Kuruluşunuz ile kullanıcılarınızın ziyaret ettiği siteler arasında koruma sağlamak için ChromeOS'te proxy sunucuları kullanabilirsiniz. Proxy yayınları güvenli olmayan veya istenmeyen içerikleri filtreleyebilir, kullanıcının IP adreslerini gizli tutabilir veya belirli web sitelerini filtreleyebilir.
Proxy sunucuları kullanırken şu adımlar gerçekleştirilir:
- Site istekleri proxy sunucu üzerinden iletilir.
- Sunucu, daha sonra istekleri web sitesine iletir.
- Web sitesi, web sayfasını proxy sunucusuna geri döndürür.
- Sunucu, web sayfasını tekrar kullanıcı cihazına yönlendirir.
Proxy seçme
ChromeOS, kuruluş ihtiyaçlarınıza (ör. güvenlik, hangi trafik için proxy kullanılması gerektiği veya DNS çözümlemesinin nerede yapılması gerektiği) bağlı olarak farklı proxy şemalarını destekler. ChromeOS'te desteklenen tüm proxy şemalarını ve uygulama ayrıntılarını görmek için Chrome'da proxy desteği başlıklı makaleyi inceleyin.
Bazı proxy yapılandırmaları diğer ağ ayarlarıyla uyumlu olmayabilir. Örneğin, ChromeOS'te bir proxy yapılandırıldığında, socks4 proxy'leri hariç DNS çözümlemesi sunucu tarafında gerçekleşir. Bu da, proxy'yi özel DNS yapılandırmalarıyla uyumsuz hale gelir.
Proxy kimlik doğrulama mekanizmasını seçtiğinizde ChromeOS düzeyindeki farklı bileşenlerin ağ özellikleri Chrome Tarayıcı'dan farklıdır veya daha azdır.
ChromeOS düzeyinde proxy kimlik doğrulaması
Bir kullanıcı Chrome tarayıcıda oturum açtığında kullanıcı adı ve şifresi, profiliyle ilişkili kimlik doğrulama önbelleğinde depolanır ve bu kullanıcıya yalnızca işletim sisteminin tarayıcısındaki Chrome tarayıcı kullanıcı gezinme istekleri için erişilebilir.
Bu, Chrome tarayıcıda politika güncellemeleri veya kiosk kaydı gibi bağlantı gerektiren sistem hizmetlerinin; işletim sistemi güncellemeleri, kilitlenme raporları yükleme veya sistem saatini senkronize etme gibi sistem hizmetlerinde kullanıcı adlarına ve şifrelere erişemediği anlamına gelir. Ağ yöneticileri, sistem hizmetleri tarafından oluşturulan trafiğin kimlik doğrulama adımını atladığından emin olmalıdır.
Bu durum, Google Play ve Google Play uygulama trafiği için de geçerlidir.
Sistem hizmetleri ve Google Play tarafından kullanılan, proxy'de kimlik doğrulama adımını atlaması gereken uç noktaların listesi için Proxy kimlik doğrulama atlama listeleri bölümünü inceleyin.
Proxy atlama sistemi; SystemProxySettings politikasını işletim sistemi ve Google Play trafiğindeki sistem hizmetlerinin bir işletim sistemi hizmeti tarafından doğrulanmasına izin verecek şekilde yapılandırarak kayıtlı cihazlarda önemli ölçüde kısaltılabilir. Ayrıntılı bilgi için ChromeOS cihaz politikaları belirleme başlıklı makalenin Kimlik Doğrulaması Yapılmış Proxy Trafiği ayarına bakın.
Ayrıca, özel CA sertifikaları yalnızca kullanıcı trafiğinde geçerli olur. Proxy, TLS denetimini yaptığında sistem trafiğinin ve Android trafiğinin denetlemeyi atlamasına izin verilmelidir. Chrome cihazlarda TLS (veya SSL) denetimini ayarlama > Barındırıcı adı izin verilenler listesi oluşturma başlıklı makaleyi inceleyin.
ChromeOS'te açık bir proxy yapılandırma
Kullanılacak ayarları belirleme
ChromeOS'te proxy'leri tek tek ağlar veya dünya genelinde kuruluşunuzdaki tüm ağlar için yapılandırabilirsiniz. Proxy yapılandırmaları aşağıda öncelik sırasına göre listelenmiştir:
- Kullanıcı politikası ProxySettings: Genel
- Uzantılar: Genel
- Kullanıcı politikası OpenNetworkConfiguration: Ağ başına
- Cihaz politikası DeviceOpenNetworkConfiguration: Ağ başına
- Ağ ayarları kullanıcı arayüzü: Her ağ için kullanıcı tarafından ayarlanır.
Genel olarak, proxy yapılandırmaları işletim sisteminin tamamı için geçerlidir. (Kullanıcıların tarayıcıda proxy yapılandırmasına açıkça izin vermesi gereken şu istisnalar hariç:)
- Uzantı grubu proxy'leri gizli modda varsayılan olarak devre dışıdır. Kullanıcıların, proxy'yi denetleyen uzantının gizli modda çalışmasına chrome://extensions sayfasından açıkça izin vermesi gerekir.
Gizli modda uzantı grubu proxy'lerini zorunlu kılamazsınız, ancak kullanıcı önceden yapılandırılmış bir uzantıya gizli modda izin vermiyorsa gizli modda gezinmeyi engelleyebilirsiniz. Daha fazla bilgi için MandatoryExtensionsForIncognitoNavigation politikasını inceleyin. - Lacros ikincil profillerini kullanıyorsanız, kullanıcılar chrome://settings/system sayfasından Bu profil için ChromeOS proxy ayarlarını kullan'ı seçerek işletim sisteminde yapılandırılan proxy'yi kullanmayı etkinleştirebilir veya devre dışı bırakabilir.
Kullanılacak proxy yapılandırma biçimini belirleme
ChromeOS aşağıdaki proxy biçimlerini destekler:
- Manuel: Proxy'yi atlaması gereken uç noktaların atlama listesiyle birlikte proxy tanımlayıcılarının statik listesi
- PAC komut dosyası: Bir URL için hangi proxy'nin kullanılacağını belirlemek amacıyla daha karmaşık kurallar oluşturulmasına olanak tanıyan bir JavaScript dosyası
- Otomatik algılama: DNS veya DHCP'nin PAC URL'sini alma kontrolü yaptığı keşif mekanizmaları olan Otomatik Web Proxy Keşfi Protokolü (WPAD)
- Doğrudan: Sözde proxy (hiçbir proxy'nin kullanılmaması)
Biçime karar verirken aşağıdakileri göz önünde bulundurun:
- Proxy çözümlemesi, ad çözümlemesinden önce gerçekleşir. Proxy atlama listesi IP değişmez değerleri kullanılarak yapılandırılırsa, istisna yalnızca kullanıcı IP ile ilişkili ana makine adına değil, belirli IP adresine gidiyorsa dikkate alınır. Daha ayrıntılı bilgi için için Proxy atlama kuralları başlıklı makaleyi inceleyin.
- Android proxy desteği için aşağıdakiler geçerlidir:
- data:// scheme etkin olan PAC URL'leri desteklenmez
- Manuel proxy ayarları söz konusu olduğunda atlama listesi, IPv6 adresleri veya ASCII olmayan karakterler için özel karakterleri desteklemez
Proxy kimlik doğrulaması atlama listeleri
ChromeOS sistem hizmetleri
| Chrome/ChromeOS hizmeti | Ana bilgisayar adları |
|---|---|
| Önemli | |
| DMServer | m.google.com |
| Doğrulanmış Erişim için zorunlu yeniden kayıt | chromeos-ca.gstatic.com |
| ChromeOS: Otomatik güncellemeler | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| Chrome OS - Kilitlenme raporlayıcı güncelleme günlüğü Chrome: WebRTC güncelleme günlükleri |
clients2.google.com |
| Chrome OS—tlsdate sistem saat senkronizasyonu | clients3.google.com |
| Giriş portalı algılama | www.gstatic.com, accounts.google.com veya www.googleapis.com |
| Sorun giderme, Crostini'yi indirme ve benzeri işlemler için raporları yükleme | storage.googleapis.com |
| Çeşitli API hizmetleri | www.googleapis.com |
| Google tarafından kullanılan alan: XSS saldırılarından kaçınmak için bu alanı *.google.com adresinden ayrı tutun | *.1e100.net |
| Bandaid URL'si: Bazı istekler Google'ın önbelleğe alma altyapısına yönlendirilir ve uygulama indirme işlemini hızlandırır | *.gvt1.com |
| Otomatik güncellemeleri, statik resimleri ve benzerlerini indirme | dl.google.com dl-ssl.google.com |
| Chrome bileşen güncellemeleri (chrome://components) | update.googleapis.com |
| Önerilen çözümler | |
| Güvenli Tarama | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Chrome hesabı senkronizasyon sunucusu: Yer işaretleri, kullanıcı metriği koleksiyonu ve diğer hizmetler gibi kullanıcı verilerini senkronize eder | clients4.google.com |
| Çok amaçlı adres çubuğu doküman önerileri | cloudsearch.googleapis.com |
| OEM özelleştirmelerini (ve diğerlerini) indirme | ssl.gstatic.com |
|
Üçüncü taraflarca ya da kullanıcı tarafından oluşturulan içerik (ör. yazıcı sürücüleri veya uzantılar) googleusercontent.com, temel Google mülklerini, hata içerebilecek veya kötü niyetli şekilde siteler arası komut dosyası çalıştırma saldırılarına açık hale getirebilecek kullanıcı tarafından oluşturulan içeriklerden korur. |
*.googleusercontent.com |
| Yazıcı desteği - Yazıcı PDD'sini indirme | printerconfigurations.googleusercontent.com |
| Çevre birimleri desteği: Çeşitli bağlı cihazlara daha iyi uyum sağlama konusunda özel talimatlar (şu anda yazıcılar ve ekranlar destekleniyor) | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Ana bilgisayar adları |
|---|---|
| Önemli | |
| Uygulamaların temel hazırlığı ve yüklenmesi için gereklidir | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging, GMS temel uç noktaları gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Diğer | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Uzantılar ve kiosk
| Chrome/ChromeOS hizmeti | Ana bilgisayar adları |
|---|---|
| Önemli | |
| Uzantı indirme uç noktası | clients2.google.com clients2.googleusercontent.com chrome.google.com |