Wie man eine Verbindung zu einem übergeordneten Proxy herstellt

Sie können Sophos XG Firewall mit einem übergeordneten Proxy verbinden.

Einleitung

In diesem Szenario wird der Internetverkehr von Ihrer XG Firewall auf ein übergeordnetes Gerät umgeleitet.

Es gibt zwei Methoden für die Bereitstellung des übergeordneten Proxys: Eine mit dem übergeordneten Proxy, der im Internet vorgehalten wird, und die andere mit dem übergeordneten Proxy im internen Netzwerk. Beide werden in diesem Szenario behandelt. Befolgen Sie die Anweisungen für die Methode, die Ihrer Bereitstellung entspricht.

Verbindung zu übergeordnetem Proxy im Internet herstellen

Wenn ein Upstream-Proxy im Internet bereitgestellt wird, müssen Sie XG Firewall als Proxy-Server für die Benutzer im LAN konfigurieren.

XG Firewall routet alle ausgehenden Anforderungen über den Upstream-Proxy.


Abbildung eines übergeordneten Upstream-Proxys im Internet

Um eine Verbindung zum Server herzustellen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Routing > Upstream-Proxy.
  2. Schalten Sie den übergeordneten Proxy ein, und geben Sie die folgenden Einstellungen an:
    OptionBezeichnung

    Domänenname/IPv4-Adresse

    203.1.23.5

    Port

    3128

    Benutzername

    <Benutzername für den Zugriff auf den übergeordneten Proxy>

    Kennwort

    <Kennwort für den Zugriff auf den übergeordneten Proxy>

    Die folgende Abbildung zeigt Beispieleinstellungen für den übergeordneten Proxy.


    Screenshot mit Beispieleinstellungen für einen Proxy-Server im Internet
  3. Klicken Sie auf Übernehmen.

Verbindung zu internem übergeordneten Proxy herstellen

Wenn ein Upstream-Proxy im LAN oder in der DMZ bereitgestellt wird, müssen Sie XG Firewall als Proxy-Server konfigurieren.

XG Firewall routet alle ausgehenden Anforderungen über den Upstream-Proxy.


Diagramm mit einem internen übergeordneten Proxy

Um eine Verbindung zum Server herzustellen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Routing > Upstream-Proxy.
  2. Schalten Sie den übergeordneten Proxy ein, und geben Sie die folgenden Einstellungen an:
    OptionBezeichnung

    Domänenname/IPv4-Adresse

    192.168.1.10

    Port

    3128

    Benutzername

    <Benutzername für den Zugriff auf den übergeordneten Proxy>

    Kennwort

    <Kennwort für den Zugriff auf den übergeordneten Proxy>

    Die folgende Abbildung zeigt beispielhafte Routing-Einstellungen für den übergeordneten Proxy.


    Screenshot mit Beispiel-Routing-Einstellungen für einen internen übergeordneten Proxy
  3. Klicken Sie auf Übernehmen.
  4. Gehen Sie zu Firewall, klicken Sie auf Firewallregel hinzufügen und erstellen Sie eine Benutzer-/Netzwerkregel, um den Datenverkehr zwischen internen Hosts und dem übergeordneten Proxy folgendermaßen zuzulassen.
    OptionBezeichnung

    Regelname

    Geben Sie einen Namen ein.

    Position der Regel

    Unten

    Maßnahme

    Annehmen

    Quelle

    LAN

    Quellnetzwerke und Geräte

    Beliebig

    Im geplanten Zeitraum

    Jederzeit

    Die Abbildung unten zeigt Beispieleinstellungen für die Netzwerkregel.


    Screenshot mit Beispieleinstellungen für die Netzwerkregel
  5. Klicken Sie auf Speichern.

Wenn sich der übergeordnete Proxy in der DMZ befindet, erstellen Sie eine Benutzer-/Netzwerkrichtlinie für den DMZ-DMZ-Datenverkehr.

  1. Gehen Sie zu Firewall, klicken Sie auf Firewallregel hinzufügen und erstellen Sie eine Benutzer-/Netzwerkregel, um ausgehenden Datenverkehr folgendermaßen zu maskieren.
    OptionBezeichnung

    Regelname

    Geben Sie einen Namen ein.

    Position der Regel

    Unten

    Maßnahme

    Annehmen

    Quelle

    LAN

    Quellnetzwerke und Geräte

    Beliebig

    Im geplanten Zeitraum

    Jederzeit

    Zielzonen

    WAN

    Zielnetzwerke

    Beliebig

    Dienste

    Beliebig

    Die Abbildung unten zeigt Beispieleinstellungen für die DMZ-Netzwerkregel.


    Screenshot mit Beispieleinstellungen für die DMZ-Regel.
  2. Legen Sie folgende Erweiterte Einstellungen für die Regel fest:
    OptionBezeichnung

    NAT & Routing

    Quelladresse umschreiben (Maskieren)

    Ausgehende Adresse verwenden

    MASQ

    Primäres Gateway

    Geben Sie das Gateway ein.

    DSCP-Markierung

    DSCP-Markierung wählen

    Die Abbildung unten zeigt Beispieleinstellungen für die DMZ-Netzwerkregel.


    Screenshot mit Beispiel für erweiterte Einstellungen für die DMZ-Regel
  3. Klicken Sie auf Speichern.
  4. Wenn der Upstream-Proxy in der DMZ bereitgestellt wird, erstellen Sie eine Benutzer-/Netzwerkrichtlinie, um ausgehenden Datenverkehr von DMZ zu WAN zu maskieren.