Для корпоративного онлайн-банкинга, казначейства, клиент-банка, API и защищённых кабинетов используйте статичные прокси с whitelisting’ом и SLA. Правила: 1 egress-IP → 1 роль/подсеть; GEO — в стране банка; без ротации и без смен IP в активной сессии; логируйте доступ и держите резервный IP того же города/ASN.
Что выбрать банкам и финансовым отделам
- Тип IP: IPv4 статичный — основной; IPv6 — опционально. Резидентские — только для QA локальных сценариев; мобильные и Shared — не использовать для операций/платежей.
- Протокол: HTTP(S)/CONNECT; SOCKS5 — допустим для долгих сессий, но с whitelisting’ом.
- GEO: город/страна обслуживания банка (RU — MOW/SPE; BY — Minsk; KZ — ALA/AST; EU — DE/NL/FR/PL; US — VA/NY/IL/TX/CA).
- Требования: SLA/аптайм, быстрые замены IP, авторизация (логин/пароль или whitelist-IP), журналы.
Где купить прокси для банков
Нужны провайдеры со статичными IPv4/IPv6, HTTPS/CONNECT и SOCKS5, whitelisting’ом и точными городами. Отдельные пулы под «Payments», «Treasury», «API/EDI».
1 место: Proxys.io — корпоративные статики, города, API
Удобно завести пулы «Bank-Cabinet-RU-MOW», «SEPA-EU-DE», «US-Payments-NY». Быстрая выдача и замена, API для автоматизации whitelist’ов.
- Плюсы: HTTPS/CONNECT, SOCKS5, десятки GEO, API, быстрый выпуск.
- Минусы: «домашние» (резидентские/мобильные) дороже DC — берите только на QA.
ProxyLine — низкая задержка и ровные ASN
Статичные IPv4/IPv6 (HTTP(S)/SOCKS5) — подходят под whitelisting для кабинетов и интеграций.
Proxy-Store — раздельные пулы по отделам
Статик на «Payments/Treasury», отдельные IP для «QA/UAT»; оперативные замены.
Proxy-Solutions — SLA и прицельные города
DE/NL/FR/GB/US-VA/SG с гарантиями аптайма и метриками.
MobileProxy.space — только для QA мобильных сценариев
SIM-устройства по операторам/городам; не используйте для реальных платежей и кабинетов.
Где ещё можно купить
- PX6 (PROXY6) — бюджетные DC/IPv6 для стендов и нефинансовых задач.
- Proxymania — резервные статики по странам.
- ShopProxy — маркетплейс: фильтры по протоколам/GEO/SLA.
Архитектуры в компании
- Explicit proxy + PAC/WPAD. Раздача PAC через MDM/AD. Критичные домены банка — только
PROXY(без TLS-инспекции), внутренние ресурсы —DIRECT. - PBR/egress-NAT. Policy-Based Routing: сегменты (Finance, Treasury, API) → свой egress-IP.
- Прокси-шлюз. Linux-шлюз (privoxy/redsocks) для мостов HTTP↔SOCKS и отказоустойчивости.
- HA и мониторинг. Два IP на регион, health-checks, алёрты, авто-фейловер в PAC.
Безопасность и соответствие
- Никакого MITM для банковских доменов. TLS-инспекцию отключить для *bank*, *3ds*, *acs*, *psp* — иначе собьёте SCA/3-D Secure.
- Whitelisting у банка/провайдера. Подайте egress-IP в белый список; включите журналирование и контроль доступа (IdP/SSO, RBAC).
- PCI DSS/PSD2/SCA. Хранение логов, аудит сессий, NTP/временные метки, обновления корней доверия.
- DNS. Без утечек: DoT/DoH на резолвере или запросы через прокси; фиксируйте локали/таймзоны.
Настройка на рабочих местах (коротко)
- Windows/macOS: системный прокси (HTTP/HTTPS), без автопереключателей, PAC из MDM/GPO.
- Серверы/боты: переменные
http_proxy/https_proxy, статичные выходы per-service. - Браузерные пресеты: «Bank-RU-MOW», «SEPA-DE-FRF», «US-NY». Быстро переключать только при разрешении ИБ.
Скачать: Mobile Proxy Manager (используйте только в соответствии с политиками ИБ).
Практические правила
- 1 статичный IP → 1 роль/подсеть; не смешивайте prod/UAT.
- GEO в стране банка; при межрегиональной работе — близкий узел (DE/NL/FR/PL; US-VA/NY; SG/JP).
- Без ротации, без смен IP в транзакциях и в кабинетах.
- Резервный IP того же города/ASN; PAC с бэкапом.
Чек-лист
- Подобраны приватные статичные IPv4 с SLA и whitelisting’ом.
- GEO совпадает со страной банка; сегменты разведены (Finance/Treasury/API).
- PAC/PBR внедрены, TLS-инспекция отключена для банковских доменов.
- Мониторинг/логи включены; резервный egress-IP настроен.
Итоги
Для банковских сценариев подходят только статичные прокси нужного GEO с whitelisting’ом и SLA. Разведите роли по отдельным egress-IP, отключите TLS-инспекцию на банковских доменах, держите резерв — так авторизации, платежи и API работают предсказуемо и в рамках ИБ.
Все компании из обзора
338 постов
Комментариев нет