然后,在管理界面左侧点击"代理配置"下的"反向www代理配置",配置界面如图7-14。
本页显示的是反向www代理的配置界面,管理员应按照企业安全策略填写配置内容,填写完后按"确定"将改动保存到防火墙,从而形成新的反向www代理配置文件。要使新的配置文件生效,还需转到"防火墙系统维护"下的"启动/停止服务进程"页面,对反向www代理进行刷新。
1 断开前最大空闲时间(秒)
定义一般应用代理程序退出前等待消息的时间,单位为秒。缺省值为300秒,此处必须填写一正整数。
2 启动时进程数
定义反向www代理程序在系统启动时即创建的子进程数,缺省为40。
3 最少空闲进程数
指反向www代理程序正常运行时保持的最少空闲进程数量,缺省值为10。设置此项能够保障有足够的进程及时为连接请求服务,避免重新创建新进程而造成连接等待,以及突发出现的瞬间请求高峰。
4 最多空闲进程数
指反向www代理程序正常运行时允许的最多空闲进程数,缺省值为20。 设置此项能够释放多余闲置进程占用的系统资源。
5 允许最多进程数
定义反向www代理程序运行时允许的最多子进程数,缺省值为200。设置此项能够保障系统不会因为进程过多而造成资源耗尽。
6 每个进程最多使用次数
定义单个子进程最多可处理的连接请求数,超过此处定义的值后,该子进程过期死亡,这样可以保证每个进程不会因为使用过多而可能导致的资源分配等问题。缺省设置为1000。
7 检查进程时间间隔(秒)
定义反向www代理程序运行时对其子进程数进行检查并进行调整的时间间隔,缺省值为5秒。
8 下面要定义的内容属于规则配置
每条规则最多要填写6项内容,第一项选择允许或拒绝,如果选择"拒绝",则只需再填写源地址、本地ip和本地端口三项内容,表示通过该源ip地址到该本地ip(防火墙网卡ip地址)和本地端口的连接一律拒绝;若选择"允许",则需填写全部6项内容,表示允许该源ip地址到该本地ip和本地端口的连接全都转接到目的ip的目的端口。
源地址
表示发起连接请求的ip地址,一般非安全网络地址。可填写通配字符'*'代表任意地址或表示一个地址范围。例如:192.168.10.*代表192.168.10.0到192.168.10.255的全部地址。
本地ip
表示接受连接的防火墙上的网卡的ip地址。可使用通配字符'*'。
本地端口
表示接受连接的防火墙上的服务端口号,一般填写80或443。
目的ip
填写最终提供web服务的主机的ip地址,即受防火墙保护主机的ip地址。拒绝规则中不填写此项。此项不支持通配符"*",但可以填写多个ip地址。如果由多台主机提供最终web服务,那么就存在在多台主机之间的负载平衡,在填写该项时用括号将所有主机的ip地址括起来,每个ip地址之间用逗号分隔。例如:(192.168.10.1,192.168.10.2)。如果想让主机192.168.10.1承担2/3的负载,填写方法是(192.168.10.1, 192.168.10.1,192.168.10.2),这样就实现了负载平衡的比例法。
目的端口
表示目的地址主机上的服务端口号,一般为80或443。拒绝规则中不填写此项。
a) 规则填写顺序非常重要,代理程序总是从第一条规则开始匹配,直到找到一个匹配规则,后面的规则全部忽略;
b)插入规则时,需首先将光标放在要插入在其前面的那条规则上,然后填写规则内容,再点击"增加"按钮;
c)删除规则时只需将光标放在要删除的规则上,点击"删除"即可;
d)替换规则时,首先将光标放在要替换的规则上,然后填写规则内容,再点击"替换"按钮即可;
e)填写规则时,可以在原规则基础上进行修改:用鼠标左键双击某条规则,该行可编辑内容便显示在上面的编辑栏内,编辑完后按右面的"替换"或"增加"按钮即可。