O Kaspersky Web Traffic Security verifica o usuário HTTP, HTTPS e tráfego de FTP que passa pelo servidor proxy.
O mesmo conjunto do Kaspersky Web Traffic Security é instalado em todos os servidores. Ele inclui a funcionalidade de processamento de tráfego e a capacidade de gerenciar as configurações do aplicativo. O tráfego é então transmitido dos computadores dos usuários através de um servidor proxy para o node do Kaspersky Web Traffic Security para verificação. Se o resultado da verificação permitir o acesso ao recurso da Web solicitado e o tráfego não contiver vírus ou outras ameaças, a solicitação será transmitida pelo servidor proxy ao servidor da Web. A resposta do servidor da Web é processada de maneira semelhante. O esquema de processamento de tráfego é apresentado na figura abaixo.
Como o tráfego é processado pelo Kaspersky Web Traffic Security
Ao processar o tráfego, o aplicativo pode usar informações sobre contas de usuário e sua associação em grupos de domínio. Para isso, é necessário configurar a integração do Kaspersky Web Traffic Security com o Active Directory. A integração com o Active Directory permite usar a autenticação automática de conta ao trabalhar com funções de usuário no aplicativo e reconhecer contas de usuário ao criar áreas de trabalho e regras de processamento de tráfego. A autenticação do usuário primário será realizada no servidor proxy. O servidor proxy passa as informações recebidas do Active Directory para o aplicativo junto com a solicitação inicial do usuário. Nesse caso, o servidor proxy e os nodes do aplicativo vão interagir com o servidor do Active Directory independentemente um do outro. O esquema operacional do aplicativo quando configurado para a integração com o Active Directory é apresentado na figura abaixo.
Esquema operacional do aplicativo quando integrado com o Active Directory
Se o processamento do tráfego exigir dois ou mais servidores com o aplicativo instalado, todos os servidores serão reunidos em um cluster. A função Nó com função Controle deve ser atribuída a um dos servidores no cluster. Aos outros servidores no cluster será atribuída a função Nó com função Secundária. É possível configurar o processamento de tráfego em todos os nodes, inclusive o Nó com função Controle. A diferença entre um node com função Controle e nodes com função Secundária é que as configurações do aplicativo podem ser modificadas no node com função Controle. Elas são distribuídas a partir do node com função Controle para todos os nodes com função Secundária no cluster. Cada node do cluster troca dados com o servidor do Active Directory independentemente do node com função Controle e outros nodes com função Secundária. As interações entre os componentes são apresentadas na figura abaixo.
Esquema de interação entre os componentes do aplicativo
Se o node com função Controle falhar, o aplicativo entrará no modo de emergência. Nesse caso, o administrador deve atribuir a função do node Controle a um dos nodes com a função Secundária. O processamento do tráfego não será interrompido durante esse procedimento. Todos os nodes continuam processando o tráfego de rede usando as últimas configurações recebidas do node com função Controle antes que o aplicativo alternasse para o modo de emergência. A subsequente definição das configurações é feita no novo node com função Controle. O esquema de mudança de função quando o aplicativo entra no modo de emergência é mostrado na figura abaixo.
A função muda quando o aplicativo entra no modo de emergência
Se o volume de tráfego processado envolver um grande número de nodes do cluster, é recomendável usar balanceamento de carga.
A interação entre o aplicativo e o servidor proxy depende do kit de distribuição. Quando o Kaspersky Web Traffic Security (Standalone) é instalado a partir de um pacote RPM ou DEB, é necessário configurar a integração com um servidor proxy externo. Quando a imagem ISO do Kaspersky Web Traffic Security (Appliance) é implementada, um servidor proxy integrado é usado.