在 ChromeOS 上配置代理设置

您可以在 ChromeOS 中使用代理服务器,以便在您的组织和用户访问的网站之间提供保护。代理服务器可以过滤掉不安全或不想要的内容、隐藏用户 IP 地址或过滤特定网站。

使用代理服务器时发生的流程如下:

  1. 网站请求传递给代理服务器。
  2. 然后,服务器将请求传递给网站。
  3. 网站将网页返回给代理服务器。
  4. 服务器将网页路由回用户设备。

如何选择代理?

ChromeOS 支持不同的代理方案,具体取决于贵组织的需求,例如安全性、应代理哪些流量或应在哪里进行 DNS 解析。如需查看 ChromeOS 中支持的所有代理方案以及实现详情,请参阅 Chrome 中的代理支持

某些代理配置可能与其他网络设置不兼容。例如,在 ChromeOS 中配置代理时,DNS 解析在服务器端进行(socks4 代理除外),这使得它与自定义 DNS 配置不兼容。

当您选择代理身份验证机制时,ChromeOS 级层的不同组件具有不同或少于 Chrome 浏览器的网络功能。

ChromeOS 级别的代理身份验证

用户登录 Chrome 浏览器后,其用户名和密码会存储在与其个人资料关联的身份验证缓存中,并且只有操作系统浏览器中的 Chrome 浏览器用户导航请求才能访问其用户名和密码。

这意味着,需要在 Chrome 浏览器中建立连接的系统服务(例如政策更新或自助服务终端注册)和需要在操作系统上建立连接的系统服务(例如操作系统更新、上传崩溃报告或同步系统时间)无权访问用户名和密码。网络管理员必须确保系统服务生成的流量可以绕过身份验证步骤。

这也适用于 Google Play 和 Google Play 应用流量。

如需查看系统服务和 Google Play 使用的应绕过代理上的身份验证步骤的端点列表,请参阅代理身份验证绕过列表部分

SystemProxySettings 政策配置为允许操作系统上的系统服务和 Google Play 流量通过操作系统服务进行身份验证,可以显著减小已注册设备上的代理绕过列表。如需了解详情,请参阅设置 ChromeOS 设备政策中的“利用通过了身份验证的代理传送流量”设置。

此外,自定义 CA 证书仅对用户流量有效。当代理执行 TLS 检查时,应允许系统流量和 Android 流量绕过检查。请参阅在 Chrome 设备上设置 TLS(或 SSL)检查 > 设置主机名许可名单

如何在 ChromeOS 上配置显式代理

要使用哪项设置

在 ChromeOS 上,您可以为单个网络配置代理,也可以为组织中的所有网络全局配置代理。下面按优先顺序列出了代理配置:

  1. 用户政策 ProxySettings - 全局
  2. 扩展程序 - 全局
  3. 用户政策 OpenNetworkConfiguration - 按网络
  4. 设备政策 DeviceOpenNetworkConfiguration - 按网络
  5. 网络设置界面 - 由用户按网络设置

一般而言,代理配置应用于整个操作系统,但以下情况除外。在这些情况下,用户必须在浏览器中明确允许代理配置:

  • 在无痕模式下,扩展程序设置代理默认处于停用状态。用户必须从 chrome://extensions 页面明确允许控制代理在无痕模式下运行的扩展程序。
    您无法在无痕模式下强制使用扩展程序设置的代理,但如果用户不允许在无痕模式下使用预配置的扩展程序,您可以禁止使用无痕模式导航。如需了解详情,请参阅 MandatoryExtensionsForIncognitoNavigation 政策。
  • 如果您使用的是 Lacros 辅助个人资料,用户可以前往 chrome://settings/system 页面并开启为此个人资料使用 ChromeOS 代理设置,以选择启用或停用在操作系统上配置的代理。

使用哪种代理配置形式

ChromeOS 支持以下代理形式:

  • 手动 - 代理标识符的静态列表,以及应绕过代理的端点的绕过列表
  • PAC 脚本 - 一个 JavaScript 文件,可让您设置更复杂的规则来确定要为某个网址使用的代理
  • 自动检测 - 网络代理自动发现协议 (WPAD),在该发现机制中,系统会探测 DNS 或 DHCP 以获取 PAC 网址
  • 直接 - 表示没有使用代理的伪代理

在决定采用何种形式时,请注意以下几点:

  • 代理解析在名称解析之前进行。如果代理绕过列表是使用 IP 地址字面量配置的,则只有当用户导航到特定 IP 地址(而非与该 IP 关联的主机名)时,才适用例外情况。如需了解详情,请参阅代理绕过规则
  • Android 代理支持有以下限制:
    • 不支持采用 data:// scheme 的 PAC 网址
    • 对于手动代理设置,绕过列表不支持 IPv6 地址的特殊字符或非 ASCII 字符

代理身份验证绕过列表

ChromeOS 系统服务

Chrome/ChromeOS 服务 主机名
必要的
DMServer m.google.com
强制重新注册(以确保访问权限经过验证) chromeos-ca.gstatic.com
ChromeOS - 自动更新 cros-omahaproxy.appspot.com
omahaproxy.appspot.com
tools.google.com
ChromeOS - 崩溃报告程序更新日志
Chrome - WebRTC 更新日志
clients2.google.com
ChromeOS - tlsdate 系统时钟同步 clients3.google.com
强制门户检测 www.gstatic.com 或 accounts.google.com 或 www.googleapis.com
上传报告以排查问题、下载 Crostini 等 storage.googleapis.com
各种 API 服务 www.googleapis.com
Google 使用的网域 - 请将其与 *.google.com 分开,以避免 XSS 攻击 *.1e100.net
Bandaid 网址 - 某些请求会重定向到 Google 缓存基础架构,从而加快应用下载速度 *.gvt1.com
下载自动更新、静态图片等 dl.google.com
dl-ssl.google.com
Chrome 组件更新 (chrome://components) update.googleapis.com
强烈建议
安全浏览 safebrowsing-cache.google.com
safebrowsing.google.com
safebrowsing.googleapis.com
enterprise-safebrowsing.googleapis.com
sb-ssl.google.com
Chrome 账号同步服务器 - 同步书签、用户指标收集和其他服务等用户数据 clients4.google.com
多功能框文档建议 cloudsearch.googleapis.com
下载 OEM 自定义设置(及其他) ssl.gstatic.com

第三方或用户生成的内容,例如打印机驱动器或扩展程序

googleusercontent.com 可以为主要的 Google 产品和服务提供保护,使其免受可能包含 bug 或恶意使网域易遭受跨站脚本攻击的用户生成内容的侵害

*.googleusercontent.com
打印机支持 - 下载打印机 PDD printerconfigurations.googleusercontent.com
外围设备支持 - 有关如何更好地适应各种已连接设备的专门说明;目前支持打印机和显示器 chromeosquirksserver-pa.googleapis.com

Google Play

Google Play 主机名
必要的
预配和安装应用的必要端点 android.googleapis.com
android.apis.google.com
play.google.com

Google Cloud Messaging (GCM)、Firebase Cloud Messaging、GMS 核心端点
示例

gcm-http.googleapis.com

gcm-xmpp.googleapis.com

fcm.googleapis.com

fcm-xmpp.googleapis.com

gmscompliance-pa.googleapis.com

*.googleapis.com
其他 connectivitycheck.android.com
*.android.com
google-analytics.com
android.googleapis.com
pki.google.com
clients5.google.com
clients6.google.com
connectivitycheck.gstatic.com

扩展程序和自助服务终端

Chrome/ChromeOS 服务 主机名
必要的
扩展程序下载端点 clients2.google.com
clients2.googleusercontent.com
chrome.google.com

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单
11152581132583651275