Microsoft Proxy Server
(Продолжительность занятия 20 минут)
Microsoft Proxy Server — это компонент защиты сети, который обеспечивает безопасный доступ пользователей защищенной локальной сети в Интернет. Он поддерживает все протоколы Интернета, трансляцию потоков мультимедиа-информации и Internet Relay Chat (IRC). Кроме того, он кэширует часто используемые страницы на сервере для повышения эффективности доступа и снижения трафи-ка. На этом занятии Вы узнаете, как работает Proxy Server, и познакомитесь с преимуществами его применения.
Изучив материал этого занятия, Вы сможете:
- объяснить как Proxy Server обеспечивает безопасность соединения между локальной сетью и Интернетом;
- перечислить сервисы Proxy Server ;
- описать преимущества использования Proxy Server.
Proxy Server* устанавливается поверх IIS и расширяет его возможности, позволяя клиентам локальной сети получить доступ к Интернету, не поступаясь безопасностью. Proxy Server обеспечивает защиту путем агрегирования IP-адресов — использования одного IP-адреса для всех сеансов доступа в Интернет.
Принципы работы Proxy Server
Proxy Server представляет собой защищенный шлюз между локальной сетью и Ин-тернетом. Шлюз — это программный или аппаратный компонент, связывающий гетерогенные сети. Proxy Server обеспечивает доступ в Интернет для группы, подразделения или всей интрасети и одновременно в качестве безопасного шлюза ограничивает доступ неавторизованных пользователей в локальную сеть из Интернета (рис. 3.4).
Proxy Server поддерживает доступ рабочих станций к удаленным сервисам в Интернете. Для его работы Вам нужно подобрать аппаратное решение, которое обеспечит адекватную полосу пропускания, и выбрать необходимый уровень безопасности для Вашей локальной сети.
В состав Proxy Server входит три представительских сервиса: Web Proxy, WinSock Proxy и SOCKS Proxy.
- Web Proxy обеспечивает поддержку протоколов HTTP, FTP Read и Gopher для компьютеров локальной сети, на которых установлен TCP/IP.
- WinSock Proxy поддерживает клиентские приложения Windows Sockets (например, Telnet и RealAudio) для компьютеров локальной сети, на которых установлен протокол TCP/IP или IPX/SPX.
Рис.3.4 Доступ в Интернет через Proxy Server
- SOCKS Proxy гарантирует работу клиентских приложений SOCKS версии 4.3а (например, FTP, Gopher и Telnet) для компьютеров локальной сети, на которых установлен протокол TCP/IP. Этот сервис обеспечивает доступ к большинству функций WinSock Proxy всем клиентам локальной сети, включая компьютеры под управлением ОС UNIX и Macintosh. SOCKS версии 4.3а поддерживает меньший набор функций, чем WinSock Proxy — в частности, он не работает с протоколами на основе транспорта UDP и у него нет механизма сильной аутентификации для UNIX- и Macintosh-клиентов.
Для работы Proxy Server 2.0 необходимы Microsoft Windows NT Server версии 4.0 с сервисным пакетом 3 (или более поздним) и Internet Information Server (3.0 или более поздняя версия). Компьютер также должен иметь как минимум один сетевой адаптер, подключенный к локальной сети, и еще один сетевой интерфейс (сетевой адаптер, адаптер ISDN или модем) для доступа к внешней сети (например, в Интернет).
Преимущества Proxy Server
Несомненные достоинства Proxy Server — безопасность, разделяемая полоса пропускания, увеличение возможностей клиента, кэширование, поддержка Web-публикаций, соответствие индустриальным стандартам и интеграция с Windows NT Server и IIS.
Брандмауэр
Proxy Server предотвращает неавторизованный доступ в частную сеть из общедоступной внешней сети и маскирует IP-адреса частной сети от пользователей Ин-тернета. Он поддерживает защиту на уровне пользователя и аутентификацию по схеме Challenge/Response Windows NT. Данные шифруются посредством туннели-рования протокола SSL. Вот каковы преимущества защиты локальной сети с помощью Proxy Server:
- обработка всех входящих и исходящих запросов;
- динамическое и/или статическое фильтрование пакетов;
- управление доступом в Интернет из локальной сети;
- ограничение доступа из локальной сети к заданным узлам Интернета;
- возможность ограничения сервисов и/или портов, которые могут использовать Интернет (например, разрешить только FTP, Telnet и HTTP).
Разделяемая полоса пропускания
Proxy Server предоставляет каждому клиенту не отдельный канал доступа в Интернет, а общее соединение. Рассмотрим пример: пусть каждому из 20 000 сотрудников компании требуется доступ к Интернету, и Вы решаете эту проблему, выделяя каждому из них аналоговую телефонную линию и модем со скоростью 28 800 бит/с. При этом помимо затрат на прокладку телефонной линии и покупку модемов компании придется ежемесячно платить за использование телефонной линии и подключение каждого сотрудника к поставщику услуг Интернета (Internet Service Provider, ISP).
Альтернатива этому — аренда 10-мегабитной линии (класса Т3) с фиксированной арендной оплатой, что при гораздо меньших затратах обеспечит всем сотрудникам более быстрый и надежный доступ в Интернет.
Вот еще один пример, демонстрирующий преимущества общей полосы пропускания: маленькая компания, имеющая множество телефонных линий для доступа к Интернету, может переключиться на одну ISDN-линию с поддержкой общего доступа средствами Proxy Server. Более того, при применении Proxy Server Вы сумеете с большей эффективностью отслеживать доступ в Интернет, чем при наличии множества телефонных линий.
Доступ в Интернет с каждого клиентского компьютера
Все клиентские компьютеры локальной сети получают доступ в Интернет и к большинству приложений WinSock и SOCKS, причем для этого достаточно протокола IPX/SPX (или TCP/IP через Proxy Server). Постоянный IP-адрес нужен только компьютеру, на котором работает Proxy Server.
Кэширование
Содержимое часто используемых HTTP- и FTP-узлов можно кэшировать на компьютере под управлением Proxy Server (или посредством распределенного кэша на нескольких таких компьютерах). Кэширование уменьшает время ответа на запрос клиента и снижает Интернет-трафик.
Proxy Server поддерживает два типа распределенного кэширования: массивы и цепочки.
- Массивы позволяют администрировать группу компьютеров с Proxy Server как единое целое. Это обеспечивает баланс загрузки, отказоустойчивость и масшта-бируемость. Например, производительность клиентского компьютера заметно увеличивается, если кэширование выполняется на уровне рабочей группы, а не на уровне предприятия. По мере роста сети можно увеличить производительность, добавив в массив новые компьютеры под управлением Proxy Server.
- Цепочки — это иерархическое соединение нескольких компьютеров с Proxy Server. Этот метод также повышает отказоустойчивость и распределяет загрузку сервера благодаря пересылке клиентского запроса по цепочке до тех пор, пока не будет найден запрашиваемый объект.
Поддержка Web-публикаций
Методы обратной доверенности и обратного ведения Proxy Server позволяют публиковать информацию в Интернете, не поступаясь безопасностью закрытой сети.
- Обратная доверенность позволяет Proxy Server принимать запросы и отвечать на них от имени Web-сервера, эффективно пряча Web-сервер от пользователей Интернета.
- Обратное ведение расширяет возможности метода обратной доверенности, обеспечивая безопасную публикацию информации для нескольких Web-серверов.
Поддержка индустриальных стандартов
Proxy Server поддерживает широкий спектр индустриальных стандартов, включая:
- HTTP;
- Windows Sockets;
- SOCKS версии 4.3а;
- • SSL.
Интеграция с Windows NT Server и US
Proxy Server интегрирован с сетевыми и административными интерфейсами и средствами защиты ОС Windows NT Server и Internet Information Server. Это позволяет Proxy Server воспользоваться всеми достоинствами Windows NT Server и IIS, включая средства администрирования, производительность и масштабируемость.
Резюме
Proxy Server — это сетевой компонент, реализующий защищенный шлюз между Интернетом и закрытой корпоративной сетью. Он обеспечивает доступ в Интер-нет для группы, подразделения или всей интрасети, одновременно в качестве безопасного шлюза ограничивая доступ в локальную сеть из Интернета. Преимущества Proxy Server:
- брандмауэр;
- разделяемая полоса пропускания;
- доступ к Интернету для всех клиентских компьютеров;
- кэширование;
- поддержка Web-публикаций;
- поддержка индустриальных стандартов;
- интеграция с Windows NT Server и I IS.
* - Назначение и роль Proxy Server станет яснее, если вспомнить значение слова Proxy - «представитель», «заместитель».