文/劉京

（東方公司物探培訓(xùn)中心 河北省涿州市 072750）

1 概述

企業(yè)辦公網(wǎng)（以下簡稱企業(yè)網(wǎng)）內(nèi)有多臺內(nèi)網(wǎng)服務(wù)器，這些服務(wù)器上分別運行著DNS（域名解析服務(wù)器）、企業(yè)網(wǎng)站、人力資源、ERP等系統(tǒng)，DNS服務(wù)器負(fù)責(zé)兩項工作，一個是將來自企業(yè)內(nèi)網(wǎng)用戶對互聯(lián)網(wǎng)域名解析的請求轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)上的DNS服務(wù)器并將結(jié)果返回給內(nèi)網(wǎng)用戶，另一個是負(fù)責(zé)企業(yè)內(nèi)部網(wǎng)站的域名注冊與解析工作，但其上注冊的域名只適用于企業(yè)網(wǎng)，企業(yè)網(wǎng)內(nèi)所有終端計算機(jī)通過內(nèi)部域名直接訪問內(nèi)部網(wǎng)站和相關(guān)應(yīng)用系統(tǒng)，訪問互聯(lián)網(wǎng)上的資源則需要通過架設(shè)在企業(yè)網(wǎng)上的代理服務(wù)器實現(xiàn)。如圖1所示。

2 問題

辦公用戶在訪問互聯(lián)網(wǎng)時需要事先在終端計算機(jī)的瀏覽器中設(shè)置代理服務(wù)器的地址和端口號，這部分用戶設(shè)置起來相對容易，但為了同時能正常訪問企業(yè)內(nèi)部網(wǎng)站還要在“例外”地址表中設(shè)置若干地址，由于企業(yè)網(wǎng)內(nèi)部的網(wǎng)站和各應(yīng)用系統(tǒng)都有后綴不同的內(nèi)部域名，這些域名需要在設(shè)置代理服務(wù)器的時候全部排除才能正常訪問，設(shè)置參數(shù)時需要將所有內(nèi)部網(wǎng)站對應(yīng)的域名后綴逐一添加到瀏覽器的例外地址表中，操作過程十分繁瑣。如圖2所示。

在瀏覽器中“例外”地址列表中的參數(shù)對于一般用戶來說設(shè)置起來比較困難，并且有以下問題：

（1）普通用戶獲取這些參數(shù)很不方便。

（2）參數(shù)冗長，操作時容易出錯，設(shè)錯會導(dǎo)致訪問企業(yè)網(wǎng)站失敗或部分企業(yè)網(wǎng)站訪問失敗的情況。

（3）當(dāng)企業(yè)網(wǎng)內(nèi)部域名發(fā)生調(diào)整改變時所有終端計算機(jī)上的設(shè)置無法自動更新，需要逐臺手工更新。上述問題給辦公用戶和單位網(wǎng)絡(luò)管理員造成了很多不必要的麻煩，降低了工作效率。

3 PAC技術(shù)

PAC——Proxy Auto-Configuration，即代理服務(wù)器自動配置技術(shù)。這項技術(shù)通過一個被稱為PAC腳本的文本文件來實現(xiàn)代理服務(wù)器的所有配置，這個文本文件實際上是一段JavaScript腳本，里面的代碼決定了用戶瀏覽器的訪問請求是直接發(fā)送到網(wǎng)上還是通過代理服務(wù)器發(fā)出去。

PAC腳本由管理員編寫并保存在網(wǎng)絡(luò)內(nèi)的WEB服務(wù)器上，網(wǎng)絡(luò)上的所有終端計算機(jī)可以訪問到這個腳本并需要在瀏覽器的配置中指向它，從而實現(xiàn)代理服務(wù)器參數(shù)統(tǒng)一配置集中下發(fā)的功能。當(dāng)用戶通過瀏覽器發(fā)出請求時先下載并運行PAC腳本，由腳本根據(jù)用戶的請求和本地參數(shù)，比如說用戶端的IP地址、用戶訪問的網(wǎng)址來決定是否使用代理服務(wù)器，使用哪一臺代理服務(wù)器等操作。用戶在瀏覽器配置中只需輸入PAC腳本的URL即可，無需輸入代理服務(wù)器的其他任何參數(shù)。如圖3所示。

圖1：企業(yè)辦公網(wǎng)邏輯結(jié)構(gòu)圖

圖2：終端計算機(jī)瀏覽器代理服務(wù)器參數(shù)設(shè)置

WPAD——Web Proxy Auto-Discovery Protocol，即網(wǎng)絡(luò)代理自動發(fā)現(xiàn)協(xié)議，WPAD協(xié)議結(jié)合DHCP模式可以實現(xiàn)終端計算機(jī)上的瀏覽器自動發(fā)現(xiàn)網(wǎng)絡(luò)中PAC腳本的URL，這個模式下用戶在瀏覽器中無需再輸入PAC腳本的URL，只需要點選圖3中的“自動檢測設(shè)置”即可，進(jìn)一步省略了用戶的配置操作，但前提是終端計算機(jī)使用DHCP地址模式。如圖4所示。

WPAD運行過程：

（1）用戶PC從DHCP服務(wù)器獲取IP地址、DNS服務(wù)器基本網(wǎng)絡(luò)參數(shù)，另外獲取PAC腳本的完整URL，注意DHCP 服務(wù)器需要支持252選項。

（2）PAC腳本的URL中如使用了內(nèi)部域名包則需向DNS服務(wù)器發(fā)出解析請求，換成IP地址，如是IP地址則可忽略該步。

（3）當(dāng)用戶使用瀏覽器發(fā)出訪問網(wǎng)站請求時瀏覽器先下載并執(zhí)行PAC腳本，PAC腳本則根據(jù)用戶的請求進(jìn)行判定和引導(dǎo)，如是內(nèi)部域名或內(nèi)網(wǎng)IP地址則直接訪問企業(yè)內(nèi)網(wǎng)，否則交給代理服務(wù)器處理。

圖3：IE瀏覽器中PAC腳本配置

圖4：WPAD原理示意圖

圖5：網(wǎng)絡(luò)開啟DHCP Snooping

（4）代理服務(wù)器向互聯(lián)網(wǎng)轉(zhuǎn)發(fā)來自用戶瀏覽器的請求。

（5）用戶收到代理服務(wù)器的回復(fù)，訪問成功。

4 實施

根據(jù)單位情況編寫了PAC腳本并上傳至內(nèi)網(wǎng)的WEB服務(wù)器上，配置DNS服務(wù)器用于內(nèi)部服務(wù)器域名注冊和解析，配置DHCP服務(wù)器的252選項用于向客戶PC發(fā)放PAC URL，這里將DHCP相關(guān)配置和PAC腳本展示如下。

單位的DHCP服務(wù)器是由核心交換機(jī)CISCO 4503兼任，在CISCO 4503 上的DHCP配置如下：

用戶PC在獲取IP地址的同時也獲取到PAC腳本存放的URL，其中www.net.pgpc為保存PAC腳本的WEB服務(wù)器的內(nèi)部域名。

PAC腳本是一個JavaScript函數(shù)，確定網(wǎng)絡(luò)瀏覽器的請求（HTTP，HTTPS和FTP）是否直接去目的地或轉(zhuǎn)發(fā)到Web代理服務(wù)器,代碼如下：

5 安全問題

在極大簡化終端計算機(jī)代理服務(wù)器配置的同時，WPAD協(xié)議運行中的安全問題也顯現(xiàn)了出來，企業(yè)內(nèi)網(wǎng)的攻擊者可以創(chuàng)建一個非法DHCP服務(wù)器，在向終端計算機(jī)下發(fā)IP地址的同時提供一個惡意PAC腳本的網(wǎng)址，并將用戶流量引至一個有效的非法代理服務(wù)器上從而實現(xiàn)中間人攻擊。

解決這個問題需要在所有交換機(jī)上開啟DHCP Snooping模式，只對交換機(jī)上特定端口開啟DHCP信任，來自其他端口的DHCP應(yīng)答一律阻斷，這種模式杜絕了非法DHCP服務(wù)器的接入干擾，確保用戶能從合法DHCP服務(wù)器上得到正確的PAC URL即可保證后續(xù)的所有動作都是安全的。如圖5所示。

這個模式要求所有接入交換機(jī)都是可管理且支持DHCP Snooping操作的。

以CISCO 2960為例給出相關(guān)配置：

6 結(jié)束語

在瀏覽器代理服務(wù)器配置上PAC技術(shù)實現(xiàn)了統(tǒng)一管理、集中下發(fā)、自動配置的功能，無需用戶輸入或關(guān)注任何代理服務(wù)器的參數(shù)。這極大方便了終端用戶，同時也大大減少了網(wǎng)絡(luò)管理員基于代理服務(wù)器故障的維護(hù)工作量。但美中不足的是，運行在終端計算機(jī)上的非瀏覽器類軟件(QQ、微信等程序)必需單獨設(shè)置代理服務(wù)器地址和端口號才能正常使用。