【51CTO.com 獨家譯稿】擁有多個分支機構的企業(yè)面臨實施互聯(lián)網(wǎng)訪問策略的挑戰(zhàn)，通常，每個分支機構會部署他們自己的內(nèi)容過濾解決方案，因此不能完全同步企業(yè)互聯(lián)網(wǎng)訪問策略（Corporate Internet Access Policy，CIAP）。SafeSquid的多代理或主/從功能允許你在整個企業(yè)中實施CIAP，不論你的遠程分支機構位于哪里，主/從配置可以確保策略得到完全執(zhí)行，在主SafeSquid服務器上做的任何修改，都會立即同步到整個企業(yè)中的所有從屬服務器，極大地減少管理員的管理開銷。SafeSquid的主/從功能粒度極細，你可以為每個分支機構定義第一無二的用戶認證機制，訪問策略，排除或包括分支機構，基于用戶所屬組創(chuàng)建細粒度訪問策略等，不管企業(yè)是普通互聯(lián)網(wǎng)網(wǎng)關還是分布式互聯(lián)網(wǎng)網(wǎng)關，主/從配置都是可實現(xiàn)的。

圖 1在中央網(wǎng)關環(huán)境中的主/從配置

圖 2在分布式網(wǎng)關環(huán)境中的主/從配置#p#

配置主SafeSquid服務器

主服務器的安裝方法和獨立服務器的安裝方法一樣，在安裝期間不用做任何其它的事情，只要確保從服務器可以從私有內(nèi)部連接或通過互聯(lián)網(wǎng)訪問SafeSquid接口即可，為了允許從互聯(lián)網(wǎng)訪問SafeSquid接口，你需要讓主服務器監(jiān)聽一個靜態(tài)的互聯(lián)網(wǎng)IP，接下來，你需要讓主服務器監(jiān)聽額外的端口，這個端口只允許訪問SafeSquid接口，然后在訪問限制部分創(chuàng)建條目，允許從服務器訪問接口，如果遠程分支機構也有一個靜態(tài)的互聯(lián)網(wǎng)IP，可以基于IP地址幫助保護接口的訪問安全。

讓SafeSquid監(jiān)聽額外的端口

假設主SafeSquid在監(jiān)聽8080端口（默認），現(xiàn)在你需要讓它也監(jiān)聽8081端口，只允許在這個端口上訪問Web接口，要讓SafeSquid監(jiān)聽8081端口，請轉(zhuǎn)到"配置"*"網(wǎng)絡設置"，創(chuàng)建下面的條目：

圖 3 創(chuàng)建額外的監(jiān)聽端口

接下來，點擊界面頂部菜單中的"保存設置"保存設置，再重啟SafeSquid服務，SafeSquid重啟后將會同時監(jiān)聽8080和8081端口。接下來你需要在"訪問限制"下創(chuàng)建一個條目，只允許8081端口訪問SafeSquid接口。

圖 4 設置訪問限制

上面的條目意味著代理將接受來自指定IP地址源（如果留空表示任意IP源）的特定接口（IP=152.23.163.10是靜態(tài)IP，端口號是8081）上的請求，允許它們訪問Web接口（Access=config），它將會額外應用一個配置"SLAVES"給這樣的請求。

提示：訪問限制部分的條目是從頂向下的層次結(jié)構應用的，第一條匹配的條目被應用，剩下的被忽略，因此，所有基于IP的條目應該優(yōu)先于非基于IP的規(guī)則，否則條目將永遠得不到應用。#p#

配置從服務器

在每一個遠程分支機構，安裝SafeSquid時，你需要指定主服務器的IP:端口，以便從服務器拉取配置文件，為同步做好準備，繼續(xù)上面的例子，它應該是152.23.163.10:8081，是主服務器上配置允許訪問從服務器的IP和端口。

圖 5 主服務器IP和端口設置

SafeSquid主代理配置設置（Windows）

圖 6 SafeSquid同步時間間隔設置（Windows）#p#

圖 7 SafeSquid主代理配置（Linux）

圖 8 SafeSquid同步時間間隔設置（Linux）

默認情況下，這些值都是空的，你需要將其改為152.23.163.10:8081，輪詢間隔單位為秒，從服務器從主服務器請求配置更新，默認設置是60秒，你可以修改它。

在安裝期間需要注意的另一個地方是，為每個從SafeSquid節(jié)點定義一個唯一的HOSTNAME，你可以在安裝期間指定HOSTNAME，也可以留空，以后可以通過SafeSquid界面*常規(guī)設置來指定，指定一個唯一的HOSTNAME后，在定義細粒度策略時可以基于這些主機名進行設計。

完成以上設置后，啟動從SafeSquid服務器，它將從主服務器拉取配置文件，然后每隔60秒更新一次，你可以從從服務器Web界面的"查看日志"驗證從服務器是否正確和主服務器保持了同步，你應該看到類似下圖所示的條目：

圖 9 同步日志信息#p#

定義細粒度策略

你可以使用從服務器的唯一HOSTNAME創(chuàng)建細粒度策略，以應用給特定的從服務器，例如，如果你將某個從服務器的主機名設為PROXY3，為了對來自LDAP/活動目錄服務器的用戶進行身份認證，你需要做的事情是，在LDAP配置部分，將從服務器的主機名添加進去，通過這種方法，你可以為每個從服務器配置一個唯一的身份認證服務器。

圖 10 定義策略

與此類似，你也可以通過在"代理主機"字段指定從服務器的主機名，為它們創(chuàng)建獨一無二的配置文件，這個字段支持正則表達式，因此你可以創(chuàng)建一個包含多個從服務器的配置文件，如PROXY3|PROXY5|PROXY8。

圖 11 通過代理主機（Proxy host）設置多個代理主機

你可以隨時在任何過濾部分使用前面創(chuàng)建好的配置文件，如URL過濾，MIME過濾，關鍵字過濾等。

你可以從這里下載SafeSquid的免費版本。

原文出處：http://www.howtoforge.com/how-to-set-up-centralized-security-policy-management-across-multiple-remote-proxy-servers-with-safesquid

原文名：How To Set Up Centralized Security Policy Management Across Multiple Remote Proxy Servers With SafeSquid

作者：Sean

【51CTO.com獨家譯稿，非經(jīng)授權謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 內(nèi)網(wǎng)安全管理的特點和產(chǎn)品的選擇
2. Web服務器維護和安全管理技巧（1）
3. 網(wǎng)站主機安全之系統(tǒng)與服務器安全管理
4. Unix系統(tǒng)安全管理