使用 Netlet 代理

Netlet 信息包在网关处解码并被发送至目标服务器。然而，网关需要通过隔离区 (DMZ) 和内联网之间的防火墙，才能访问所有的 Netlet 目标主机。此设置需要在防火墙中打开许多端口。Netlet 代理可于将防火墙中打开的端口数量降至最低。

Netlet 代理通过延展客户机至网关最终至内联网中的 Netlet 代理之间的安全隧道，从而增强了网关和内联网之间的安全性。通过使用代理，Netlet 信息包将被代理解码然后发送到目标服务器地。

使用 Netlet 代理的优点如下：

• 添加了额外的安全层。

• 在大规模的部署环境中，尽量减少了网关通过内部防火墙使用额外 IP 地址和端口的情况。

• 将网关和 Portal Server 之间的打开端口数限制为 1。该端口数可以在安装期间配置。

• 扩展了客户机与网关之间的安全通道，最多可扩展至 Portal Server，如使用 Netlet 代理的“使用配置的 Netlet 代理”一节中所示。通过数据加密 Netlet 代理提供的安全性得到改善，但是可能会增加系统资源的使用量。有关安装 Netlet 代理的信息，参见《Sun Java System 安装指南》。

您可以执行以下任务：

• 在 Portal Server 节点或在单独的节点上安装 Netlet 代理。

• 使用管理控制台安装多个 Netlet 代理并且为单个网关配置这些代理。这有利于负载平衡。

• 在单个机器上配置 Netlet 代理的多个实例。

• 将多个网关实例指向单个安装的 Netlet 代理。

• 通过 Web 代理开通 Netlet 通道。

显示在安装和未安装 Netlet 代理的情况下，网关和 Portal Server 的三个实现示例。组件包括一台客户机、两个防火墙、驻留在两个防火墙之间的网关、Portal Server 和 Netlet 目标服务器。

第一种方案显示网关和未安装 Netlet 代理的 Portal Server。数据加密仅从客户机扩展至网关。对于每个 Netlet 连接请求，都会在第二个防火墙中打开一个端口。

在第二种方案显示的网关和 Portal Server 中，Portal Server 上安装了 Netlet 代理。数据加密从客户机一直扩展到 Portal Server。由于所有 Netlet 连接都通过 Netlet 代理路由，因此在第二个防火墙中仅需为 Netlet 请求打开一个端口。

第三种方案显示网关以及在单独节点上安装 Netlet 代理的 Portal Server。在单独节点上安装 Netlet 代理将减少 Portal Server 节点上的负载。此外，仅需在第二个防火墙中打开两个端口。一个端口将请求送至 Portal Server，另一个端口将 Netlet 请求发送至 Netlet 代理服务器。

图 2–1 Netlet 代理的实现

启用 Netlet 代理

通过使用 Portal Server 管理控制台中的网关服务可启用 Netlet 代理。

重新启动 Netlet 代理

可将 Netlet 代理配置为只要代理被意外终止就重新启动。可以计划监视程序进程时间表来监控 Netlet 代理，只要它停止运行就重新启动。

也可以手动重新启动 Netlet 代理。有关步骤，参见重新启动 Netlet 代理。

配置 Netlet 代理监视器

可以配置监视程序监控 Netlet 代理状态的时间间隔。该时间间隔默认设置为 60 秒。要更改此间隔，请将以下一行添加至 crontab 文件：

0-59 * * * * netlet-install-dir/bin/checkgw /var/opt/SUNWportal/.gw 5 > /dev/null 2>&1

要启动或停止监视程序，请运行命令 ./psadmin sra-watchdog -u amadmin -f <password-file> -t <type> on|off。