用SafeSquid实现跨多个远程代理服务器的集中安全管理

【.com 独家译稿】拥有多个分支机构的企业面临实施互联网访问策略的挑战，通常，每个分支机构会部署他们自己的内容过滤解决方案，因此不能完全同步企业互联网访问策略（Corporate Internet Access Policy，CIAP）。SafeSquid的多代理或主/从功能允许你在整个企业中实施CIAP，不论你的远程分支机构位于哪里，主/从配置可以确保策略得到完全执行，在主SafeSquid服务器上做的任何修改，都会立即同步到整个企业中的所有从属服务器，极大地减少管理员的管理开销。SafeSquid的主/从功能粒度极细，你可以为每个分支机构定义第一无二的用户认证机制，访问策略，排除或包括分支机构，基于用户所属组创建细粒度访问策略等，不管企业是普通互联网网关还是分布式互联网网关，主/从配置都是可实现的。

创新互联专注为客户提供全方位的互联网综合服务，包含不限于成都网站制作、成都网站建设、外贸营销网站建设、井陉网络推广、微信小程序开发、井陉网络营销、井陉企业策划、井陉品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等，从售前售中售后，我们都将竭诚为您服务，您的肯定，是我们最大的嘉奖；创新互联为所有大学生创业者提供井陉建站搭建服务，24小时服务热线：028-86922220，官方网址：www.cdcxhl.com

图 1在中央网关环境中的主/从配置

图 2在分布式网关环境中的主/从配置#p#

配置主SafeSquid服务器

主服务器的安装方法和独立服务器的安装方法一样，在安装期间不用做任何其它的事情，只要确保从服务器可以从私有内部连接或通过互联网访问SafeSquid接口即可，为了允许从互联网访问SafeSquid接口，你需要让主服务器监听一个静态的互联网IP，接下来，你需要让主服务器监听额外的端口，这个端口只允许访问SafeSquid接口，然后在访问限制部分创建条目，允许从服务器访问接口，如果远程分支机构也有一个静态的互联网IP，可以基于IP地址帮助保护接口的访问安全。

让SafeSquid监听额外的端口

假设主SafeSquid在监听8080端口（默认），现在你需要让它也监听8081端口，只允许在这个端口上访问Web接口，要让SafeSquid监听8081端口，请转到"配置"*"网络设置"，创建下面的条目：

图 3 创建额外的监听端口

接下来，点击界面顶部菜单中的"保存设置"保存设置，再重启SafeSquid服务，SafeSquid重启后将会同时监听8080和8081端口。接下来你需要在"访问限制"下创建一个条目，只允许8081端口访问SafeSquid接口。

图 4 设置访问限制

上面的条目意味着代理将接受来自指定IP地址源（如果留空表示任意IP源）的特定接口（IP=152.23.163.10是静态IP，端口号是8081）上的请求，允许它们访问Web接口（Access=config），它将会额外应用一个配置"SLAVES"给这样的请求。

提示：访问限制部分的条目是从顶向下的层次结构应用的，第一条匹配的条目被应用，剩下的被忽略，因此，所有基于IP的条目应该优先于非基于IP的规则，否则条目将永远得不到应用。#p#

配置从服务器

在每一个远程分支机构，安装SafeSquid时，你需要指定主服务器的IP:端口，以便从服务器拉取配置文件，为同步做好准备，继续上面的例子，它应该是152.23.163.10:8081，是主服务器上配置允许访问从服务器的IP和端口。

图 5 主服务器IP和端口设置

SafeSquid主代理配置设置（Windows）

图 6 SafeSquid同步时间间隔设置（Windows）#p#

图 7 SafeSquid主代理配置（Linux）

图 8 SafeSquid同步时间间隔设置（Linux）

默认情况下，这些值都是空的，你需要将其改为152.23.163.10:8081，轮询间隔单位为秒，从服务器从主服务器请求配置更新，默认设置是60秒，你可以修改它。

在安装期间需要注意的另一个地方是，为每个从SafeSquid节点定义一个唯一的HOSTNAME，你可以在安装期间指定HOSTNAME，也可以留空，以后可以通过SafeSquid界面*常规设置来指定，指定一个唯一的HOSTNAME后，在定义细粒度策略时可以基于这些主机名进行设计。

完成以上设置后，启动从SafeSquid服务器，它将从主服务器拉取配置文件，然后每隔60秒更新一次，你可以从从服务器Web界面的"查看日志"验证从服务器是否正确和主服务器保持了同步，你应该看到类似下图所示的条目：

图 9 同步日志信息#p#

定义细粒度策略

你可以使用从服务器的唯一HOSTNAME创建细粒度策略，以应用给特定的从服务器，例如，如果你将某个从服务器的主机名设为PROXY3，为了对来自LDAP/活动目录服务器的用户进行身份认证，你需要做的事情是，在LDAP配置部分，将从服务器的主机名添加进去，通过这种方法，你可以为每个从服务器配置一个唯一的身份认证服务器。

图 10 定义策略

与此类似，你也可以通过在"代理主机"字段指定从服务器的主机名，为它们创建独一无二的配置文件，这个字段支持正则表达式，因此你可以创建一个包含多个从服务器的配置文件，如PROXY3|PROXY5|PROXY8。

图 11 通过代理主机（Proxy host）设置多个代理主机

你可以随时在任何过滤部分使用前面创建好的配置文件，如URL过滤，MIME过滤，关键字过滤等。

你可以从这里下载SafeSquid的免费版本。

原文出处：http://www.howtoforge.com/how-to-set-up-centralized-security-policy-management-across-multiple-remote-proxy-servers-with-safesquid

原文名：How To Set Up Centralized Security Policy Management Across Multiple Remote Proxy Servers With SafeSquid

作者：Sean

【.com独家译稿，非经授权谢绝转载！合作媒体转载请注明原文出处及出处！】

文章题目：用SafeSquid实现跨多个远程代理服务器的集中安全管理
分享地址：http://www.mswzjz.com/qtweb/news4/161754.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联