แอดมินหลายๆ คน มักเจอคำถามนี้เหมือนกัน บทความนี้จึงขอนำเสนอวิธีต่างๆ และข้อดี ข้อเสีย ของแต่ละวิธีครับ

การทำงานของ proxy แบ่งตามมุมมองจากไคลเอนท์ได้ 2 กลุ่มหลักๆ คือ
A) Explicit Proxy
B) Transparent Proxy

Explicit Proxy

    เป็นการบอกให้ไคลเอนท์รู้ว่า proxy อยู่ที่ไหน และให้ส่งมาที่ proxy ก่อน

    1) Manual

      หรือทำมือ ซึ่งเป็นวิธีที่ง่ายที่สุด
      วิธีทำ
      – เปิด IE > Tools > Internet Options > Connections > LAN Settings แล้วระบุชื่อ proxy ลงไป
      ข้อดี
      – ง่าย ไม่ซับซ้อน
      ข้อเสีย
      – หากมีเครื่องไคลเอนท์จำนวนมาก แอดมินอาจมือหงิกได้
      – เวลาเปลี่ยน proxy ก็มือหงิกอีกรอบ

    2) Proxy Script

      วิธีทำ
      – เอา java script ไปวางไว้ในเวปภายในของบริษัท แล้วทำเช่นเดียวกับ manual แต่ให้ระบุโดยใช้ Use automatic configuration script ชี้ไปยัง url ของ java script
      ข้อดี
      – ยังง่ายอยู่ เพราะสามารถหาตัวอย่าง proxy script ได้ในเน็ต
      – สามารถกำหนดเงื่อนไขแปลกๆ เช่น ทำ load balance กับ proxy สองตัว หรือเลือกได้ว่าเวปไหนออกตรง เวปไหนผ่าน proxy
      – การแก้ไขทำได้ง่าย เพราะแก้แค่ที่เดียว
      ข้อเสีย
      – เวลากำหนดครั้งแรกยังต้องทำทีละเครื่องเช่นเดิม

    3) WPAD

      หรือที่ในหน้า proxy ของ IE บอกว่า Automatically detect setting นั่นเอง
      วิธีทำ
      – ใช้ proxy script เจ้าเดิม เพียงแต่เราจะวางให้ถูกที่ถูกทาง โดยมันจะค้นหา proxy script ตามชื่อโดเมนของไคลแอนท์ เช่น ไคลเอนท์ชื่อ pc1.sale.bangkok.modplusplus.com เวลามันค้นหา proxy script ก็จะวิ่งตามนี้

      http://wpad.sale.bangkok.modplusplus.com/wpad.dat
      http://wpad.bangkok.modplusplus.com/wpad.dat
      http://wpad.modplusplus.com/wpad.dat

      ดังนั้นหน้าที่เราคือต้องสร้าง DNS A record ชื่อ wpad.modplusplus.com และเปลี่ยนชื่อ proxy script เป็น wpad.dat จากนั้นไปวางในเวปเซิร์ฟเวอร์ที่ชื่อ wpad.modplusplus.com
      ข้อดี
      – คอนฟิกที่ไคลเอนท์น้อยกว่าสองแบบแรก
      ข้อเสีย
      – ต้องยุ่งกับ DNS
      – ไคลเอนท์ที่ไม่ได้ join AD อาจใช้งานลำบาก เนื่องจากจะไม่ทราบโดเมนในการค้นหา
      – ไม่ใช่ทุกแอพพลิเคชั่นที่ใช้งาน WPAD ได้
      รายละเอียดเพิ่มเติมอ่านได้ที่ Wikipeia คลิ๊กที่นี่

    4) DHCP

      ถ้าใครที่ใช้ DHCP กันอยู่แล้วอาจพ่วง proxy script ไปกับ DHCP แทนการใช้ WPAD ก็ได้ครับ
      วิธีทำ
      เข้าไปกำหนด proxy option 252 ให้ชี้ไปที่ url ของ proxy script วิธีการขึ้นอยู่กับยี่ห้อของ DHCP server ครับ ถ้าเป็น Microsoft เข้าไป คลิ๊กที่นี่ แล้วอย่าลืมมาเพิ่มในแต่ละ DHCP scope ด้วยนะครับ
      ข้อดี
      – ไม่ต้องแตะไคลเอนท์เลย
      ข้อเสีย
      – ไคลเอนท์ที่ทำ static IP จะใช้ไม่ได้ ดังนั้นแนะนำให้ทำร่วมกับ WPAD ครับ

    5) Microsoft Group Policy Object (GPO)

      วิธีทำ
      – เข้าไปกำหนดแบบ manual หรือ proxy script ผ่าน Microsoft Group Policy Management Console (GPMC) ซึ่งจะกระจายให้กับไคลเอนท์ที่อยู่ใน AD ทั้งหมด
      ข้อดี
      – ไม่ต้องไปยุ่งกับไคลเอนท์
      – ไม่ต้องเข้าไปแก้ไข DNS หรือ DHCP
      ข้อเสีย
      – อาจมีปัญหากับอุปกรณ์ mobile หรือ table ซึ่งไม่สามารถ join AD ได้

Transparent Proxy

    เป็น proxy ใสแจ๋ว ฝั่งไคลเอนท์ไม่รับรู้ว่ามี proxy อยู่ เวลาติดตั้งไม่ต้องยุ่งกับไคลเอนท์ แต่จะมีขั้นตอนติดตั้งที่ยุ่งยากกว่า และแพงกว่า
    6) L4 Switch

      วิธีทำ
      – ใช้ L4 switch ตรวจสอบว่ามี traffic ใช้พอร์ต 80 หรือ 443 หรือไม่ ถ้ามีจะโยน traffic ดังกล่าวให้ proxy แต่ถ้าไม่ใช่ก็จะปล่อยผ่าน
      ข้อดี
      – ไม่ต้องไปยุ่งกับไคลเอนท์
      – ไม่ต้องเข้าไปแก้ไข DNS หรือ DHCP
      – สามารถใช้ได้กับทุกแอพพลิเคชั่น ทุกแพลตฟอร์ม
      ข้อเสีย
      – อุปกรณ์ L4 switch มักจะมีราคาแพง บางครั้งอาจแพงกว่า proxy ด้วย

    7) WCCP

      หรือ Web Cache Communication Protocol พัฒนาโดย Cisco ให้ใช้งาน proxy ร่วมกับ Cisco switch แทนการพึ่ง L4 หรือ L7 switch ที่มีราคาแพง
      วิธีทำ
      – ทำงานเช่นเดียวกับ L4 switch คือ WCCP router (หรือ WCCP switch) จะส่ง web traffic มาให้ proxy ก่อน แต่ถ้าไม่ใช่ก็จะปล่อยตรง
      ข้อดี
      – เหมือนกับ L4 switch
      – ราคาของ WCCP router มักจะถูกกว่า L4 switch และบางครั้งก็มีมาพร้อมกับ L2/L3 switch เลย
      ข้อเสีย
      – proxy ต้องสนับสนุน WCCP protocol ด้วย

    8) In-line (or Bridge)<

      วิธีทำ
      – เป็น proxy ที่วางขวาง traffic ทั้งหมด ซึ่งบางผู้ผลิตจะทำเป็น firewall/ISP ที่เพิ่มความสามารถในการสแกนข้อมูลที่เป็น HTTP/HTTPS protocol
      ข้อดี
      – หากเป็นความสามารถเสริมของ firewall/IPS ก็เพียงแค่เรียกเปิดใช้งาน ไม่จำเป็นต้องติดตั้งอุปกรณ์เพิ่ม
      ข้อเสีย
      – หากต้องมี downtime อาจส่งผลกระทบให้ไม่สามารถใช้งานอินเทอร์เน็ตได้ทั้งองค์กรได้ หรือต้องใช้รุ่นที่มี hardware bypass traffic เวลาอุปกรณ์ไม่ทำงาน ซึ่งจะมีราคาสูง
    Advertisements