二级代理拓扑 避免网络中断影响业务
当分公司主网络线路故障时,可以通过4G上网卡临时搭建无线网络,通过代理服务器访问SAP系统,保障业务不中断。经过测试4G 手机卡,通过以下网络拓扑,可以实现20+终端同时访问SAP进行业务操作。
(二级代理)代理主机配置
系统版本:
Win10
网络地址配置:
IP1 用于链接外网
IP1:192.168.8.2
掩码:255.255.255.0
Gw:192.168.8.1
Dns:192.168.8.1
IP2 用于内网代理
IP2:192.168.20.1
掩码:255.255.255.0
只代理本网段计算机上网,不配置网关
CCProxy 服务器设置
服务范围
账户设置 内网使用 允许所有
让代理主机只允许链接SAP服务器
1、 通过代理服务器,多一层安全保障。
2、 穿透内网。
3、 节省流量,毕竟4G流量有限。
Proxifier 设置
添加代理服务器
需要对端配置代理服务器(可以使用CCProxy)
支持 账户密码+IP 方式验证。
规则配置
添加sap流量 通过代理访问服务器
将默认规则 设置为拒绝。不匹配的流量全部拒绝,以节省流量。只允许办公。
内网客户端设置Proxifer:
要求和CCproxy在同一个网段
服务器地址:192.168.20.1 服务器端口:1080 使用匿名链接
客户端规则设置:
只代理 192.168.2.100 的流量
默认拒绝所有流量
(一级代理)代理服务器配置CCProxy
设置Scocks5 服务端口 1080
需要在 企业入口路由器做端口映射
通过公网IP或者域名实现穿透内网
使用账户和密码验证
socks5
SOCKS5 是一个代理协议,它在使用TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色,使得内部网中的前端机器变得能够访问Internet网中的服务器,或者使通讯更加安全。SOCKS5 服务器通过将前端发来的请求转发给真正的目标服务器,模拟了一个前端的行为。在这里,前端和SOCKS5之间也是通过TCP/IP协议进行通讯,前端将原本要发送给真正服务器的请求发送给SOCKS5服务器,然后SOCKS5服务器将请求转发给真正的服务器。
Socks5 几乎可以代理大部分服务,这样容易对内网安全产生威胁,我们可以结合wf.msc
限定访问范围。
防火墙限定访问范围
比如禁用远程桌面 服务端口3389
我们可以添加出站拒绝规则
同样可以结合地址范围添加更多规则,来限定访问范围。