用SafeSquid实现跨多个远程代理服务器的集中安全管理

拥有多个分支机构的企业面临实施互联网访问策略的挑战，通常，每个分支机构会部署他们自己的内容过滤解决方案，因此不能完全同步企业互联网访问策略（Corporate Internet Access Policy，CIAP）。SafeSquid的多代理或主/从功能允许你在整个企业中实施CIAP，不论你的远程分支机构位于哪里，主/从配置可以确保策略得到完全执行，在主SafeSquid服务器上做的任何修改，都会立即同步到整个企业中的所有从属服务器，极大地减少管理员的管理开销。SafeSquid的主/从功能粒度极细，你可以为每个分支机构定义第一无二的用户认证机制，访问策略，排除或包括分支机构，基于用户所属组创建细粒度访问策略等，不管企业是普通互联网网关还是分布式互联网网关，主/从配置都是可实现的。

图 1在中央网关环境中的主/从配置

图 2在分布式网关环境中的主/从配置

配置主SafeSquid服务器

主服务器的安装方法和独立服务器的安装方法一样，在安装期间不用做任何其它的事情，只要确保从服务器可以从私有内部连接或通过互联网访问SafeSquid接口即可，为了允许从互联网访问SafeSquid接口，你需要让主服务器监听一个静态的互联网IP，接下来，你需要让主服务器监听额外的端口，这个端口只允许访问SafeSquid接口，然后在访问限制部分创建条目，允许从服务器访问接口，如果远程分支机构也有一个静态的互联网IP，可以基于IP地址帮助保护接口的访问安全。

让SafeSquid监听额外的端口

假设主SafeSquid在监听8080端口（默认），现在你需要让它也监听8081端口，只允许在这个端口上访问Web接口，要让SafeSquid监听8081端口，请转到"配置"*"网络设置"，创建下面的条目：

图 3 创建额外的监听端口

接下来，点击界面顶部菜单中的"保存设置"保存设置，再重启SafeSquid服务，SafeSquid重启后将会同时监听8080和8081端口。接下来你需要在"访问限制"下创建一个条目，只允许8081端口访问SafeSquid接口。

图 4 设置访问限制

上面的条目意味着代理将接受来自指定IP地址源（如果留空表示任意IP源）的特定接口（IP=152.23.163.10是静态IP，端口号是8081）上的请求，允许它们访问Web接口（Access=config），它将会额外应用一个配置"SLAVES"给这样的请求。

提示：访问限制部分的条目是从顶向下的层次结构应用的，第一条匹配的条目被应用，剩下的被忽略，因此，所有基于IP的条目应该优先于非基于IP的规则，否则条目将永远得不到应用。

配置从服务器

在每一个远程分支机构，安装SafeSquid时，你需要指定主服务器的IP:端口，以便从服务器拉取配置文件，为同步做好准备，继续上面的例子，它应该是152.23.163.10:8081，是主服务器上配置允许访问从服务器的IP和端口。

图 5 主服务器IP和端口设置

SafeSquid主代理配置设置（Windows）

图 6 SafeSquid同步时间间隔设置（Windows）

标签： 安全 服务器 互联网 企业互联网 网络

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。