文/劉京

（東方公司物探培訓(xùn)中心 河北省涿州市 072750）

1 概述

企業(yè)辦公網(wǎng)（以下簡稱企業(yè)網(wǎng)）內(nèi)有多臺內(nèi)網(wǎng)服務(wù)器，這些服務(wù)器上分別運行著DNS（域名解析服務(wù)器）、企業(yè)網(wǎng)站、人力資源、ERP等系統(tǒng)，DNS服務(wù)器負責(zé)兩項工作，一個是將來自企業(yè)內(nèi)網(wǎng)用戶對互聯(lián)網(wǎng)域名解析的請求轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)上的DNS服務(wù)器并將結(jié)果返回給內(nèi)網(wǎng)用戶，另一個是負責(zé)企業(yè)內(nèi)部網(wǎng)站的域名注冊與解析工作，但其上注冊的域名只適用于企業(yè)網(wǎng)，企業(yè)網(wǎng)內(nèi)所有終端計算機通過內(nèi)部域名直接訪問內(nèi)部網(wǎng)站和相關(guān)應(yīng)用系統(tǒng)，訪問互聯(lián)網(wǎng)上的資源則需要通過架設(shè)在企業(yè)網(wǎng)上的代理服務(wù)器實現(xiàn)。如圖1所示。

2 問題

辦公用戶在訪問互聯(lián)網(wǎng)時需要事先在終端計算機的瀏覽器中設(shè)置代理服務(wù)器的地址和端口號，這部分用戶設(shè)置起來相對容易，但為了同時能正常訪問企業(yè)內(nèi)部網(wǎng)站還要在“例外”地址表中設(shè)置若干地址，由于企業(yè)網(wǎng)內(nèi)部的網(wǎng)站和各應(yīng)用系統(tǒng)都有后綴不同的內(nèi)部域名，這些域名需要在設(shè)置代理服務(wù)器的時候全部排除才能正常訪問，設(shè)置參數(shù)時需要將所有內(nèi)部網(wǎng)站對應(yīng)的域名后綴逐一添加到瀏覽器的例外地址表中，操作過程十分繁瑣。如圖2所示。

在瀏覽器中“例外”地址列表中的參數(shù)對于一般用戶來說設(shè)置起來比較困難，并且有以下問題：

（1）普通用戶獲取這些參數(shù)很不方便。

（2）參數(shù)冗長，操作時容易出錯，設(shè)錯會導(dǎo)致訪問企業(yè)網(wǎng)站失敗或部分企業(yè)網(wǎng)站訪問失敗的情況。

（3）當(dāng)企業(yè)網(wǎng)內(nèi)部域名發(fā)生調(diào)整改變時所有終端計算機上的設(shè)置無法自動更新，需要逐臺手工更新。上述問題給辦公用戶和單位網(wǎng)絡(luò)管理員造成了很多不必要的麻煩，降低了工作效率。

3 PAC技術(shù)

PAC——Proxy Auto-Configuration，即代理服務(wù)器自動配置技術(shù)。這項技術(shù)通過一個被稱為PAC腳本的文本文件來實現(xiàn)代理服務(wù)器的所有配置，這個文本文件實際上是一段JavaScript腳本，里面的代碼決定了用戶瀏覽器的訪問請求是直接發(fā)送到網(wǎng)上還是通過代理服務(wù)器發(fā)出去。

PAC腳本由管理員編寫并保存在網(wǎng)絡(luò)內(nèi)的WEB服務(wù)器上，網(wǎng)絡(luò)上的所有終端計算機可以訪問到這個腳本并需要在瀏覽器的配置中指向它，從而實現(xiàn)代理服務(wù)器參數(shù)統(tǒng)一配置集中下發(fā)的功能。當(dāng)用戶通過瀏覽器發(fā)出請求時先下載并運行PAC腳本，由腳本根據(jù)用戶的請求和本地參數(shù)，比如說用戶端的IP地址、用戶訪問的網(wǎng)址來決定是否使用代理服務(wù)器，使用哪一臺代理服務(wù)器等操作。用戶在瀏覽器配置中只需輸入PAC腳本的URL即可，無需輸入代理服務(wù)器的其他任何參數(shù)。如圖3所示。

圖1：企業(yè)辦公網(wǎng)邏輯結(jié)構(gòu)圖

圖2：終端計算機瀏覽器代理服務(wù)器參數(shù)設(shè)置

WPAD——Web Proxy Auto-Discovery Protocol，即網(wǎng)絡(luò)代理自動發(fā)現(xiàn)協(xié)議，WPAD協(xié)議結(jié)合DHCP模式可以實現(xiàn)終端計算機上的瀏覽器自動發(fā)現(xiàn)網(wǎng)絡(luò)中PAC腳本的URL，這個模式下用戶在瀏覽器中無需再輸入PAC腳本的URL，只需要點選圖3中的“自動檢測設(shè)置”即可，進一步省略了用戶的配置操作，但前提是終端計算機使用DHCP地址模式。如圖4所示。

WPAD運行過程：

（1）用戶PC從DHCP服務(wù)器獲取IP地址、DNS服務(wù)器基本網(wǎng)絡(luò)參數(shù)，另外獲取PAC腳本的完整URL，注意DHCP 服務(wù)器需要支持252選項。

（2）PAC腳本的URL中如使用了內(nèi)部域名包則需向DNS服務(wù)器發(fā)出解析請求，換成IP地址，如是IP地址則可忽略該步。

（3）當(dāng)用戶使用瀏覽器發(fā)出訪問網(wǎng)站請求時瀏覽器先下載并執(zhí)行PAC腳本，PAC腳本則根據(jù)用戶的請求進行判定和引導(dǎo)，如是內(nèi)部域名或內(nèi)網(wǎng)IP地址則直接訪問企業(yè)內(nèi)網(wǎng)，否則交給代理服務(wù)器處理。

圖3：IE瀏覽器中PAC腳本配置

圖4：WPAD原理示意圖

圖5：網(wǎng)絡(luò)開啟DHCP Snooping

（4）代理服務(wù)器向互聯(lián)網(wǎng)轉(zhuǎn)發(fā)來自用戶瀏覽器的請求。

（5）用戶收到代理服務(wù)器的回復(fù)，訪問成功。

4 實施

根據(jù)單位情況編寫了PAC腳本并上傳至內(nèi)網(wǎng)的WEB服務(wù)器上，配置DNS服務(wù)器用于內(nèi)部服務(wù)器域名注冊和解析，配置DHCP服務(wù)器的252選項用于向客戶PC發(fā)放PAC URL，這里將DHCP相關(guān)配置和PAC腳本展示如下。

單位的DHCP服務(wù)器是由核心交換機CISCO 4503兼任，在CISCO 4503 上的DHCP配置如下：

用戶PC在獲取IP地址的同時也獲取到PAC腳本存放的URL，其中www.net.pgpc為保存PAC腳本的WEB服務(wù)器的內(nèi)部域名。

PAC腳本是一個JavaScript函數(shù)，確定網(wǎng)絡(luò)瀏覽器的請求（HTTP，HTTPS和FTP）是否直接去目的地或轉(zhuǎn)發(fā)到Web代理服務(wù)器,代碼如下：

5 安全問題

在極大簡化終端計算機代理服務(wù)器配置的同時，WPAD協(xié)議運行中的安全問題也顯現(xiàn)了出來，企業(yè)內(nèi)網(wǎng)的攻擊者可以創(chuàng)建一個非法DHCP服務(wù)器，在向終端計算機下發(fā)IP地址的同時提供一個惡意PAC腳本的網(wǎng)址，并將用戶流量引至一個有效的非法代理服務(wù)器上從而實現(xiàn)中間人攻擊。

解決這個問題需要在所有交換機上開啟DHCP Snooping模式，只對交換機上特定端口開啟DHCP信任，來自其他端口的DHCP應(yīng)答一律阻斷，這種模式杜絕了非法DHCP服務(wù)器的接入干擾，確保用戶能從合法DHCP服務(wù)器上得到正確的PAC URL即可保證后續(xù)的所有動作都是安全的。如圖5所示。

這個模式要求所有接入交換機都是可管理且支持DHCP Snooping操作的。

以CISCO 2960為例給出相關(guān)配置：

6 結(jié)束語

在瀏覽器代理服務(wù)器配置上PAC技術(shù)實現(xiàn)了統(tǒng)一管理、集中下發(fā)、自動配置的功能，無需用戶輸入或關(guān)注任何代理服務(wù)器的參數(shù)。這極大方便了終端用戶，同時也大大減少了網(wǎng)絡(luò)管理員基于代理服務(wù)器故障的維護工作量。但美中不足的是，運行在終端計算機上的非瀏覽器類軟件(QQ、微信等程序)必需單獨設(shè)置代理服務(wù)器地址和端口號才能正常使用。