在激活 Web 代理配置时,Cloud Web Security 自动创建一个默认代理自动配置 (PAC) 文件。在连接到该服务时,用户还可以根据其组织的需求创建自定义 PAC 文件。

用户可以导航到 Cloud Web Security > 配置 (Configure) > 访问方法 (Access Method) > Web 代理 (Web Proxy) > PAC 文件 (PAC Files) 以在 CWS 中查看或配置 PAC 文件。

默认 PAC 文件

默认 PAC 文件是只读的。要查看默认 PAC 文件的配置详细信息,请选择默认 (Default) PAC 文件,然后单击预览 (PREVIEW) 按钮。

尽管用户不需要关心创建确切的语法,因为内置向导将指导他们完成 PAC 文件配置,但了解文件中的指令是非常有用的。

例如,如果匹配块指示客户端发送流量 DIRECT,这意味着到这些目标的任何流量不会通过代理。在某些场景下,这是非常有用的。打算发送到代理的流量将在其返回语句中包含 PROXY 指令。PROXY 也可能后跟 DIRECT。这意味着,如果代理不可用,仍允许该流量传输到 Internet。

自定义 PAC 文件

要创建自定义 PAC 文件,请执行以下步骤:
  1. 导航到 Cloud Web Security > 配置 (Configure) > 访问方法 (Access Method) > Web 代理 (Web Proxy) > PAC 文件 (PAC Files)
  2. PAC 文件 (PAC Files) 配置页面上单击 + 新建 PAC (+ NEW PAC)
    将显示 新建/编辑 PAC 文件 (New/Edit PAC File) 页面。
  3. PAC 文件详细信息 (PAC File Details) 页面中,输入所需的 PAC 文件详细信息,然后单击下一步 (Next)
    • 名称 (Name)(必填)- PAC 文件的唯一名称。
    • 描述 (Description)(可选)- 对其他管理员非常有用的任何其他信息。
    • 文件名 (File Name)(必填)- VMware 将为您的组织托管的文件名。该文件名必须以“.dat”结尾。如果未正确设置文件名格式,将显示一条警告消息。
  4. 代理和漫游配置 (Proxy and Roaming Configuration) 页面中,用户可以根据以下参数配置操作以确定其远程客户端在使用该 PAC 文件时如何连接到代理服务:
    • 无法访问代理 (Proxy Inaccessible) - 根据在无法访问代理时是否应允许客户端访问 Internet,用户可以选择直接连接 (Connect Direct)阻止访问 (Block Access) 选项。
    • 位于企业网络内时检测 (Detect when within the corporate network) - 将该按钮切换到“开启”(ON) 以确定客户端是否位于企业网络内。
    • 如果客户端位于企业网络内,用户可以输入以下详细信息来配置操作,指示客户端应使用企业网络的 Internet 访问或是重定向到内部部署代理服务器:
      • 内部服务器名称 (Internal Server Name) - 要解析的内部服务器的名称。只能在专用网络上解析该服务器。
      • IP 地址 (IP Address) - 服务器名称应解析为的预期内部 IP。
      • 如果已成功解析主机名 (If the hostname is successfully resolved)
        • 直接连接 (Connect Direct) - 指示客户端使用专用网络从浏览器中发送出站 Web 流量。
        • 自定义代理 (Custom Proxies) - 指示客户端将出站 Web 流量发送到可通过专用网络访问的内部部署 Web 代理。
    • 单击下一步 (Next)。将显示默认代理绕过配置 (Default Proxy Bypass Configuration) 页面。
  5. 默认代理绕过配置 (Default Proxy Bypass Configuration) 页面中,用户可以为不应发送到 Web 代理的预定义域和子网/IP 配置代理绕过规则。
    • 单击域 (Domain) 按钮,然后在异常状态 (Exception State) 列下面切换按钮以打开或关闭应允许或绕过代理的域。
    • 域总数 (Total Domain) 列下面,单击数字链接以查看与应用程序关联的域。
    • 单击子网/IP (Subnet/IP) 按钮以查看从 Web 代理中排除的子网。
    • 单击下一步 (Next)。将显示 Office 365 绕过配置 (Office 365 Bypass Configuration) 页面。
  6. Office 365 绕过配置 (Office 365 Bypass Configuration) 页面中,为 Microsoft 365 域和特定租户配置绕过,然后单击下一步 (Next)

    Microsoft 连接原则建议从 Web 代理或 SSL 检查服务中绕过其端点。Microsoft 建议其客户直接通过 Internet 访问其服务。

    • 绕过 Office 365 (Bypass Office 365) - 将该按钮切换到“开启”(ON) 以允许轻松绕过 Microsoft 365 域。这些域将添加到要绕过的 PAC 文件中。
    • 租户 (Tenants) - 指定 Microsoft 提供的公司特定的子域。
  7. 自定义代理绕过配置 (Custom Proxy Bypass Configuration) 页面中,为企业特定的自定义域和子网配置代理绕过规则。
    • 要为自定义域添加代理绕过规则,请单击域 (Domain) > + 添加规则 (+ Add Rule) 并输入有效的域名。
    • 要为子网添加代理绕过规则,请单击子网/IP (Subnet/IP) > + 添加规则 (+ Add Rule),并输入网络地址(子网)或 IP 地址(主机)和相应的子网掩码值。
    • 要删除不再绕过的规则,请选择该规则,然后单击删除 (Delete)
  8. 单击完成 (Finish)。将创建自定义 PAC 文件并显示在 PAC 文件 (PAC File) 配置表中。