除了显式Web代理外，FortiOS还支持透明Web代理。虽然它没有Explicit Web Proxy那么多的功能，但 透明代理 的优点是不需要在用户的系统上完成任何操作就可以将支持的Web流量转发到代理。无需重新配置浏览器或发布PAC文件。一切对最终用户都是透明的，因此就是名字。这样可以更轻松地将新用户合并到代理部署中。

您可以使用透明代理将Web身份验证应用于防火墙策略接受的HTTP流量。在以前版本的FortiOS中，使用显式代理需要Web身份验证。

正常的FortiOS认证是基于 IP地址 的。用户根据其IP地址进行身份验证，并根据此IP地址允许或拒绝访问。在基于IP地址的身份验证不起作用的网络上，您可以使用透明Web代理应用基于用户浏览器而不是其IP地址的Web身份验证。即使您网络上的多个用户从同一IP地址连接到FortiGate，此身份验证方法也允许您识别单个用户。

关透明代理的其他消息：

扁平政策

拆分政策功能已被删除。这将使显式策略更像防火墙策略。

认证

身份验证设计旨在将身份验证与授权分开。身份验证已移至FortiOS中的新表中。这使授权成为显式代理策略的域。

以前，如果要使用身份验证：

1、该政策将被归类为基于身份的政策
2、将拆分策略以添加身份验证参数
3、将选择身份验证方法
4、将配置用户/组

现在：

用户/组在代理策略中配置

1、添加了新的身份验证规则
2、此选项指的是身份验证方案
3、身份验证方案具有身份验证方法的详细信息

透明代理的新身份验证工作流程：

切换transparent-http-policy匹配：

config firewall profile-protocol-options
编辑<个人资料ID>
配置http
设置http-policy <enable | disable>

如果禁用，一切都像以前一样。如果启用，则以不同方式触发身份验证。

http政策工作流程：

1、对于透明流量，如果存在常规防火墙策略匹配，则启用第7层检查选项后，流量将重定向到WAD以进行进一步处理。
2、对于重定向流量，将使用第7层策略（HTTP策略）来确定如何进行安全检查。
3、如果最后一个匹配因子是用户ID，那么它将触发一个新模块来处理L7策略用户身份验证。
4、然后将学习到的用户信息传播回系统，以便它可用于匹配L4策略的流量。

新代理类型

代理策略中有一个名为Transparent Web的新子代理。旧的Web代理现在称为显式Web代理。

1、这是在防火墙策略中设置的
2、在防火墙策略的配置文件协议选项中启用HTTP策略时，它可用
3、此代理类型支持OSI第7层地址匹配。
4、此代理类型应包含源地址作为参数
限制：
1、如果不使用深度扫描，
2、它可用于HTTPS流量它仅支持SNI地址匹配，即域名
3、它不支持地址匹配的标头类型
4、它仅支持SSO身份验证方法，不支持主动身份验证方法。

IP池支持

现在，在传出IP池上支持代理。

SOCKSv5

现在，显式代理支持 SOCKSv5 身份验证。

要配置：
配置认证规则
编辑<规则名称>
设置协议袜子
结束

转发

代理支持URL重定向/转发。这允许为非代理转发服务器分配一个规则，该规则将Web流量从一个URL重定向到另一个URL，例如将发往shenjidaili.com的流量重定向到 www.shenjidaili.com 。

1、已在策略中添加了一个名为“重定向URL”的新选项
2、支持VIP流量转发

支持将显式代理地址对象和组分组到IPv4防火墙策略中

这将允许基于源IP +目的地（任何这些的地址|显式代理对象|类别|组）选择Web过滤策略，SSL检查策略和代理策略。这样可以实现“在 www.google.com 上执行完整的SSL拦截，而不是搜索引擎类别的其余部分”。

支持基于HTTP请求的代理中的应用程序服务。

可以使用以下CLI命令配置应用程序服务：

配置防火墙服务自定义
编辑<服务名称>
设置explicit-proxy enable
设置app-service-type <disable | app-id | app-category>
设置app-category <应用程序类别ID，整数>
设置应用程序<应用程序ID，整数>
结束