Utilisation d'un serveur proxy cache avec Sophos Cloud

  • N°Id de l'article : 121131
  • Mis à jour : 20 mai 2015

Le présent article explique comment configurer un serveur proxy cache pour les terminaux administrés par Sophos Cloud afin que la majorité des ordinateurs puissent procéder au téléchargement à partir d'un cache local plutôt que d'avoir à se connecter directement à Internet pour récupérer les mises à jour.  Cette opération peut être nécessaire pour les raisons suivantes :

  • Diminution de l'utilisation de la bande passante à partir d'un ou de plusieurs emplacements.
  • Optimisation de la vitesse d'installation initiale et des temps de mises à jour de grande taille.

Remarque : nous vous conseillons d'activer la mise en cache sur votre appareil s'il s'agit d'une appliance UTM qui se comporte en tant que proxy.  Par exemple, pour activer cette fonction dans Sophos UTM :

  • Connectez-vous à la console UTM.
  • Naviguez jusqu'à « Protection du Web » > « Options de filtrage » > « Avancés ».
  • Activez le cache local.

Rencontré pour la première fois dans

Sophos Cloud

Action à mener

Deux composants sont obligatoires :

  • Un serveur proxy pour mettre les mises à jour en cache.  Cet article décrit l'utilisation de Squid. Toutefois, les principes peuvent être appliqués à d'autres serveurs proxy.
  • La mise en place du protocole de recherche automatique d'un proxy Web WPAD (Web Proxy Auto-Discovery Protocol) et du fichier de configuration automatique du proxy PAC (Proxy Auto-configuration). De cette manière, vous êtes sûrs que les clients procèdent à la mise à jour via le serveur proxy cache.

Serveur proxy

Un serveur proxy standard configuré pour la mise en cache :

  1. Par défaut, Squid permet la mise en cache des fichiers. Toutefois, nous vous conseillons d'augmenter la taille maximale de la mise en cache des objets afin que les mises à jour de grande taille puissent également être mises en cache. Veuillez ajouter ce qui suit à « squid.conf » :

    #configure squid to cache large files.
    maximum_object_size 64 MB

  2. Par défaut, Squid va autoriser tout le trafic HTTP. Pour éviter l'exécution d'un serveur proxy ouvert sur votre réseau, veuillez limiter le trafic.

    #only allow access to Sophos domains
    acl sophos-update-sites dstdomain .sophosupd.com .sophosupd.net
    http_access allow sophos-update-sites
    http_access deny all


  3. Il est conseillé de configurer le cache avec au moins 2 Go.

    cache_dir ufs /var/spool/squid 2048 16 256

WPAD/PAC

Le service Sophos AutoUpdate utilise WinHTTP pour les demandes de mise à jour. WPAD et PAC peuvent donc être utilisés pour assurer le téléchargement de ces mises à jour via le serveur proxy.

Vue générale de la procédure :

  1. Si vous n'utilisez pas encore WPAD sur votre environnement, créez une entrée DNS interne WPAD (par exemple : wpad.<votredomaine>.

    Remarques : 
  2. Configurez un serveur Web pour servir un fichier PAC sur le nom d'hôte wpad.<votredomaine>
    Retrouvez ci-dessous un échantillon du fichier PAC. Si vous n'utilisez pas un fichier PAC existant, vous pouvez utiliser celui-ci directement. Si vous en utilisez déjà un, veuillez le modifier de manière adéquate.

    function FindProxyForURL(url, destHost)
    {
    var myProxy = "DIRECT";
    if (dnsDomainIs(destHost, "sophosupd.com")) { myProxy = "PROXY wpad.<votredomaine>:3128"; }
    if (dnsDomainIs(destHost, "sophosupd.net")) { myProxy = "PROXY wpad. <votredomaine>:3128"; }
    return myProxy;
    }

Vérification

À la prochaine mise à jour, veuillez vérifier que la configuration fonctionne correctement en surveillant le journal du serveur proxy. Vous devriez voir apparaître des messages « TCP_HIT » pour les domaines « sophosupd ». Par exemple :

# egrep 'sophosupd\.(com|net)' /var/log/squid/access.log

1403060582.236 0 10.101.101.211 TCP_HIT/200 855 GET http://d1.sophosupd.com/update/cd2a5386-f08c-42b1-8d98-40240059e361/55ca257cbadbfe606fe9b35fd7719e0cx000.xml - NONE/- application/octet-stream
1403060582.240 0 10.101.101.211 TCP_HIT/200 850 GET http://d1.sophosupd.com/update/FF5DF0B0-E558-493f-9B45-A70E89B7A359/a62acc9bf0b27f4126e67301c9ba59dbx000.xml - NONE/- application/octet-stream
1403060582.245 0 10.101.101.211 TCP_HIT/200 857 GET http://d1.sophosupd.com/update/E17FE03B-0501-4aaa-BC69-0129D965F311/b51eb99e12b564ca675a471fc6820248x000.xml - NONE/- application/octet-stream

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires