用SafeSquid实现跨多个远程代理服务器的集中安全管理
2018-06-14 来源:
拥有多个分支机构的企业面临实施互联网访问策略的挑战,通常,每个分支机构会部署他们自己的内容过滤解决方案,因此不能完全同步企业互联网访问策略(Corporate Internet Access Policy,CIAP)。SafeSquid的多代理或主/从功能允许你在整个企业中实施CIAP,不论你的远程分支机构位于哪里,主/从配置可以确保策略得到完全执行,在主SafeSquid服务器上做的任何修改,都会立即同步到整个企业中的所有从属服务器,极大地减少管理员的管理开销。SafeSquid的主/从功能粒度极细,你可以为每个分支机构定义第一无二的用户认证机制,访问策略,排除或包括分支机构,基于用户所属组创建细粒度访问策略等,不管企业是普通互联网网关还是分布式互联网网关,主/从配置都是可实现的。
图 1在中央网关环境中的主/从配置
图 2在分布式网关环境中的主/从配置
配置主SafeSquid服务器
主服务器的安装方法和独立服务器的安装方法一样,在安装期间不用做任何其它的事情,只要确保从服务器可以从私有内部连接或通过互联网访问SafeSquid接口即可,为了允许从互联网访问SafeSquid接口,你需要让主服务器监听一个静态的互联网IP,接下来,你需要让主服务器监听额外的端口,这个端口只允许访问SafeSquid接口,然后在访问限制部分创建条目,允许从服务器访问接口,如果远程分支机构也有一个静态的互联网IP,可以基于IP地址帮助保护接口的访问安全。
让SafeSquid监听额外的端口
假设主SafeSquid在监听8080端口(默认),现在你需要让它也监听8081端口,只允许在这个端口上访问Web接口,要让SafeSquid监听8081端口,请转到"配置"*"网络设置",创建下面的条目:
图 3 创建额外的监听端口
接下来,点击界面顶部菜单中的"保存设置"保存设置,再重启SafeSquid服务,SafeSquid重启后将会同时监听8080和8081端口。接下来你需要在"访问限制"下创建一个条目,只允许8081端口访问SafeSquid接口。
图 4 设置访问限制
上面的条目意味着代理将接受来自指定IP地址源(如果留空表示任意IP源)的特定接口(IP=152.23.163.10是静态IP,端口号是8081)上的请求,允许它们访问Web接口(Access=config),它将会额外应用一个配置"SLAVES"给这样的请求。
提示:访问限制部分的条目是从顶向下的层次结构应用的,第一条匹配的条目被应用,剩下的被忽略,因此,所有基于IP的条目应该优先于非基于IP的规则,否则条目将永远得不到应用。
配置从服务器
在每一个远程分支机构,安装SafeSquid时,你需要指定主服务器的IP:端口,以便从服务器拉取配置文件,为同步做好准备,继续上面的例子,它应该是152.23.163.10:8081,是主服务器上配置允许访问从服务器的IP和端口。
图 5 主服务器IP和端口设置
SafeSquid主代理配置设置(Windows)
图 6 SafeSquid同步时间间隔设置(Windows)
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。