用SafeSquid实现跨多个远程代理服务器的集中安全管理

译文
安全
拥有多个分支机构的企业面临实施互联网访问策略的挑战,通常,每个分支机构会部署他们自己的内容过滤解决方案,因此不能完全同步企业互联网访问策略(Corporate Internet Access Policy,CIAP)。

【51CTO.com 独家译稿】拥有多个分支机构的企业面临实施互联网访问策略的挑战,通常,每个分支机构会部署他们自己的内容过滤解决方案,因此不能完全同步企业互联网访问策略(Corporate Internet Access Policy,CIAP)。SafeSquid的多代理或主/从功能允许你在整个企业中实施CIAP,不论你的远程分支机构位于哪里,主/从配置可以确保策略得到完全执行,在主SafeSquid服务器上做的任何修改,都会立即同步到整个企业中的所有从属服务器,极大地减少管理员的管理开销。SafeSquid的主/从功能粒度极细,你可以为每个分支机构定义第一无二的用户认证机制,访问策略,排除或包括分支机构,基于用户所属组创建细粒度访问策略等,不管企业是普通互联网网关还是分布式互联网网关,主/从配置都是可实现的。

图 1在中央网关环境中的主/从配置

图 1在中央网关环境中的主/从配置

图 2在分布式网关环境中的主/从配置

图 2在分布式网关环境中的主/从配置#p#

配置主SafeSquid服务器

主服务器的安装方法和独立服务器的安装方法一样,在安装期间不用做任何其它的事情,只要确保从服务器可以从私有内部连接或通过互联网访问SafeSquid接口即可,为了允许从互联网访问SafeSquid接口,你需要让主服务器监听一个静态的互联网IP,接下来,你需要让主服务器监听额外的端口,这个端口只允许访问SafeSquid接口,然后在访问限制部分创建条目,允许从服务器访问接口,如果远程分支机构也有一个静态的互联网IP,可以基于IP地址帮助保护接口的访问安全。

让SafeSquid监听额外的端口

假设主SafeSquid在监听8080端口(默认),现在你需要让它也监听8081端口,只允许在这个端口上访问Web接口,要让SafeSquid监听8081端口,请转到"配置"*"网络设置",创建下面的条目:

图 3 创建额外的监听端口

图 3 创建额外的监听端口

接下来,点击界面顶部菜单中的"保存设置"保存设置,再重启SafeSquid服务,SafeSquid重启后将会同时监听8080和8081端口。接下来你需要在"访问限制"下创建一个条目,只允许8081端口访问SafeSquid接口。

图 4 设置访问限制

图 4 设置访问限制

上面的条目意味着代理将接受来自指定IP地址源(如果留空表示任意IP源)的特定接口(IP=152.23.163.10是静态IP,端口号是8081)上的请求,允许它们访问Web接口(Access=config),它将会额外应用一个配置"SLAVES"给这样的请求。

提示:访问限制部分的条目是从顶向下的层次结构应用的,第一条匹配的条目被应用,剩下的被忽略,因此,所有基于IP的条目应该优先于非基于IP的规则,否则条目将永远得不到应用。#p#

配置从服务器

在每一个远程分支机构,安装SafeSquid时,你需要指定主服务器的IP:端口,以便从服务器拉取配置文件,为同步做好准备,继续上面的例子,它应该是152.23.163.10:8081,是主服务器上配置允许访问从服务器的IP和端口。

图 5 主服务器IP和端口设置

图 5 主服务器IP和端口设置

SafeSquid主代理配置设置(Windows)

图 6 SafeSquid同步时间间隔设置(Windows)

图 6 SafeSquid同步时间间隔设置(Windows)#p#

图 7 SafeSquid主代理配置(Linux)

图 7 SafeSquid主代理配置(Linux)

图 8 SafeSquid同步时间间隔设置(Linux)

图 8 SafeSquid同步时间间隔设置(Linux)

默认情况下,这些值都是空的,你需要将其改为152.23.163.10:8081,轮询间隔单位为秒,从服务器从主服务器请求配置更新,默认设置是60秒,你可以修改它。

在安装期间需要注意的另一个地方是,为每个从SafeSquid节点定义一个唯一的HOSTNAME,你可以在安装期间指定HOSTNAME,也可以留空,以后可以通过SafeSquid界面*常规设置来指定,指定一个唯一的HOSTNAME后,在定义细粒度策略时可以基于这些主机名进行设计。

完成以上设置后,启动从SafeSquid服务器,它将从主服务器拉取配置文件,然后每隔60秒更新一次,你可以从从服务器Web界面的"查看日志"验证从服务器是否正确和主服务器保持了同步,你应该看到类似下图所示的条目:

图 9 同步日志信息

图 9 同步日志信息#p#

定义细粒度策略

你可以使用从服务器的唯一HOSTNAME创建细粒度策略,以应用给特定的从服务器,例如,如果你将某个从服务器的主机名设为PROXY3,为了对来自LDAP/活动目录服务器的用户进行身份认证,你需要做的事情是,在LDAP配置部分,将从服务器的主机名添加进去,通过这种方法,你可以为每个从服务器配置一个唯一的身份认证服务器。

图 10 定义策略

图 10 定义策略

与此类似,你也可以通过在"代理主机"字段指定从服务器的主机名,为它们创建独一无二的配置文件,这个字段支持正则表达式,因此你可以创建一个包含多个从服务器的配置文件,如PROXY3|PROXY5|PROXY8。

图 11 通过代理主机(Proxy host)设置多个代理主机

图 11 通过代理主机(Proxy host)设置多个代理主机

你可以随时在任何过滤部分使用前面创建好的配置文件,如URL过滤,MIME过滤,关键字过滤等。

你可以从这里下载SafeSquid的免费版本。

原文出处:http://www.howtoforge.com/how-to-set-up-centralized-security-policy-management-across-multiple-remote-proxy-servers-with-safesquid

原文名:How To Set Up Centralized Security Policy Management Across Multiple Remote Proxy Servers With SafeSquid

作者:Sean

【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】

【编辑推荐】

  1. 内网安全管理的特点和产品的选择
  2. Web服务器维护和安全管理技巧(1)
  3. 网站主机安全之系统与服务器安全管理
  4. Unix系统安全管理
责任编辑:佟健 来源: 51CTO.com
相关推荐

2011-08-17 11:26:10

2024-01-08 08:36:29

HTTPGo代理服务器

2024-02-20 14:53:01

2024-11-21 09:18:08

2009-02-10 15:42:00

代理服务器代理服务器设置

2009-02-06 11:12:00

代理服务器代理服务器应用

2009-02-06 10:54:00

Necsocks5Windows代理服务代理服务器

2010-09-16 16:15:15

2009-12-16 16:41:44

Linux代理服务器

2009-02-12 15:43:00

CCProxy代理服务器

2009-08-18 11:04:50

代理服务器设置代理服务器地址

2018-11-05 09:34:43

2010-11-15 14:46:04

linuxsquidsquidGuard

2018-04-17 12:10:40

2010-03-09 11:21:24

代理服务器工作原理域名服务器工作原理

2011-09-06 15:18:07

2009-07-18 22:59:43

2009-07-11 15:59:13

2009-02-12 15:40:00

代理服务器隐藏ip地址

2011-10-19 14:38:46

Node.js
点赞
收藏

51CTO技术栈公众号