本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 Amazon WorkSpaces 安全浏览器启用受限的互联网浏览
WorkSpaces 安全浏览器门户的推荐网络设置是使用带有 NAT 网关的私有子网,这样门户就可以浏览公共 Internet 和私有内容。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器启用不受限制的互联网浏览(推荐)](unrestricted-internet-browsing.md)。但是,您可能需要使用 Web 代理来控制从 WorkSpaces 安全浏览器门户到互联网的出站通信。例如,如果您使用 Web 代理作为访问 Internet 的网关,则可以实施预防性安全控制措施,例如域允许列表和内容筛选。这还可以通过在本地缓存经常访问的资源(例如网页或软件更新),来减少带宽使用量并提高网络性能。对于某些使用案例,您可能拥有只能通过使用 Web 代理访问的私有内容。
您可能已经了解如何在托管设备上或虚拟环境的映像上配置代理设置。但是,如果您无法控制设备(例如,当用户使用的设备不是由企业拥有或管理时),或者如果您需要管理虚拟环境的映像,这就会带来挑战。借助 WorkSpaces 安全浏览器,您可以使用 Web 浏览器中内置的 Chrome 政策来设置代理设置。为此,您可以为 WorkSpaces 安全浏览器设置 HTTP 出站代理。
此解决方案基于推荐的出站 VPC 代理设置。代理解决方案基于开源 HTTP 代理 [Squid](http://www.squid-cache.org/)。然后,它使用 WorkSpaces 安全浏览器设置将 WorkSpaces 安全浏览器门户配置为连接到代理端点。有关更多信息,请参阅[如何设置具有域白名单和内容筛选功能的出站 VPC 代理](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/)。
此解决方案为您提供了以下优势:
+ 出站代理,包括一组由网络负载均衡器托管的自动扩缩 Amazon EC2 实例。代理实例位于公有子网中,每个实例都附有弹性 IP,因此它们可以访问 Internet。
+ 部署到私有子网 WorkSpaces 的安全浏览器门户。您无需配置 NAT 网关即可启用 Internet 访问。相反,您需要配置浏览器策略,以便所有 Internet 流量都通过出站代理。如果您想使用自己的代理,则 WorkSpaces 安全浏览器门户的设置将与之类似。
**Topics**
+ [Amazon WorkSpaces 安全浏览器的互联网浏览架构受限](restricted-architecture.md)
+ [Amazon WorkSpaces 安全浏览器的受限互联网浏览先决条件](restricted-prerequisites.md)
+ [亚马逊 WorkSpaces 安全浏览器的 HTTP 出站代理](restricted-setup.md)
+ [Amazon WorkSpaces 安全浏览器的互联网浏览受限疑难解答](restricted-troubleshooting.md)
# Amazon WorkSpaces 安全浏览器的互联网浏览架构受限
下面是 VPC 中的典型代理设置示例。Amazon EC2 代理实例位于公有子网中,并与弹性 IP 关联,因此它们可以访问 Internet。网络负载均衡器托管自动扩缩组的代理实例。这样可以确保代理实例可以自动扩展,并且网络负载均衡器是单个代理端点,可供 WorkSpaces 安全浏览器会话使用。
![\[WorkSpaces 安全浏览器架构\]](http://docs.aws.amazon.com/zh_cn/workspaces-web/latest/adminguide/images/restricted-internet-architecture.png)
# Amazon WorkSpaces 安全浏览器的受限互联网浏览先决条件
在开始之前,请确保您满足以下先决条件:
+ 您需要一个已经部署的 VPC,其公有子网和私有子网分布在多个可用区(AZs)。有关如何设置 VPC 环境的更多信息,请参阅[默认 VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)。
+ 您需要一个可以从 WorkSpaces 安全浏览器会话所在的私有子网访问的单个代理终端节点(例如,网络负载均衡器 DNS 名称)。如果您想使用现有代理,请确保它还有一个可以从您的私有子网访问的端点。
# 亚马逊 WorkSpaces 安全浏览器的 HTTP 出站代理
要为 WorkSpaces 安全浏览器设置 HTTP 出站代理,请按照以下步骤操作。
1. 要将出站代理示例部署到您的 VPC,请按照[如何设置具有域白名单和内容筛选功能的出站 VPC 代理](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/)中的步骤操作。
1. 按照 “安装(一次性设置)” 中的步骤将 CloudFormation模板部署到您的账户。请务必选择正确的 VPC 和子网作为 CloudFormation 模板参数。
1. 部署完成后,找到 CloudFormation 输出参数**OutboundProxyDomain**和**OutboundProxyPort**。这是您代理的 DNS 名称和端口。
1. 如果您已经拥有自己的代理,请跳过此步骤,并使用您代理的 DNS 名称和端口。
1. 在 WorkSpaces 安全浏览器的控制台中,选择您的门户,然后选择**编辑**。
1. 在**网络连接详细信息**中,选择有权访问代理的 VPC 和私有子网。
1. 在**策略设置**中,使用 JSON 编辑器添加以下 ProxySettings策略。`ProxyServer` 字段应为您代理的 DNS 名称和端口。有关 ProxySettings 策略的更多详细信息,请参阅[ProxySettings](https://chromeenterprise.google/policies/#ProxySettings)。
```
{
"chromePolicies":
{
...
"ProxySettings": {
"value": {
"ProxyMode": "fixed_servers",
"ProxyServer": "OutboundProxyLoadBalancer-0a01409a46943c47.elb.us-west-2.amazonaws.com:3128",
"ProxyBypassList": "https://www.example1.com,https://www.example2.com,https://internalsite/"
}
},
}
}
```
1. 在您的 WorkSpaces 安全浏览器会话中,您将看到代理已应用于 Chrome 设置 **Chrome 使用管理员提供的代理设置**。
1. 访问 chrome://policy 和 **Chrome 策略**选项卡,确认该策略已应用。
1. 验证您的 WorkSpaces 安全浏览器会话是否可以在没有 NAT 网关的情况下成功浏览互联网内容。在 CloudWatch 日志中,验证是否记录了 Squid 代理访问日志。
# Amazon WorkSpaces 安全浏览器的互联网浏览受限疑难解答
应用 Chrome 政策后,如果您的 WorkSpaces 安全浏览器会话仍然无法访问互联网,请按照以下步骤尝试解决您的问题:
+ 验证是否可以从 WorkSpaces 安全浏览器门户所在的私有子网访问代理终端节点。为此,请在私有子网中创建一个 EC2 实例,然后测试私有 EC2 实例与代理端点的连接。
+ 验证代理是否可以访问 Internet。
+ 验证 Chrome 策略是否正确。
+ 确认策略 `ProxyServer` 字段的以下格式:`:`。前缀中不应包含 `http://` 或 `https://`。
+ 在 WorkSpaces 安全浏览器会话中,使用 Chrome 导航至 chrome: //政策,并确保该 ProxySettings 政策已成功应用。