用SafeSquid实现跨多个远程代理服务器的集中安全管理

【.com 独家译稿】拥有多个分支机构的企业面临实施互联网访问策略的挑战,通常,每个分支机构会部署他们自己的内容过滤解决方案,因此不能完全同步企业互联网访问策略(Corporate Internet Access Policy,CIAP)。SafeSquid的多代理或主/从功能允许你在整个企业中实施CIAP,不论你的远程分支机构位于哪里,主/从配置可以确保策略得到完全执行,在主SafeSquid服务器上做的任何修改,都会立即同步到整个企业中的所有从属服务器,极大地减少管理员的管理开销。SafeSquid的主/从功能粒度极细,你可以为每个分支机构定义第一无二的用户认证机制,访问策略,排除或包括分支机构,基于用户所属组创建细粒度访问策略等,不管企业是普通互联网网关还是分布式互联网网关,主/从配置都是可实现的。

图 1在中央网关环境中的主/从配置

图 2在分布式网关环境中的主/从配置#p#

配置主SafeSquid服务器

主服务器的安装方法和独立服务器的安装方法一样,在安装期间不用做任何其它的事情,只要确保从服务器可以从私有内部连接或通过互联网访问SafeSquid接口即可,为了允许从互联网访问SafeSquid接口,你需要让主服务器监听一个静态的互联网IP,接下来,你需要让主服务器监听额外的端口,这个端口只允许访问SafeSquid接口,然后在访问限制部分创建条目,允许从服务器访问接口,如果远程分支机构也有一个静态的互联网IP,可以基于IP地址帮助保护接口的访问安全。

让SafeSquid监听额外的端口

假设主SafeSquid在监听8080端口(默认),现在你需要让它也监听8081端口,只允许在这个端口上访问Web接口,要让SafeSquid监听8081端口,请转到”配置”*”网络设置”,创建下面的条目:

图 3 创建额外的监听端口

接下来,点击界面顶部菜单中的”保存设置”保存设置,再重启SafeSquid服务,SafeSquid重启后将会同时监听8080和8081端口。接下来你需要在”访问限制”下创建一个条目,只允许8081端口访问SafeSquid接口。

图 4 设置访问限制

上面的条目意味着代理将接受来自指定IP地址源(如果留空表示任意IP源)的特定接口(IP=152.23.163.10是静态IP,端口号是8081)上的请求,允许它们访问Web接口(Access=config),它将会额外应用一个配置”SLAVES”给这样的请求。

提示:访问限制部分的条目是从顶向下的层次结构应用的,第一条匹配的条目被应用,剩下的被忽略,因此,所有基于IP的条目应该优先于非基于IP的规则,否则条目将永远得不到应用。#p#

配置从服务器

在每一个远程分支机构,安装SafeSquid时,你需要指定主服务器的IP:端口,以便从服务器拉取配置文件,为同步做好准备,继续上面的例子,它应该是152.23.163.10:8081,是主服务器上配置允许访问从服务器的IP和端口。

图 5 主服务器IP和端口设置

SafeSquid主代理配置设置(Windows)

图 6 SafeSquid同步时间间隔设置(Windows)#p#

图 7 SafeSquid主代理配置(Linux)

图 8 SafeSquid同步时间间隔设置(Linux)

默认情况下,这些值都是空的,你需要将其改为152.23.163.10:8081,轮询间隔单位为秒,从服务器从主服务器请求配置更新,默认设置是60秒,你可以修改它。

在安装期间需要注意的另一个地方是,为每个从SafeSquid节点定义一个唯一的HOSTNAME,你可以在安装期间指定HOSTNAME,也可以留空,以后可以通过SafeSquid界面*常规设置来指定,指定一个唯一的HOSTNAME后,在定义细粒度策略时可以基于这些主机名进行设计。

完成以上设置后,启动从SafeSquid服务器,它将从主服务器拉取配置文件,然后每隔60秒更新一次,你可以从从服务器Web界面的”查看日志”验证从服务器是否正确和主服务器保持了同步,你应该看到类似下图所示的条目:

图 9 同步日志信息#p#

定义细粒度策略

你可以使用从服务器的唯一HOSTNAME创建细粒度策略,以应用给特定的从服务器,例如,如果你将某个从服务器的主机名设为PROXY3,为了对来自LDAP/活动目录服务器的用户进行身份认证,你需要做的事情是,在LDAP配置部分,将从服务器的主机名添加进去,通过这种方法,你可以为每个从服务器配置一个唯一的身份认证服务器。

图 10 定义策略

与此类似,你也可以通过在”代理主机”字段指定从服务器的主机名,为它们创建独一无二的配置文件,这个字段支持正则表达式,因此你可以创建一个包含多个从服务器的配置文件,如PROXY3|PROXY5|PROXY8。

图 11 通过代理主机(Proxy host)设置多个代理主机

你可以随时在任何过滤部分使用前面创建好的配置文件,如URL过滤,MIME过滤,关键字过滤等。

你可以从这里下载SafeSquid的免费版本。

原文出处:http://www.howtoforge.com/how-to-set-up-centralized-security-policy-management-across-multiple-remote-proxy-servers-with-safesquid

原文名:How To Set Up Centralized Security Policy Management Across Multiple Remote Proxy Servers With SafeSquid

作者:Sean

【.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】

【编辑推荐】

  1. 内网安全管理的特点和产品的选择
  2. Web服务器维护和安全管理技巧(1)
  3. 网站主机安全之系统与服务器安全管理
  4. Unix系统安全管理

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/125635.html<

(0)
管理的头像管理
上一篇2025-02-23 20:23
下一篇 2025-02-23 20:24

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注