Hvordan fungerer Bluecoat-proxyen?

Bedste svar

Bluecoat Proxy fungerer på to måder.

Hvis du arbejder på kontoret, kan du muligvis oprette forbindelse din bærbare computer eller pc via LAN eller WIFI, som din organisation ejer. sandsynligvis ejer din organisation muligvis Proxy SG-serveren. Så din internettrafik sendes muligvis til Proxy SG-serveren.

Hvis du arbejder et fjerntliggende sted. Du opretter muligvis forbindelse til et offentligt netværk. Oprettelse af forbindelse til et offentligt netværk har ikke din organisations tillid. Så organisationen har brug for websikkerhed, da den opretholdes på kontoret. Så en Bluecoat Proxy SG er installeret i Cloud. Når en bruger forsøger at få forbindelse via ekstern placering, opretter den bluecoat-unified agent-klient, der er installeret på din bærbare eller pc, forbindelse til kanten WebPulse-tjenesten. Hvilket først bliver kontrolleret mod en af ​​tre Blue Coat WebFilter-masterdatabaser i skyen, der konstant opdateres i realtid.

Svar

Ved at placere en omvendt proxy i din DMZ, du kan flytte dine filoverførselsservere til dit interne netværk, hvor de vil være mindre sårbare over for angreb fra Internettet. Der er stadig flere fordele ved at bruge en omvendt proxy, som du muligvis ikke er opmærksom på.

1. Opretter et enkelt adgangspunkt til dine filoverførselsservere

Så længe du har konfigureret din firewall og reverse proxy korrekt, bør ingen være i stand til at få direkte adgang til nogen af ​​dine filoverførselsservere. Alle skal passere gennem den omvendte proxy. Når det sker, kan du fokusere overvågning af, hvad der går ind og går ud gennem den omvendte proxy.

2. Forenkler adgangskontrolopgaver

Fordi du kun har et enkelt adgangspunkt, kan du koncentrere adgangskontrol på det enkelte punkt. For eksempel i stedet for at specificere på hver enkelt server hvad IP-adresser skal have lov til at oprette forbindelse, du kan simpelthen oprette et sæt IP-adgangsregler på din omvendte proxy. Hvis en bruger forsøger at oprette forbindelse fra en uautoriseret IP, kan dette forsøg straks afsluttes af den omvendte proxy.

3. Flytter brugeroplysninger til et mere sikkert sted

De fleste brugeroplysninger er bare gemt på filoverførselsserverne selv. Så hvis dine filoverførselsservere er placeret på din DMZ, kan en stærkt motiveret angriber let få fat i dem. Ved at flytte dine servere til dit interne netværk og implementere en omvendt proxy for at kontrollere adgang, kan du give bedre sikkerhed til disse legitimationsoplysninger og følgelig til de data, de beskytter.

4. Reducerer risici for følsomme data

I betragtning af den brede vifte af oplysninger, som vi regelmæssigt deler med forretningspartnere, kunder og feltansatte, er jeg ret sikker på, at nogle af disse oplysninger ikke er til offentligt forbrug. I “Jeg er sikker på, at du ikke vil have personlige oplysninger, forretningshemmeligheder, prototype-tegninger, lønregneark eller økonomiske data, der lækker ud til offentligheden eller falder i de forkerte hænder.

Men hvis dine filoverførselsservere er i din DMZ, alle de fortrolige data, der er gemt på deres harddiske, vil tiltrække identitetstyve, virksomhedsspioner, bedragere og andre skurke. En måde at mindske risikoen er at implementere en omvendt proxy.

Med en omvendt proxy, får du muligheden for at flytte DMZ-baserede filoverførselsservere til dit interne netværk, hvor de vil være mindre sårbare over for angreb.

5. Hjælper opnå overensstemmelse med lovgivningen

En række de facto-standarder og regeringspålagte regler gør det ikke ikke tillade lagring af data i meget sårbare områder som DMZ. PCI-DSS (Payment Card Industry – Data Security Standard) kræver for eksempel eksplicit, at kreditkortoplysninger skal gemmes i interne netværk adskilt fra din DMZ.

Men hvad hvis du vil dele følsomme data med organisationer, såsom handelspartnere, der ikke har adgang til dit interne netværk?

En løsning, der er inden for rammerne af lovmæssige krav, ville være at placere en omvendt proxy i din DMZ og tillade dine handelspartnere at oprette forbindelse til dine back-end-servere sikkert gennem det. Ved hjælp af specielle reverse proxy-teknologier som DMZ-streaming kan du dele følsomme oplysninger med eksterne partnere, selv uden at placere oplysningerne på DMZ eller give direkte adgang til dine back-end-servere.

6. Nedbringer kapital- og driftsudgifter

Lad os se på de problemer, der er rejst i punkt 4 og nr. 5 på denne liste. En af de traditionelle løsninger på disse problemer er at installere to sæt servere Et sæt på DMZ til at imødekomme eksterne kunder og et andet sæt til at imødekomme interne kunder.Ulempen ved denne løsning er, at den åbenlyst er meget dyr, og da du skal administrere begge sæt servere, indfører den yderligere byrde for dine allerede overbelastede administratorer.

Hvis du bruger en omvendt proxy, behøver ikke at oprette to sæt servere. Alle dine servere kan placeres i dit interne netværk, og de kan betjene både dine interne og eksterne klienter.

7. Tillader gennemsigtig vedligeholdelse af backend-servere

Ændringer, du foretager på servere, der kører bag en reverse proxy, bliver helt gennemsigtige for dine slutbrugere. Selvom du fjerner en af ​​dine sikre filoverførselsservere (forudsat at den tilhører en klynge) til vedligeholdelse, opgradering eller udskiftning, vil dine slutbrugere ikke bemærke det.

8. Aktiverer load balancing og failover

Reverse proxies som JSCAPE MFT Gateway understøtter allerede metoder til høj tilgængelighed som load balancing og failover. Dette giver dig mulighed for at eliminere nedetid og øge produktivitet. I de fleste tilfælde opretter du typisk en klynge og tilføjer filoverførselsservere til den. Den omvendte proxy håndhæver derefter en belastningsafbalanceringsalgoritme som f.eks. round robin, vægtet round robin, mindst forbindelser, vægtet mindst forbindelser eller tilfældig, til distribuer belastningen blandt serverne i klyngen.

Når en server går ned, vil systemet automatisk failovere til den næste server op, og brugerne kan fortsætte med deres sikre filoverførselsaktiviteter.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *