上網行為小結

部署模式：

網橋模式（單網橋、多端口網橋）  不支援×××,DHCP和NAT功能  多端口網橋（内網有雙機熱備VRRP/HSRP等部署）

路由模式  支援所有功能，但不支援硬體bypass。

旁路模式  隻用于上網行為的審計和基于TCP應用的控制，對基于UDP協定的應用無法控制。不支援流量管理、準入系統、NAT、 ×××、 DHCP等功能

代理上網

NAT代理上網 - SNAT  （公網出口）

端口映射       -  DNAT  （内網資源釋出/内網使用者通過公網IP通路内部伺服器）

SG上網代理：

Sockets 5 、 HTTP 、 完全透明代理 、 二級代理

Sockets代理：

會話層上，隻是簡單地傳遞資料包，而不必關心是何種應用協定（比如FTP、HTTP），是以Socks代理伺服器比應用層代理伺服器要快得多。

 Socks根據版本又分為Socks4和Socks5，其中Socks4隻支援代理TCP協定，而Socks5則同時支援代理TCP和UDP協定。

HTTP代理：

HTTP工作在應用層上，HTTP代理隻支援代理TCP協定。

完全透明代理：（網橋）

代理後的連接配接使用用戶端原始IP，使得SG請求伺服器資源時使用内網PC的IP而不再是SG裝置的IP，以解決SG前存在防火牆的情況下可能拒絕SG上網的情況。

二級代理：（HTTP顯示代理）

 SG裝置本身通過代理伺服器上網，同時又做為HTTP代理伺服器代理内網使用者上網。

代理部署模式：

路由模式、網橋模式、單臂代理模式

單臂代理模式：

單臂代理模式主要是滿足客戶内網已有代理伺服器做單臂部署，在不改動用戶端代理配置的情況下實作無縫交接。在單臂代理模式下，部分功能實作限。

此模式下不支援×××、不支援VLAN、不支援準入、不支援把DMZ口設定為DHCP的服務接口、不支援SNAT和DNAT。

注：

保證代理本身能上網，代理到内網PC連通，避免前端流控或防火牆限制；

代理的流量，政策路由和多線路選擇不生效

sockets和http代理有很多限制

防代理控制

政策路由  

根據源/目的IP、源/目的端口、協定等條件進行線路選擇，以實作不同的資料走不同的外網線路的需求。

多線路選路