您可以在 ChromeOS 中使用代理服务器,以便在您的组织和用户访问的网站之间提供保护。代理服务器可以过滤掉不安全或不想要的内容、隐藏用户 IP 地址或过滤特定网站。
使用代理服务器时发生的流程如下:
- 网站请求传递给代理服务器。
- 然后,服务器将请求传递给网站。
- 网站将网页返回给代理服务器。
- 服务器将网页路由回用户设备。
如何选择代理?
ChromeOS 支持不同的代理方案,具体取决于贵组织的需求,例如安全性、应代理哪些流量或应在哪里进行 DNS 解析。如需查看 ChromeOS 中支持的所有代理方案以及实现详情,请参阅 Chrome 中的代理支持。
某些代理配置可能与其他网络设置不兼容。例如,在 ChromeOS 中配置代理时,DNS 解析在服务器端进行(socks4 代理除外),这使得它与自定义 DNS 配置不兼容。
当您选择代理身份验证机制时,ChromeOS 级层的不同组件具有不同或少于 Chrome 浏览器的网络功能。
ChromeOS 级别的代理身份验证
用户登录 Chrome 浏览器后,其用户名和密码会存储在与其个人资料关联的身份验证缓存中,并且只有操作系统浏览器中的 Chrome 浏览器用户导航请求才能访问其用户名和密码。
这意味着,需要在 Chrome 浏览器中建立连接的系统服务(例如政策更新或自助服务终端注册)和需要在操作系统上建立连接的系统服务(例如操作系统更新、上传崩溃报告或同步系统时间)无权访问用户名和密码。网络管理员必须确保系统服务生成的流量可以绕过身份验证步骤。
这也适用于 Google Play 和 Google Play 应用流量。
如需查看系统服务和 Google Play 使用的应绕过代理上的身份验证步骤的端点列表,请参阅代理身份验证绕过列表部分。
将 SystemProxySettings 政策配置为允许操作系统上的系统服务和 Google Play 流量通过操作系统服务进行身份验证,可以显著减小已注册设备上的代理绕过列表。如需了解详情,请参阅设置 ChromeOS 设备政策中的“利用通过了身份验证的代理传送流量”设置。
此外,自定义 CA 证书仅对用户流量有效。当代理执行 TLS 检查时,应允许系统流量和 Android 流量绕过检查。请参阅在 Chrome 设备上设置 TLS(或 SSL)检查 > 设置主机名许可名单。
如何在 ChromeOS 上配置显式代理
要使用哪项设置
在 ChromeOS 上,您可以为单个网络配置代理,也可以为组织中的所有网络全局配置代理。下面按优先顺序列出了代理配置:
- 用户政策 ProxySettings - 全局
- 扩展程序 - 全局
- 用户政策 OpenNetworkConfiguration - 按网络
- 设备政策 DeviceOpenNetworkConfiguration - 按网络
- 网络设置界面 - 由用户按网络设置
一般而言,代理配置应用于整个操作系统,但以下情况除外。在这些情况下,用户必须在浏览器中明确允许代理配置:
- 在无痕模式下,扩展程序设置代理默认处于停用状态。用户必须从 chrome://extensions 页面明确允许控制代理在无痕模式下运行的扩展程序。
您无法在无痕模式下强制使用扩展程序设置的代理,但如果用户不允许在无痕模式下使用预配置的扩展程序,您可以禁止使用无痕模式导航。如需了解详情,请参阅 MandatoryExtensionsForIncognitoNavigation 政策。 - 如果您使用的是 Lacros 辅助个人资料,用户可以前往 chrome://settings/system 页面并开启为此个人资料使用 ChromeOS 代理设置,以选择启用或停用在操作系统上配置的代理。
使用哪种代理配置形式
ChromeOS 支持以下代理形式:
- 手动 - 代理标识符的静态列表,以及应绕过代理的端点的绕过列表
- PAC 脚本 - 一个 JavaScript 文件,可让您设置更复杂的规则来确定要为某个网址使用的代理
- 自动检测 - 网络代理自动发现协议 (WPAD),在该发现机制中,系统会探测 DNS 或 DHCP 以获取 PAC 网址
- 直接 - 表示没有使用代理的伪代理
在决定采用何种形式时,请注意以下几点:
- 代理解析在名称解析之前进行。如果代理绕过列表是使用 IP 地址字面量配置的,则只有当用户导航到特定 IP 地址(而非与该 IP 关联的主机名)时,才适用例外情况。如需了解详情,请参阅代理绕过规则。
- Android 代理支持有以下限制:
- 不支持采用 data:// scheme 的 PAC 网址
- 对于手动代理设置,绕过列表不支持 IPv6 地址的特殊字符或非 ASCII 字符
代理身份验证绕过列表
ChromeOS 系统服务
Chrome/ChromeOS 服务 | 主机名 |
---|---|
必要的 | |
DMServer | m.google.com |
强制重新注册(以确保访问权限经过验证) | chromeos-ca.gstatic.com |
ChromeOS - 自动更新 | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
ChromeOS - 崩溃报告程序更新日志 Chrome - WebRTC 更新日志 |
clients2.google.com |
ChromeOS - tlsdate 系统时钟同步 | clients3.google.com |
强制门户检测 | www.gstatic.com 或 accounts.google.com 或 www.googleapis.com |
上传报告以排查问题、下载 Crostini 等 | storage.googleapis.com |
各种 API 服务 | www.googleapis.com |
Google 使用的网域 - 请将其与 *.google.com 分开,以避免 XSS 攻击 | *.1e100.net |
Bandaid 网址 - 某些请求会重定向到 Google 缓存基础架构,从而加快应用下载速度 | *.gvt1.com |
下载自动更新、静态图片等 | dl.google.com dl-ssl.google.com |
Chrome 组件更新 (chrome://components) | update.googleapis.com |
强烈建议 | |
安全浏览 | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
Chrome 账号同步服务器 - 同步书签、用户指标收集和其他服务等用户数据 | clients4.google.com |
多功能框文档建议 | cloudsearch.googleapis.com |
下载 OEM 自定义设置(及其他) | ssl.gstatic.com |
第三方或用户生成的内容,例如打印机驱动器或扩展程序 googleusercontent.com 可以为主要的 Google 产品和服务提供保护,使其免受可能包含 bug 或恶意使网域易遭受跨站脚本攻击的用户生成内容的侵害 |
*.googleusercontent.com |
打印机支持 - 下载打印机 PDD | printerconfigurations.googleusercontent.com |
外围设备支持 - 有关如何更好地适应各种已连接设备的专门说明;目前支持打印机和显示器 | chromeosquirksserver-pa.googleapis.com |
Google Play
Google Play | 主机名 |
---|---|
必要的 | |
预配和安装应用的必要端点 | android.googleapis.com android.apis.google.com play.google.com |
Google Cloud Messaging (GCM)、Firebase Cloud Messaging、GMS 核心端点 gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
其他 | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
扩展程序和自助服务终端
Chrome/ChromeOS 服务 | 主机名 |
---|---|
必要的 | |
扩展程序下载端点 | clients2.google.com clients2.googleusercontent.com chrome.google.com |