3. Информационное обеспечение проектирования
3.1. Эффективность и безопасность включения информационных ресурсов в глобальную сеть Internet
3.1.1. Обеспечение безопасности
3.1.1.1. Межсетевые экраны (брандмауэры)
3.1.1.2. Серверы посредники (proxy серверы)
3.1.2. Кэширование Web-трафика
3.1.2.1. Что кэшировать
3.1.2.2. Когда кэшировать
3.1.2.3. Распределение кэша
3.1.3. Использование продуктов независимых производителей совместно с proxy серверами
3.1.4. Управление proxy серверами
В данной главе будут изложены основные аспекты предметной области, которые необходимы для проектирования программной системы.
3.1. Эффективность и безопасность включения информационных ресурсов в глобальную сеть Internet
3.1.1. Обеспечение безопасности
Бурный рост информационных источников, новые технологии поиска и отображения данных в сети Internet, а также коммерциализация этой сети делают ее все более и более привлекательной для различных групп пользователей, включая крупные корпорации и физические лица. Все большее число компаний принимают решения о включении своей локальной сети в Internet. Однако сразу после этого в дополнение к уже имеющимся обязанностям администратор сети получает целый спектр новых проблем: как защитить локальную сеть от несанкционированного доступа со стороны "хакеров"; как скрыть информацию о структуре своей сети и ее компонентов от внешних пользователей; какими средствами разграничить права доступа внешних пользователей, обращающихся из Internet к своим FTP, WWW серверам, а также и своих пользователей, запрашивающих сервисы Сети. Для решения этих, а также множества других проблем все чаще используют firewall (брандмауэр, экран или межсетевой фильтр).
3.1.1.1. Межсетевые экраны (брандмауэры)
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую[7] (рис.3.1). Как правило, эта граница проводится между локальной сетью предприятия, хотя ее можно провести и внутри. В результате брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.
Рис. 3.1. Структура организации межсетевого экрана
Обычно брандмауэры функционируют на какой-либо UNIX-платформе - чаще всего это BSDI, Linux, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, Windows NT, а из аппаратных платформ Intel, Mips Rxxxx, SPARC, RS6000, Alpha, PA-RISC. Помимо Ethernet многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, а также различные последовательные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32 Мбайт ОЗУ и 500 Мбайт на диске[12].
Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр - только раздел администратора. Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.
Все брандмауэры можно разделить на три типа[12]:
Все типы могут одновременно встретиться в одном брандмауэре.
3.1.1.1.1. Пакетные фильтры
Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета все IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта - это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня - все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.
3.1.1.1.2. Серверы прикладного уровня
Брандмауэры этого типа используют серверы конкретных сервисов - TELNET, FTP, proxy server и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются серверы для следующих сервисов: терминалы (Telnet, Rlogin), передача файлов (Ftp), электронная почта (SMTP, POP3), WWW (HTTP), Gopher, Wais, X Window System (X11), Принтер, Rsh, Finger, новости (NNTP) и т.д.
Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации - подтверждения действительно ли пользователь является тем, за кого он себя выдает.
При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
3.1.1.1.3. Серверы уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на брандмауэре, который производит соединение с местом назначения по другую от себя сторону. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много - соединение типа "один - много". Используя различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.
3.1.1.1.4. Сравнительные характеристики
Приведем основные преимущества и недостатки пакетных фильтров и серверов прикладного уровня.
К положительным качествам пакетных фильтров следует отнести следующие[12]:
Недостатки у данного типа брандмауэров следующие:
К преимуществам серверов прикладного уровня следует отнести следующие:
Недостатками этого типа серверов являются:
3.1.1.2. Серверы посредники (proxy серверы)
Хотя многим брандмауэрам посреднические услуги по плечу, на рынке систем защиты стали появляться продукты относительно нового типа, называемые proxy-серверами. Компании, уделяющие большое внимание Internet, такие как Netscape и Microsoft, выпустили свои системы ещё в 1996 году. Таким образом, на данный момент на рынке представлен достаточно большой выбор proxy-серверов.
Однако, в отношении proxy-серверов много неясного. В частности, непонятно, например, насколько они отвечают политике защиты с применением брандмауэров или без оного. Поскольку огромное число брандмауэров выполняет функции proxy-серверов, многие пользователи считают, что установка proxy-сервера - это излишество. В действительности proxy-сервер может значительно укрепить брандмауэр и даже обеспечить возможности, которые тот предложить не может.
Любая компания, имеющая выход в Internet, должна обратить самое серьезное внимание на брандмауэры с тем, чтобы только законные пользователи могли войти в сеть извне, и чтобы только законные сеансы быть открыты. Тем временем многие компании начинают проявлять пристальное внимание и к тому, что делают в Internet сотрудники самой компании.
Если говорить в общем, proxy-сервер управляет и контролирует трафик Internet, между сетью компании и внешним миром, в том числе он направляет весь исходящий трафик через одну точку, кэширует страницы Web и осуществляет контроль за разрешенными сервисами Internet внутри и вне сети. Но даже описание возможностей proxy-сервера не дает полной картины, и путаницы между брандмауэром и proxy-серверами по-прежнему остается немало.
В то время как большинство брандмауэров являются proxy-серверами, брандмауэр не заменят proxy-серверы, установленные во многих местах. Вместо определения различий между брандмауэрами и proxy-серверами и таким образом классификации продуктов, нас должен занимать более важный вопрос - каким образом люди используют эти типы продуктов.
Proxy сервер может или размещаться на той же машине, что и брандмауэр, или быть установлен за ним (в зависимости от имеющегося на диске места). И поскольку настольные системы в компании размещаются часто в нескольких сетевых сегментах, установка proxy-серверов в различных местах, в том числе в удаленных офисах, может снизить рабочую нагрузку на одну машину.
Вполне вероятно, что абсолютно надежных сетей не существует; как только вы разрешите передачу данных в или из Internet, автоматически возникает потенциальная возможность нарушения защиты. В то время как брандмауэр охраняет сеть от атак извне, proxy-сервер контролирует деятельность внутренних пользователей, а значит, при регулировании трафика Internet вы можете "поймать сразу двух зайцев". Поэтому многие эксперты по безопасности рекомендуют комбинацию брандмауэра и proxy-сервера.
На одном уровне proxy-сервер скрывает внутренние IP-адреса и обеспечивает централизацию управления и защиты исходящего трафика IP. При передаче всего трафика через proxy-сервер, внутренние IP-адреса остаются скрытыми от внешнего мира. Кроме того, компании могут избавиться от необходимости иметь отдельное Internet-соединение для каждой настольной системы. Это эквивалентно тому, что все сотрудники компании при осуществлении связи с внешним миром работают, как один пользователь.
Некоторые из брандмауэров, представленных на рынке, имеют функцию разделяемого шлюза, но многие брандмауэры, главным образом фильтры пакетов, такой функции не имеют. В этих случаях добавление proxy-сервера к шлюзу позволит компании выступать перед всем внешним миром под единственным IP-адресом. Данная стратегия имеет несколько преимуществ. Одно из них в том, что хакеры не могут получать действительные внутренние IP-адреса и использовать их против компании (метод, известный как подделка IP-адресов - IP spoofing). Также компаниям не придется регистрировать каждый внутренний IP-адрес, что стоит иногда довольно дорого.
Когда Microsoft тестировала свой Proxy Server (выпуск которого был начат в октябре 1996 года) все 20 тыс. сотрудников компании выходили во внешнюю сеть через единственное устройство при помощи одного общего IP-адреса [6]. Для внешнего мира все сотрудники компании имели один IP-адрес.
Как известно, Web начинался с CERN. Proxy-протокол CERN, реализованный в наиболее популярных браузерах, поддерживает протоколы HTTP, ftp и gopher. Клиентская программа должна быть специальным образом сконфигурирована для Internet с помощью модифицированной версии HTTP. Proxy Server компании Microsoft поддерживает proxy-протокол CERN, так что любой совместимый со стандартом CERN браузер может использовать этот продукт без дополнительного клиентского программного обеспечения.
При работе с такими браузерами, как Navigator компании Netscape и Internet Explorer компании Microsoft, пользователь может через меню Options задать имя proxy-сервера, с которым затем браузер будет взаимодействовать автоматически. Пользователи могут также определить различные полномочия для сеансов Internet разного типа. Браузеры, не совместимые со стандартом CERN, требуют некоторой специальной конфигурации на стороне клиента.
Помимо поддержки proxy-стандарта CERN, практически на любом клиенте Proxy Server компании Microsoft включает в состав посредника для Winsock, не требующего никаких изменений на стороне клиента и поддерживающего широкий круг протоколов, в том числе протоколы, не ориентированные на Web, в частности поточное аудио и видео. Посредник для Winsock аналогичен Socks (шлюзу TCP для связи авторизованных клиентов с Socks-совместимым сервером или брандмауэром).
С помощью посредника для Winsock вы можете получить удаленный доступ к Winsock-приложениям через proxy-сервер. Эти приложения включают в себя поточное аудио и видео, такое как RealAudio. Существующая версия Socks не поддерживает эти виды приложений.
Для реального обеспечения посреднических функций Proxy Server компании Netscape так же, как брандмауэры и proxy-серверы других производителей, поддерживает и Socks. В результате Socks-совместимые клиенты получают возможность организовывать туннель через брандмауэр.
Netscape включает поддержку Socks в свои серверы для того, чтобы поддерживать такие протоколы, как telnet, чего сам продукт не обеспечивает. Применение Socks открывает пользователям доступ к широкому кругу протоколов через proxy-сервер и брандмауэр".
После открытия сеанса Internet, proxy-сервер обеспечивает защищенность коммуникаций. В конце концов, чего стоят скрытые внутренние IP-адреса, если сеанс Internet не имеет никакой защиты? Proxy Server компании Netscape использует Secure Sockets Layer (SSL), разработанный этой компанией, для шифрования сообщений между клиентом и удаленным сервером. Proxy-серверы обеих компаний используют SSL посредством организации SSL-туннелей, технологии для защищенного обмена сообщениями, например HTTP и NNTP (Network News Transport Protocol), через большинство брандмауэров.
Клиенты, использующие Netscape Navigator, уже поддерживают SSL и могут взаимодействовать с удаленным сервером непосредственно через брандмауэр, но Proxy Server компании Netscape также позволяет клиентам, не ориентированным на SSL, осуществлять защищенные коммуникации с удаленными хостами через Internet. При таком подходе proxy-сервер запрашивается об организации защищенного соединения по поручению незащищенного клиента. Клиент связывается с proxy с помощью стандартного HTTP, а посредник взаимодействует с удаленным узлом, используя SSL, так что канал через Internet в любом случае оказывается защищенным.
Предложенный Microsoft продукт поддерживает SSL и в части шифрования данных, но это вовсе не означает абсолютной надежности. Несмотря на то, что Proxy Server компании Netscape поддерживает SSL, брандмауэр все равно необходим. Если трафик поступает в сеть компании извне, развертывание proxy-сервера без брандмауэра не имеет смысла, поскольку вы не можете возложить на proxy-сервер задачу фильтрации пакетов и другие, традиционно осуществляемые брандмауэром, функции.
Учитывая это, proxy-сервер компании Microsoft реализует некоторые дополнительные стратегии защиты. Во-первых, поскольку Proxy Server работает непосредственно под Windows NT Server, а оба эти продукта тесно интегрированы, proxy-сервер наследует все имеющиеся в NT функции защиты. Proxy Server компании Microsoft также имеет таблицу локальных адресов, которую вы можете конфигурировать для распознавания внутренних IP-адресов, когда устанавливаете proxy-сервер. Таким образом, proxy-сервер знает, какие запросы поступают из внутренней сети компании.
3.1.2. Кэширование Web-трафика
Помимо действия в интересах клиентов, желающих получить доступ к услугам Internet, proxy-серверы, в отличие от брандмауэров, могут кэшировать информационное наполнение Internet. Многие компании имеют сотни или даже тысячи конечных пользователей, каждый из которых работает с Internet. Когда даже часть этих пользователей обращается в Internet одновременно, многие сети испытывают нехватку пропускной способности. Представьте, что все пользователи одновременно загружают страницы Web с большим количеством графической информации, или обращаются к узлам по анонимным ftp, или связываются с группами новостей Usenet в течение нескольких минут и даже часов.
По утверждению фирмы Nеtscape Communications, от 30 до 60% всех НТТР- и FTP-запросов в Интернет это повторяющиеся запросы пользователей, которым нужна информация, уже проходившая через Интернет-шлюз их компании[6]. Идея кэширования с помощью proxy серверов заключается в том, чтобы сохранять наиболее часто запрашиваемые данные и таким образом свести объем трафика к минимуму.
Кроме того, наличие поддержки proxy серверов браузерами позволяет реализовать определенные функции, такие, как тиражирование узла (репликация) и балансировка загрузки, которые обеспечивают более эффективную работу с внутренней структурой серверов и тем самым делают применение proxy серверов еще более выгодным.
Установив proxy-сервер на отдельной машине, компании могут полностью использовать дисковое пространство этого сервера для сохранения "под рукой" наиболее популярных страниц Web или URL.
В большинстве случаев proxy сервер устанавливается в месте соединения локальной сети с Интернет, куда поступают все запросы. Функция кэширования реализуется непосредственно для FTP-, gopher- и НТТР-трафика.
У производителей имеются свои методы определения, какой трафик кэшировать. Например, Microsoft Proxy Server по умолчанию не кэширует НТТР-трафик, если в URL включен символ ? , характерный для поисковых запросов. Он также игнорирует любой защищенный трафик, который поступает к пользователю посредством протокола Secure Sockets Layer (SSL).
Наоборот, Netscape Proxy Server кэширует SSL-трафик. Для получения доступа к данным, хранящимся на proxy сервере, необходима повторная аутентификация, но, несмотря на это, продукт Netscape не требует повторного обращения к первоначальному источнику.
Предложенный Netscape продукт применяет модель, которая обеспечивает тиражирование как по требованию, так и по команде.
Тиражирование по требованию типично для большинства операций кэширования. Когда пользователь обращается к удаленному серверу Web, страница кэшируется на локальном proxy-сервере. Если любой другой пользователь снова обращается к этой странице, кэшированная копия сравнивается с текущей версией, вносятся необходимые изменения, и кэшированная версия пересылается клиенту. Это сокращает как время отклика для клиента, так и сетевой трафик.
При тиражировании по команде proxy-сервер автоматически обновляет информацию, хранящуюся в кэш-памяти. Для того чтобы сократить Internet-трафик, приведение определенной страницы в соответствии с последней ее версией может осуществляться в нерабочее время.
В то время как Proxy Server компании Netscape кэширует информационное наполнение, вы можете развернуть Catalog Server этой же компании для индексирования, поиска и просмотра всей информации в Intranet. И Proxy Server, и Catalog Server являются компонентами семейства серверов SuiteSpot компании Netscape.
Proxy-сервер компании Microsoft также предлагает эту интеллектуальную функцию кэширования информационного наполнения. Продукт позволяет задавать параметры кэширования через Internet Information Server (IIS) компании Microsoft (т. е. Web-сервер этой компании).
В состав Proxy Server компании Microsoft входит также инструментарий Auto Dial для автоматической связи пользователей с оператором Internet в том случае, когда требуемая информация не хранится в локальном кэше. Как только Auto Dial получает требуемую информацию, он автоматически отсоединяется, что позволяет сократить затраты на оплату сеанса связи.
В больших организациях proxy серверы можно устанавливать двумя способами. Первый и наиболее очевидный из них установка его на Интернет-шлюзе, в результате чего благодаря повторяющимся запросам объем трафика снижается, а полоса пропускания становится доступной для других нужд. Другое популярное место установки серверов, характерное для частных корпоративных сетей, на обоих концах арендованной линии[4]. Обычно территориально распределенные организации, использующие медленные арендованные линии, выделяют полосу пропускания, которой достаточно только для работы самых важных приложений. При наличии нескольких proxy серверов, установленных в одной организации, репликация данных снижает объем сетевого трафика, выходящего за рамки локальной сети, и позволяет распределять данные по нескольким различным proxy серверам (внешним и внутренним), территориально наиболее близким к пользователю.
Nеtscape Proxy Server предлагает иерархическую репликацию, связывающую серверы в цепочку. Данные постоянно копируются с сервера на сервер, а запрос пользователя передается proxy серверам по цепочке до нахождения копии искомой Web-страницы. Если ее нет на ближайшем к пользователю сервере, она немедленно копируется туда. Иерархическая репликация привлекательна для географически удаленных офисов, которые посылают свои запросы к Интернет и интрасети через одну центральную точку.
Web-ресурсы удаленного офиса с легкостью могут быть отображены установленными в центральном офисе proxy серверами, и наоборот.
В настоящее время Microsoft Proxy Server (версия 2.0 beta) не предлагает никаких функций репликации серверов[4]. Тем не менее он обеспечивает иерархическое кэширование и организацию кэш-массива - уникальную функцию Microsoft. Она также позволяет администраторам рассматривать кластер proxy серверов как одно логическое устройство с единым виртуальным кэшем. Каждый сервер кэш-массива постоянно передает запросы другим proxy серверам. Таким образом, загрузка может распределяться на несколько серверов, так как элементы кэш-массива являются частями одного большого кэша. Это позволяет снизить суммарный объем необходимого дискового пространства всех proxy серверов и управлять кэшем из одной центральной точки.
Совмещение иерархической репликации и кэш-массива прекрасное решение для тех организаций, которым необходимо обслуживать пользователей не только центрального офиса, но и удаленных. Организовав в центральном офисе кэш-массив из нескольких серверов, можно обеспечить простое и в то же время централизованное управление им. При использовании иерархической репликации в удаленных офисах proxy серверы, находящиеся там, смогут копировать только нужную информацию, сохраняя большую автономность.
Фирма Microsoft представила IETF свой проект протокола Cache Array Routing Protocol (CARP) протокол CARP 1.0. Он работает совместно с Microsoft Proxy Server 2.0 и для определения элемента кэш-массива, из которого нужно получить необходимые данные, позволяет Web-браузеру использовать метод хэш-маршрутизации. Вместо того чтобы связаться с proxy сервером, а потом ждать переадресации к серверу, содержащему нужный кэш, клиент определит направление пути автоматически. Microsoft Proxy Server позволяет расположить кэш так близко к пользователю, насколько это возможно, например как показано на рис. 3.2:
Рис. 3.2. Пример использования proxy серверов для связи удалённых офисов с главным.
Proxy серверы Microsoft и Netscape также включают в себя функции пакетного обновления кэша. Администратор proxy сервера может составить расписание загрузки нужных узлов. Например, с помощью этого метода можно получать свежие копии наиболее часто посещаемых узлов, не обновляя кэш вручную. Используя сервер Netscape, можно регулировать глубину отслеживаемых гиперссылок при записи в кэш. Эта функция способна облегчить работу администраторов, поддерживающих proxy серверы, в периоды наиболее интенсивного доступа.
Репликация кэша становится очень полезной для сетевых администраторов, обремененных высвобождением полосы пропускания и пытающихся снизить избыточную утилизацию сети, вызванную новыми push-технологиями, включая PointCast Network, Nеtscape NetCaster и Microsoft Internet Explorer. При обновлении кэша согласно расписанию данные располагаются ближе к пользователю, сокращая тем самым нагрузку на сеть.
Кроме обычного кэширования всех страниц подряд, proxy серверы могут выборочно кэшировать наиболее часто передаваемые данные. И хотя на первый взгляд это кажется бесполезным, на самом же деле для поддержания свежего кэша и для того, чтобы определить, откуда приходит повторный трафик, администраторам нередко приходится просматривать длинные, замысловатые файлы регистрации и расписание обновления данных. Фирма Microsoft включила в свой proxy сервер функцию интеллектуального кэширования с целью определения, какой кэш нужно сохранять, используя показатель частоты посещений.
Возможности кэширования proxy-сервера пригодны и для использования в иных целях. Помимо предоставления страниц внутренним пользователям для ускорения и сокращения трафика proxy-сервер может также кэшировать страницы принадлежащего компании сервера Web, к которым чаще всего обращаются внешние пользователи. Когда сотни внешних пользователей ежедневно обращаются к серверу Web компании, proxy-сервер может разместить наиболее часто используемые страницы перед сервером Web и предоставлять их, не обращаясь постоянно к серверу. Этот метод позволяет снизить рабочую нагрузку на сервер Web.
Кэширование также предполагает сохранение информации об URL, к которым обращаются чаще всего, и определение срока обновления копии.
3.1.3. Использование продуктов независимых производителей совместно с proxy серверами
Помимо сохранения информации об URL proxy-серверы могут быть интегрированы с продуктами независимых производителей для контроля и фильтрации трафика Internet, как попадающего в сеть компании, так и исходящего из нее. Руководство компании может, например, решить запретить сотрудникам получать во время рабочего дня бесплатный доступ к службам Internet, не связанным напрямую с их служебными обязанностями, поскольку некоторые сотрудники иногда злоупотребляют своими правами и вместо работы обращаются к таким областям, как спорт, развлечения, эротика, азартные игры и т. п.
Для проверки входящего трафика на предмет наличия вирусов можно использовать и дополнительные модули независимых производителей. На рынке представлен целый ряд продуктов, сканирующих входящий трафик HTTP и ftp, а также вложения в почтовых сообщениях, благодаря этому инфицированный трафик Internet будет остановлен прежде, чем он сможет попасть на настольные системы в частной сети.
3.1.4. Управление proxy серверами
Как и многие другие виды сетевых серверов, proxy-серверы требуют конфигурации и постоянного управления. Требования к системе компании Netscape довольно незначительны, и продукт работает с самыми разными серверами Web. Proxy Server этой компании работает как на платформе Intel, так и с некоторыми видами Unix: OSF компании Digital, HP-UX, AIX, IRIX компании Silicon Graphics, а также SunOS и Solaris компании Sun Microsystems[10]. Поскольку многие брандмауэры лучше приспособлены для работы под Unix, применение proxy-сервера с аналогичной операционной системой облегчает установку и администрирование.
Управлять продуктом Netscape можно из любого SSL-совместимого браузера, а кроме того, продукт поддерживает SNMP-1, SNMP-2 и возможность автоматической конфигурации. Параметры сервера поддаются тонкой настройке. Например, пользователи, которым требуются URL с расширением .com, могут быть направлены к одному proxy-серверу, а тем, кому нужны адреса, оканчивающиеся на .edu - к другому. В случае возникновения сбоя на одном сервере, его место занимает другой proxy-сервер.
Продукт Microsoft работает исключительно под Windows NT Server 4.0. Вы можете использовать диалоговые рамки для конфигурации продукта и определения таблицы локальных адресов. Управление продуктом осуществляется с помощью инструментария Internet Service Manager, благодаря которому и серверами Web, и proxy-серверами можно управлять из одной точки. И поскольку NT поддерживает SNMP, proxy-сервер также наследует эту поддержку.
Хотя во время тестирования 20 тыс. пользователей Microsoft работали с одним proxy-сервером, такую ситуацию нельзя считать нормальной. Microsoft рекомендует развертывать один proxy-сервер для каждых 500 пользователей. Это число может варьироваться в некоторых пределах, но при таком соотношении вы вполне можете использовать кэширование и быть уверенным в том, что места на диске хватит. Но для большего числа транзакций в день вам потребуется больший объем дискового пространства.
Чтобы снизить трафик в Internet, оператору лучше установить proxy-сервер в каждом локальном центре и на каждом шлюзе Internet. Операторы Internet наиболее заинтересованы в предлагаемой proxy-серверами возможности кэширования.
Site of Information
Technologies Designed by inftech@webservis.ru. |
|