一个 IP)访问互联网,那么理论上可以从域控制器检索代理内的 IP <-> 用户名映射。一些代理人然后部署在DC上。
我不知道有任何免费的过滤器支持它。它的服务器端看起来像https://github.com/diladele/active-directory-inspector(正在进行中,GPLv3)但你需要自己在 Squid 端编写 URL 重写器。请参阅部署在https://www.diladele.com作为灵感。