Zabezpieczenia serwera proxy
Bezpieczeństwo serwera Caching Proxy jest ważne i zawiera szczegółowe informacje na temat kontroli dostępu do plików, które mają dostęp do tych plików.
Każdy serwer dostępny z sieci Internet jest zagrożany dla przyciągnięcia niechcianej uwagi do systemu, na którym działa. Nieautoryzowani użytkownicy mogą próbować zgadywać hasła, aktualizować pliki, uruchamiać pliki lub czytać poufne dane. Częścią atrakcji World Wide Web jest jego otwartość. Jednakże sieć WWW jest otwarta zarówno na pozytywne wykorzystanie, jak i na nadużycie.
W poniższych sekcjach opisano sposób sterowania dostępem użytkowników do plików na serwerze Caching Proxy .
Buforujący serwer proxy obsługuje połączenia SSL (Secure Sockets Layer), w których między przeglądarką klienta a serwerem docelowym (serwerem treści lub serwerem surrogate) ustanowiono bezpieczne transmisje, które obejmują szyfrowanie i deszyfrowanie.
Jeśli program Caching Proxy jest skonfigurowany jako surogatka, może nawiązać bezpieczne połączenia z klientami, serwerami treści lub obydwoma tymi serwerami. Aby włączyć połączenia SSL, w formularzach Konfiguracja i administrowanie wybierz opcję Konfiguracja serwera proxy Ustawienia SSL. W tym formularzu zaznacz pole wyboru Włącz SSL i określ bazę danych kluczy i plik haseł bazy danych kluczy.
Jeśli Caching Proxy jest skonfigurowany jako serwer proxy przekazujący, jest on zgodny z protokołem tranzytowym, który jest nazywany tunelowaniem SSL w celu przekazywania zaszyfrowanych żądań między klientem i serwerem treści. Zaszyfrowane informacje nie są buforowane, ponieważ serwer proxy nie deszyfruje tunelowanych żądań. W przypadku następnej instalacji proxy tunelowanie SSL jest włączone. Aby wyłączyć tę opcję, w formularzach Konfiguracja i administrowanie wybierz opcję Konfiguracja serwera proxy Ustawienia serwera proxy, a następnie usuń zaznaczenie pola wyboru Tunelowanie SSL w tym formularzu.
- Należy umieścić serwer przeznaczony do publicznego dostępu w sieci, która jest oddzielona od sieci lokalnej lub wewnętrznej.
- Wyłącz programy narzędziowe, które umożliwiają zdalnym użytkownikom dostęp do wewnętrznych procesów serwera. W szczególności należy rozważyć wyłączenie klientów telnet, TN3270, rlogin i finger w systemie, w którym działa serwer.
- Użyj filtrowania pakietów i firewalli.
Filtrowanie pakietów umożliwia wybór miejsca, z którego mogą pochodzić dane i miejsca, w których może on być używany. Istnieje możliwość skonfigurowania systemu w taki sposób, aby odrzucał określone kombinacje miejsc docelowych.
Firewall oddziela sieć wewnętrzną od ogólnodostępnej sieci, takiej jak Internet. Zaporą firewall może być grupa komputerów lub pojedynczy komputer, który działa jak brama w obu kierunkach, regulując i śledzając ruch przechodzący przez niego. IBM® Firewall to przykład oprogramowania firewalla.
- Sterowanie skryptami CGI. Korzystanie ze skryptów CGI na serwerze WWW może stanowić zagrożenie dla bezpieczeństwa, ponieważ skrypty te mogą wyświetlać zmienne środowiskowe, które zawierają takie poufne dane, jak identyfikatory użytkowników i hasła. Upewnij się, że dokładnie wiesz, co robi program CGI, zanim uruchomisz go na serwerze, i sprawdź, kto ma dostęp do skryptów CGI na serwerze.
Proxy /* http://content server :443Proxy /* https://content server :443