应用程序操作
Kaspersky Web Traffic Security 会扫描通过代理服务器的用户 HTTP、 HTTPS 和 FTP 流量。
同一个 Kaspersky Web Traffic Security 套件安装在所有服务器上。它包括流量处理功能和应用程序设置管理能力。流量然后被通过代理服务器从用户计算机传输到 Kaspersky Web Traffic Security 节点进行扫描。如果扫描结果允许访问所需的 Web 资源,且流量不包含病毒或其它威胁,请求将通过代理服务器传输到 Web 服务器。Web 服务器的响应按类似方式进行处理。流量处理方案如下图所示。
流量如何被 Kaspersky Web Traffic Security 处理
处理流量时,应用程序可以使用用户账户及其在域组中的会员信息。为此,您需要配置 Kaspersky Web Traffic Security 和 Active Directory 的集成。与 Active Directory 集成可让您在应用程序中处理用户角色时使用账户自动身份验证,创建工作区和流量处理规则时识别用户账户。主要用户身份验证将在代理服务器上执行。代理服务器会把从 Active Directory 收到的信息和用户的初始请求一道传递给应用程序。在此情况下,代理服务器和应用程序节点将彼此独立和 Active Directory 服务器进行交互。为 Active Directory 集成进行配置时的应用程序的操作方案如下图所示。
与 Active Directory 集成时的应用程序的操作方案
如果流量处理需要两个或更多安装了应用程序的服务器,所有服务器将被合并入一个。集群中的一个服务器应该被分配给 角色。集群中的的其它服务器将被分配给 角色。您可以配置在包括带角色控制的节点在内的所有节点上的流量处理。带角色控制的节点和带角色辅助的节点之间的区别是应用程序设置可以在带角色控制的节点上进行修改。它们从带角色控制的节点分发到集群中所有带角色辅助的节点。然后每个集群节点会独立于带角色控制的节点和其它带角色辅助的节点与 Active Directory 服务器交换数据。组件交互如下图所示。
应用程序组件的交互方案
如果带角色控制的节点失败,应用程序将进入紧急模式。在此情况下,管理员必须把控制节点角色分配给一个带角色辅助的节点。在此过程中流量处理不会被中断。在应用程序切换到紧急模式之前,所有节点都继续使用从带角色控制的节点接收到的最新设置来处理网络流量。随后的设置配置会在新的带角色控制的节点上完成。应用程序进入紧急模式时的角色更改方案如下图所示。
应用程序进入紧急模式时的角色更改
如果处理的流量容量涉及大量集群节点,推荐使用 负载平衡。
应用程序和代理服务器之间的交互 取决于分发套件。如果 Kaspersky Web Traffic Security(单机版) 安装自 RPM 或 DEB 包,您需要配置与外部代理服务器的集成。部署 Kaspersky Web Traffic Security (Appliance) ISO 镜像时将使用内置代理服务器。
取决于分发套件的应用程序操作
Kaspersky Web Traffic Security(单机版)的操作
如果 Kaspersky Web Traffic Security(单机版)安装自 RPM 或 DEB 包,将使用外部代理服务器。它可以作为应用程序安装在同一台物理服务器上或者单独的物理服务器上。外部代理服务器的管理和配置通过使用操作系统资源执行。
Kaspersky Web Traffic Security(单机版)的操作方案如下图所示。
Kaspersky Web Traffic Security(单机版)的操作
图中编号对应于以下流量处理步骤:
- 用户请求访问网络资源。该请求将被中继给代理服务器。
- 代理服务器将把请求中继给处理流量的集群节点。应用程序会根据流量处理规则扫描从带角色控制的节点收到的请求。然后结果将被中继给代理服务器。
- 如果允许访问 Web 资源,代理服务器将把请求发送到用来访问请求的 Web 资源的 Web 服务器。
- 托管所需 Web 资源的 Web 服务器会发送响应到代理服务器。
- 响应也会被送到集群节点以便可以根据流量处理规则进行扫描。
- 扫描后,代理服务器会把发送响应到用户的计算机。取决于应用程序中定义的操作,用户可能会看到以下页面:
- 如果允许访问网页资源,系统将显示被请求的网页页面。
- 如果禁止访问网页资源,系统将显示阻止页面。
- 如果应用了重定向操作,用户将看到对其配置了重新定向的网页页面。
建议也在外部代理服务器上配置 HTTPS 流量处理。
Kaspersky Web Traffic Security (Appliance) 的操作
部署应用程序 ISO 镜像时,将在每个集群节点上安装一个内置代理服务器。内置代理服务器和 Kaspersky Web Traffic Security(应用程序的 ICAP 服务器)之间的数据通过 ICAP 协议在已安装应用程序的服务器上进行本地交换。
Kaspersky Web Traffic Security (Appliance) 的操作方案如下图所示。
Kaspersky Web Traffic Security (Appliance) 的操作
图中编号对应于以下流量处理步骤:
- 用户请求访问网络资源。请求将被中继到安装了应用程序的服务器。
- 内置代理服务器将接受请求并将它中继给应用程序的 ICAP 服务器,以便它可以根据流量处理规则得到扫描。
- 如果根据扫描结果允许访问网页资源,内置代理服务器将把请求发送给互联网上的该 Web 服务器。
- 托管所需 Web 资源的 Web 服务器会发送响应到内置代理服务器。
- 内置代理服务器将把 Web 服务器响应发送到应用程序的 ICAP 服务器,以便响应可以根据流量处理规则得到扫描。扫描结果将被返回到内置代理服务器。
- 内置代理服务器会把响应发送到用户的计算机。取决于应用程序中定义的操作,用户可能会看到以下页面:
- 如果允许访问网页资源,系统将显示被请求的网页页面。
- 如果禁止访问网页资源,系统将显示阻止页面。
- 如果应用了重定向操作,用户将看到对其配置了重新定向的网页页面。
有负载平衡的应用程序操作
如果有大量安装了应用程序的服务器,建议使用HAProxy 负载平衡器。在此情况下,HAProxy 会使用已配置的负载平衡方法确定向其发送扫描请求的服务器。使用负载平衡器时的应用程序运行方案如下图所示。当应用程序安装自 RPM 或 DEB 包以及应用程序部署自 ISO 镜像时,适用组件之间的交互方案。
有负载平衡的应用程序操作
图中编号对应于以下流量处理步骤:
- 用户请求访问网络资源。该请求将被中继给负载平衡器。
- 负载平衡器会根据所定义的平衡方法选择集群节点并将用户请求中继给此节点。
- 所选节点的内置代理服务器将接受请求并将它中继给应用程序的 ICAP 服务器,以便它可以根据流量处理规则得到扫描。
- 如果根据扫描结果允许访问网页资源,内置代理服务器将把请求发送给互联网上的 Web 服务器。
- 托管所需 Web 资源的 Web 服务器会发送响应到内置代理服务器。
- 内置代理服务器将把 Web 服务器响应发送到应用程序的 ICAP 服务器,以便响应可以根据流量处理规则得到扫描。扫描结果将被返回到内置代理服务器。
- 内置代理服务器将把响应中继给负载平衡器。
- 负载平衡器将把响应发送给用户的计算机。取决于应用程序中定义的操作,用户可能会看到以下页面:
- 如果允许访问网页资源,系统将显示被请求的网页页面。
- 如果禁止访问网页资源,系统将显示阻止页面。
- 如果应用了重定向操作,用户将看到对其配置了重新定向的网页页面。
您可以使用同一个负载平衡器来平衡不同服务,或安装两个负载平衡器。在此情况下,HTTP 平衡器将在代理服务器中分布负载,ICAP 平衡器将在应用程序的集群节点中分布负载。负载平衡器连接方案如下图所示。当应用程序安装自 RPM 或 DEB 包以及应用程序部署自 ISO 镜像时,适用此方案。
与两个负载平衡器的交互方案
页面顶端