用SafeSquid實現跨多個遠程代理服務器的集中安全管理
譯文【51CTO.com 獨家譯稿】擁有多個分支機構的企業面臨實施互聯網訪問策略的挑戰,通常,每個分支機構會部署他們自己的內容過濾解決方案,因此不能完全同步企業互聯網訪問策略(Corporate Internet Access Policy,CIAP)。SafeSquid的多代理或主/從功能允許你在整個企業中實施CIAP,不論你的遠程分支機構位于哪里,主/從配置可以確保策略得到完全執行,在主SafeSquid服務器上做的任何修改,都會立即同步到整個企業中的所有從屬服務器,極大地減少管理員的管理開銷。SafeSquid的主/從功能粒度極細,你可以為每個分支機構定義第一無二的用戶認證機制,訪問策略,排除或包括分支機構,基于用戶所屬組創建細粒度訪問策略等,不管企業是普通互聯網網關還是分布式互聯網網關,主/從配置都是可實現的。
圖 1在中央網關環境中的主/從配置
圖 2在分布式網關環境中的主/從配置#p#
配置主SafeSquid服務器
主服務器的安裝方法和獨立服務器的安裝方法一樣,在安裝期間不用做任何其它的事情,只要確保從服務器可以從私有內部連接或通過互聯網訪問SafeSquid接口即可,為了允許從互聯網訪問SafeSquid接口,你需要讓主服務器監聽一個靜態的互聯網IP,接下來,你需要讓主服務器監聽額外的端口,這個端口只允許訪問SafeSquid接口,然后在訪問限制部分創建條目,允許從服務器訪問接口,如果遠程分支機構也有一個靜態的互聯網IP,可以基于IP地址幫助保護接口的訪問安全。
讓SafeSquid監聽額外的端口
假設主SafeSquid在監聽8080端口(默認),現在你需要讓它也監聽8081端口,只允許在這個端口上訪問Web接口,要讓SafeSquid監聽8081端口,請轉到"配置"*"網絡設置",創建下面的條目:
圖 3 創建額外的監聽端口
接下來,點擊界面頂部菜單中的"保存設置"保存設置,再重啟SafeSquid服務,SafeSquid重啟后將會同時監聽8080和8081端口。接下來你需要在"訪問限制"下創建一個條目,只允許8081端口訪問SafeSquid接口。
圖 4 設置訪問限制
上面的條目意味著代理將接受來自指定IP地址源(如果留空表示任意IP源)的特定接口(IP=152.23.163.10是靜態IP,端口號是8081)上的請求,允許它們訪問Web接口(Access=config),它將會額外應用一個配置"SLAVES"給這樣的請求。
提示:訪問限制部分的條目是從頂向下的層次結構應用的,第一條匹配的條目被應用,剩下的被忽略,因此,所有基于IP的條目應該優先于非基于IP的規則,否則條目將永遠得不到應用。#p#
配置從服務器
在每一個遠程分支機構,安裝SafeSquid時,你需要指定主服務器的IP:端口,以便從服務器拉取配置文件,為同步做好準備,繼續上面的例子,它應該是152.23.163.10:8081,是主服務器上配置允許訪問從服務器的IP和端口。
圖 5 主服務器IP和端口設置
SafeSquid主代理配置設置(Windows)
圖 6 SafeSquid同步時間間隔設置(Windows)#p#
圖 7 SafeSquid主代理配置(Linux)
圖 8 SafeSquid同步時間間隔設置(Linux)
默認情況下,這些值都是空的,你需要將其改為152.23.163.10:8081,輪詢間隔單位為秒,從服務器從主服務器請求配置更新,默認設置是60秒,你可以修改它。
在安裝期間需要注意的另一個地方是,為每個從SafeSquid節點定義一個唯一的HOSTNAME,你可以在安裝期間指定HOSTNAME,也可以留空,以后可以通過SafeSquid界面*常規設置來指定,指定一個唯一的HOSTNAME后,在定義細粒度策略時可以基于這些主機名進行設計。
完成以上設置后,啟動從SafeSquid服務器,它將從主服務器拉取配置文件,然后每隔60秒更新一次,你可以從從服務器Web界面的"查看日志"驗證從服務器是否正確和主服務器保持了同步,你應該看到類似下圖所示的條目:
圖 9 同步日志信息#p#
定義細粒度策略
你可以使用從服務器的唯一HOSTNAME創建細粒度策略,以應用給特定的從服務器,例如,如果你將某個從服務器的主機名設為PROXY3,為了對來自LDAP/活動目錄服務器的用戶進行身份認證,你需要做的事情是,在LDAP配置部分,將從服務器的主機名添加進去,通過這種方法,你可以為每個從服務器配置一個唯一的身份認證服務器。
圖 10 定義策略
與此類似,你也可以通過在"代理主機"字段指定從服務器的主機名,為它們創建獨一無二的配置文件,這個字段支持正則表達式,因此你可以創建一個包含多個從服務器的配置文件,如PROXY3|PROXY5|PROXY8。
圖 11 通過代理主機(Proxy host)設置多個代理主機
你可以隨時在任何過濾部分使用前面創建好的配置文件,如URL過濾,MIME過濾,關鍵字過濾等。
你可以從這里下載SafeSquid的免費版本。
原文出處:http://www.howtoforge.com/how-to-set-up-centralized-security-policy-management-across-multiple-remote-proxy-servers-with-safesquid
原文名:How To Set Up Centralized Security Policy Management Across Multiple Remote Proxy Servers With SafeSquid
作者:Sean
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
