Molet

用SafeSquid实现跨多个远程代理服务器的集中安全管理

Molet 安全防护 2023-01-08 330浏览 0

拥有多个分支机构的企业面临实施互联网访问策略的挑战,通常,每个分支机构会部署他们自己的内容过滤解决方案,因此不能完全同步企业互联网访问策略(Corporate Internet Access Policy,CIAP)。SafeSquid的多代理或主/从功能允许你在整个企业中实施CIAP,不论你的远程分支机构位于哪里,主/从配置可以确保策略得到完全执行,在主SafeSquid服务器上做的任何修改,都会立即同步到整个企业中的所有从属服务器,极大地减少管理员的管理开销。SafeSquid的主/从功能粒度极细,你可以为每个分支机构定义第一无二的用户认证机制,访问策略,排除或包括分支机构,基于用户所属组创建细粒度访问策略等,不管企业是普通互联网网关还是分布式互联网网关,主/从配置都是可实现的。

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 1在中央网关环境中的主/从配置

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 2在分布式网关环境中的主/从配置#p#

配置主SafeSquid服务器

主服务器的安装方法和独立服务器的安装方法一样,在安装期间不用做任何其它的事情,只要确保从服务器可以从私有内部连接或通过互联网访问SafeSquid接口即可,为了允许从互联网访问SafeSquid接口,你需要让主服务器监听一个静态的互联网IP,接下来,你需要让主服务器监听额外的端口,这个端口只允许访问SafeSquid接口,然后在访问限制部分创建条目,允许从服务器访问接口,如果远程分支机构也有一个静态的互联网IP,可以基于IP地址帮助保护接口的访问安全。

让SafeSquid监听额外的端口

假设主SafeSquid在监听8080端口(默认),现在你需要让它也监听8081端口,只允许在这个端口上访问Web接口,要让SafeSquid监听8081端口,请转到"配置"*"网络设置",创建下面的条目:

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 3 创建额外的监听端口

接下来,点击界面顶部菜单中的"保存设置"保存设置,再重启SafeSquid服务,SafeSquid重启后将会同时监听8080和8081端口。接下来你需要在"访问限制"下创建一个条目,只允许8081端口访问SafeSquid接口。

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 4 设置访问限制

上面的条目意味着代理将接受来自指定IP地址源(如果留空表示任意IP源)的特定接口(IP=152.23.163.10是静态IP,端口号是8081)上的请求,允许它们访问Web接口(Access=config),它将会额外应用一个配置"SLAVES"给这样的请求。

提示:访问限制部分的条目是从顶向下的层次结构应用的,第一条匹配的条目被应用,剩下的被忽略,因此,所有基于IP的条目应该优先于非基于IP的规则,否则条目将永远得不到应用。#p#

配置从服务器

在每一个远程分支机构,安装SafeSquid时,你需要指定主服务器的IP:端口,以便从服务器拉取配置文件,为同步做好准备,继续上面的例子,它应该是152.23.163.10:8081,是主服务器上配置允许访问从服务器的IP和端口。

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 5 主服务器IP和端口设置

SafeSquid主代理配置设置(Windows)

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 6 SafeSquid同步时间间隔设置(Windows)#p#

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 7 SafeSquid主代理配置(Linux)

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 8 SafeSquid同步时间间隔设置(Linux)

默认情况下,这些值都是空的,你需要将其改为152.23.163.10:8081,轮询间隔单位为秒,从服务器从主服务器请求配置更新,默认设置是60秒,你可以修改它。

在安装期间需要注意的另一个地方是,为每个从SafeSquid节点定义一个唯一的HOSTNAME,你可以在安装期间指定HOSTNAME,也可以留空,以后可以通过SafeSquid界面*常规设置来指定,指定一个唯一的HOSTNAME后,在定义细粒度策略时可以基于这些主机名进行设计。

完成以上设置后,启动从SafeSquid服务器,它将从主服务器拉取配置文件,然后每隔60秒更新一次,你可以从从服务器Web界面的"查看日志"验证从服务器是否正确和主服务器保持了同步,你应该看到类似下图所示的条目:

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 9 同步日志信息#p#

定义细粒度策略

你可以使用从服务器的唯一HOSTNAME创建细粒度策略,以应用给特定的从服务器,例如,如果你将某个从服务器的主机名设为PROXY3,为了对来自LDAP/活动目录服务器的用户进行身份认证,你需要做的事情是,在LDAP配置部分,将从服务器的主机名添加进去,通过这种方法,你可以为每个从服务器配置一个唯一的身份认证服务器。

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 10 定义策略

与此类似,你也可以通过在"代理主机"字段指定从服务器的主机名,为它们创建独一无二的配置文件,这个字段支持正则表达式,因此你可以创建一个包含多个从服务器的配置文件,如PROXY3|PROXY5|PROXY8。

用SafeSquid实现跨多个远程代理服务器的集中安全管理

图 11 通过代理主机(Proxy host)设置多个代理主机

你可以随时在任何过滤部分使用前面创建好的配置文件,如URL过滤,MIME过滤,关键字过滤等。

你可以从这里下载SafeSquid的免费版本。

继续浏览有关 安全 的文章
发表评论