二级代理拓扑 避免网络中断影响业务

当分公司主网络线路故障时,可以通过4G上网卡临时搭建无线网络,通过代理服务器访问SAP系统,保障业务不中断。经过测试4G 手机卡,通过以下网络拓扑,可以实现20+终端同时访问SAP进行业务操作。

(二级代理)代理主机配置

系统版本:

Win10

网络地址配置:

IP1 用于链接外网

IP1:192.168.8.2

掩码:255.255.255.0

Gw:192.168.8.1

Dns:192.168.8.1

IP2 用于内网代理

IP2:192.168.20.1

掩码:255.255.255.0

只代理本网段计算机上网,不配置网关

CCProxy 服务器设置

服务范围

账户设置 内网使用 允许所有

让代理主机只允许链接SAP服务器

1、 通过代理服务器,多一层安全保障。

2、 穿透内网。

3、 节省流量,毕竟4G流量有限。

Proxifier 设置

添加代理服务器

需要对端配置代理服务器(可以使用CCProxy)

支持 账户密码+IP 方式验证。

规则配置

添加sap流量 通过代理访问服务器

将默认规则 设置为拒绝。不匹配的流量全部拒绝,以节省流量。只允许办公。

内网客户端设置Proxifer:

要求和CCproxy在同一个网段

服务器地址:192.168.20.1 服务器端口:1080 使用匿名链接

客户端规则设置:

只代理 192.168.2.100 的流量

默认拒绝所有流量

(一级代理)代理服务器配置CCProxy

设置Scocks5 服务端口 1080

需要在 企业入口路由器做端口映射

通过公网IP或者域名实现穿透内网

使用账户和密码验证

socks5

SOCKS5 是一个代理协议,它在使用TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色,使得内部网中的前端机器变得能够访问Internet网中的服务器,或者使通讯更加安全。SOCKS5 服务器通过将前端发来的请求转发给真正的目标服务器,模拟了一个前端的行为。在这里,前端和SOCKS5之间也是通过TCP/IP协议进行通讯,前端将原本要发送给真正服务器的请求发送给SOCKS5服务器,然后SOCKS5服务器将请求转发给真正的服务器。

Socks5 几乎可以代理大部分服务,这样容易对内网安全产生威胁,我们可以结合wf.msc

限定访问范围。

防火墙限定访问范围

比如禁用远程桌面 服务端口3389

我们可以添加出站拒绝规则

同样可以结合地址范围添加更多规则,来限定访问范围。