Менджер «Мультиплексный прокси» системы «КАСКАД Цифра» используется для повышения безопасности ваших проектов «КАСКАД Цифра». Основными преимуществами мультиплексного прокси являются:
- Уменьшение количества серверных портов открытой сети.
- Блокирование атак типа отказ в обслуживании.
- Мультиплексный прокси может работать под учетной записью пользователя с низким приоритетом по сравнению с другими менеджерами, если прокси используется в качестве распределенного менеджера.
Основная роль мультиплексного прокси состоит в управлении соединениями между менеджерами или проектами; после установления соединения прокси только пересылает сообщения для текущих соединений. Сообщения заверяются подписью, а содержание зашифровывается. Когда отправляется запрос на соединение между клиентом и сервером через мультиплексный прокси «КАСКАД Цифра», прокси решает на основании конфигурации проекта, отклонять или принимать соединение.
Если соединение через прокси (клиент <=> прокси или сервер <=>прокси-соединение) закрыто, то прокси автоматически закрывает соответствующее соединение с сервером/клиентом.
- Привер 1: Если пользовательский интерфейс клиента остановлен, прокси автоматически закрывает соответствующее TCP-соединение между собой и сервером.
- Пример 2: Если сервер прерывает соединение с прокси (например, сервер остановлен), то также закрывается и соответствующее соединение между прокси и клиентом.
Дополнительное преимущество, связанное не с безопасностью, состоит в том, что с уменьшением количества открытых и видимых сетевых портов для внешних соединений могут быть снижены стоимость и сложность управления сетями.
ПРИМЕЧАНИЕ
В случаях, когда прокси используется на отдельной машине, прокси может смягчить воздействие DoS-атак (атак при соединении по протоколу SSL).
ВНИМАНИЕ
Мультиплексный прокси не защищает от DoS-атак после установления соединения между клиентом и сервером (например, менеджер БД).
Использование мультиплексного прокси
Мультиплексный прокси, подобно другим менеджерам «КАСКАД Цифра», контролируется монитором процессов (PMON). Прокси может использоваться на том же сервере, что и менеджер данных или событий, но также может использоваться и на другом хосте, например, для управления несколькими проектами с помощью одного мультиплексного прокси.
ПРИМЕЧАНИЕ
Если прокси-менеджер активен, то значение по умолчанию для записи в файле config localAddress равно 127.0.0.1 (IPv4) или ::1 (IPv6) для всех менеджеров, кроме WCCILproxy. Следовательно, другой хост может получить доступ к менеджерам только через мультиплексный прокси. В случае, если прокси-менеджер отключен, значение по умолчанию для записи localAddress не определено, и менеджеры могут быть доступны другим хостам.
Рисунок: схема соединений при использовании мультиплексного прокси
Ниже приведены возможные примеры использования мультиплексного прокси:
- Сетевой экран блокирует каждый запрос на соединение, за исключением соединений с прокси-хостом на прокси-порте.
- Проект клиента не может подключиться непосредственно к серверу.
- Проект клиента может подключиться к сконфигурированным менеджерам только через прокси.
- Клиент не может подключиться к любому другому серверу (например, SQL-серверу).
Использование сертификатов
Мультиплексный прокси использует SSL-сертификаты для проверки запроса на соединение. Сертификаты по умолчанию поставляются с установкой «КАСКАД Цифра» и могут использоваться. Следует принять во внимание, что эти сертификаты поставляются с каждой установкой «КАСКАД Цифра», и, следовательно, не может быть предоставлена защищенная аутентификация!
ПРИМЕЧАНИЕ
Если защищенная связь не требуется (например, отсутствует внешний доступ к сети), то какие-либо изменения в вашу конфигурацию проекта вноситься не должны. Связь по проекту «КАСКАД Цифра» может использоваться стандартно. Если требуется защищенная связь, то следует учесть следующие моменты:
- Сертификаты по умолчанию располагаются внутри папки /config проекта «КАСКАД Цифра» и должны быть заменены самозаверяющими сертификатами для обеспечения защищенной связи (о том, как определить используемые SSL-сертификаты, см. запись sslCertificate в файле config).
- Для создания новых самозаверяемых SSL-сертификатов можно использовать панель «Создать сертификат» (управление системой > Средства связи> SSL-сертификаты)
- Для мультиплексного прокси «КАСКАД Цифра» нельзя использовать внешние сертификаты (например, Verisign)! Будет приниматься каждый сертификат от поставщика сертификатов, и защищенная связь не сможет быть предоставлена!
Информация отладки
Чтобы получить дополнительную информацию по входящим и выходящим соединениям мультиплексного прокси, для прокси-менеджера можно использовать опцию «-report dispatch».
Текущую конфигурацию прокси можно отобразить во время запуска прокси, используя флажок «-dbg work» для менеджера мультиплексного прокси.
Отключение мультиплексного прокси
Чтобы отключить защищенную с помощью мультиплексного прокси связь, запись mxProxy= «none» в файле config должна быть добавлена в раздел [general] в конфигурационных файлах ваших проектов.
Обзор разделов
Раздел | Описание |
Мультиплексный прокси, основы | Краткое описание мультиплексного прокси и ссылки на дополнительную информацию |
Требования и установка | Требования для использования мультиплексного прокси |
Возможные конфигурационные параметры для мультиплексного прокси | Перечень всех возможных конфигурационных параметров для мультиплексного прокси |
Конфигурация мультиплексного прокси | Варианты конфигурации для мультиплексного прокси, например, для резервированных или распределенных проектов |