Занятие 5. Microsoft Proxy Server

(Продолжительность занятия 20 минут)

Microsoft Proxy Server — это компонент защиты сети, который обеспечивает безопасный доступ пользователей защищенной локальной сети в Интернет. Он поддерживает все протоколы Интернета, трансляцию потоков мультимедиа-информации и Internet Relay Chat (IRC). Кроме того, он кэширует часто используемые страницы на сервере для повышения эффективности доступа и снижения трафи-ка. На этом занятии Вы узнаете, как работает Proxy Server, и познакомитесь с преимуществами его применения.

• объяснить как Proxy Server обеспечивает безопасность соединения между локальной сетью и Интернетом;
• перечислить сервисы Proxy Server ;
• описать преимущества использования Proxy Server.

Proxy Server* устанавливается поверх IIS и расширяет его возможности, позволяя клиентам локальной сети получить доступ к Интернету, не поступаясь безопасностью. Proxy Server обеспечивает защиту путем агрегирования IP-адресов — использования одного IP-адреса для всех сеансов доступа в Интернет.

Принципы работы Proxy Server

Proxy Server представляет собой защищенный шлюз между локальной сетью и Ин-тернетом. Шлюз — это программный или аппаратный компонент, связывающий гетерогенные сети. Proxy Server обеспечивает доступ в Интернет для группы, подразделения или всей интрасети и одновременно в качестве безопасного шлюза ограничивает доступ неавторизованных пользователей в локальную сеть из Интернета (рис. 3.4).

Proxy Server поддерживает доступ рабочих станций к удаленным сервисам в Интернете. Для его работы Вам нужно подобрать аппаратное решение, которое обеспечит адекватную полосу пропускания, и выбрать необходимый уровень безопасности для Вашей локальной сети.

В состав Proxy Server входит три представительских сервиса: Web Proxy, WinSock Proxy и SOCKS Proxy.

• Web Proxy обеспечивает поддержку протоколов HTTP, FTP Read и Gopher для компьютеров локальной сети, на которых установлен TCP/IP.
• WinSock Proxy поддерживает клиентские приложения Windows Sockets (например, Telnet и RealAudio) для компьютеров локальной сети, на которых установлен протокол TCP/IP или IPX/SPX.

Рис.3.4 Доступ в Интернет через Proxy Server

• SOCKS Proxy гарантирует работу клиентских приложений SOCKS версии 4.3а (например, FTP, Gopher и Telnet) для компьютеров локальной сети, на которых установлен протокол TCP/IP. Этот сервис обеспечивает доступ к большинству функций WinSock Proxy всем клиентам локальной сети, включая компьютеры под управлением ОС UNIX и Macintosh. SOCKS версии 4.3а поддерживает меньший набор функций, чем WinSock Proxy — в частности, он не работает с протоколами на основе транспорта UDP и у него нет механизма сильной аутентификации для UNIX- и Macintosh-клиентов.

Для работы Proxy Server 2.0 необходимы Microsoft Windows NT Server версии 4.0 с сервисным пакетом 3 (или более поздним) и Internet Information Server (3.0 или более поздняя версия). Компьютер также должен иметь как минимум один сетевой адаптер, подключенный к локальной сети, и еще один сетевой интерфейс (сетевой адаптер, адаптер ISDN или модем) для доступа к внешней сети (например, в Интернет).

Преимущества Proxy Server

Несомненные достоинства Proxy Server — безопасность, разделяемая полоса пропускания, увеличение возможностей клиента, кэширование, поддержка Web-публикаций, соответствие индустриальным стандартам и интеграция с Windows NT Server и IIS.

Брандмауэр

Proxy Server предотвращает неавторизованный доступ в частную сеть из общедоступной внешней сети и маскирует IP-адреса частной сети от пользователей Ин-тернета. Он поддерживает защиту на уровне пользователя и аутентификацию по схеме Challenge/Response Windows NT. Данные шифруются посредством туннели-рования протокола SSL. Вот каковы преимущества защиты локальной сети с помощью Proxy Server:

• обработка всех входящих и исходящих запросов;
• динамическое и/или статическое фильтрование пакетов;
• управление доступом в Интернет из локальной сети;
• ограничение доступа из локальной сети к заданным узлам Интернета;
• возможность ограничения сервисов и/или портов, которые могут использовать Интернет (например, разрешить только FTP, Telnet и HTTP).

Разделяемая полоса пропускания

Proxy Server предоставляет каждому клиенту не отдельный канал доступа в Интернет, а общее соединение. Рассмотрим пример: пусть каждому из 20 000 сотрудников компании требуется доступ к Интернету, и Вы решаете эту проблему, выделяя каждому из них аналоговую телефонную линию и модем со скоростью 28 800 бит/с. При этом помимо затрат на прокладку телефонной линии и покупку модемов компании придется ежемесячно платить за использование телефонной линии и подключение каждого сотрудника к поставщику услуг Интернета (Internet Service Provider, ISP).

Альтернатива этому — аренда 10-мегабитной линии (класса Т3) с фиксированной арендной оплатой, что при гораздо меньших затратах обеспечит всем сотрудникам более быстрый и надежный доступ в Интернет.

Вот еще один пример, демонстрирующий преимущества общей полосы пропускания: маленькая компания, имеющая множество телефонных линий для доступа к Интернету, может переключиться на одну ISDN-линию с поддержкой общего доступа средствами Proxy Server. Более того, при применении Proxy Server Вы сумеете с большей эффективностью отслеживать доступ в Интернет, чем при наличии множества телефонных линий.

Доступ в Интернет с каждого клиентского компьютера

Все клиентские компьютеры локальной сети получают доступ в Интернет и к большинству приложений WinSock и SOCKS, причем для этого достаточно протокола IPX/SPX (или TCP/IP через Proxy Server). Постоянный IP-адрес нужен только компьютеру, на котором работает Proxy Server.

Кэширование

Содержимое часто используемых HTTP- и FTP-узлов можно кэшировать на компьютере под управлением Proxy Server (или посредством распределенного кэша на нескольких таких компьютерах). Кэширование уменьшает время ответа на запрос клиента и снижает Интернет-трафик.

Proxy Server поддерживает два типа распределенного кэширования: массивы и цепочки.

• Массивы позволяют администрировать группу компьютеров с Proxy Server как единое целое. Это обеспечивает баланс загрузки, отказоустойчивость и масшта-бируемость. Например, производительность клиентского компьютера заметно увеличивается, если кэширование выполняется на уровне рабочей группы, а не на уровне предприятия. По мере роста сети можно увеличить производительность, добавив в массив новые компьютеры под управлением Proxy Server.
• Цепочки — это иерархическое соединение нескольких компьютеров с Proxy Server. Этот метод также повышает отказоустойчивость и распределяет загрузку сервера благодаря пересылке клиентского запроса по цепочке до тех пор, пока не будет найден запрашиваемый объект.

Поддержка Web-публикаций

Методы обратной доверенности и обратного ведения Proxy Server позволяют публиковать информацию в Интернете, не поступаясь безопасностью закрытой сети.

• Обратная доверенность позволяет Proxy Server принимать запросы и отвечать на них от имени Web-сервера, эффективно пряча Web-сервер от пользователей Интернета.
• Обратное ведение расширяет возможности метода обратной доверенности, обеспечивая безопасную публикацию информации для нескольких Web-серверов.

Поддержка индустриальных стандартов

Proxy Server поддерживает широкий спектр индустриальных стандартов, включая:

• HTTP;
• Windows Sockets;
• SOCKS версии 4.3а;
• • SSL.

Интеграция с Windows NT Server и US

Proxy Server интегрирован с сетевыми и административными интерфейсами и средствами защиты ОС Windows NT Server и Internet Information Server. Это позволяет Proxy Server воспользоваться всеми достоинствами Windows NT Server и IIS, включая средства администрирования, производительность и масштабируемость.

Резюме

Proxy Server — это сетевой компонент, реализующий защищенный шлюз между Интернетом и закрытой корпоративной сетью. Он обеспечивает доступ в Интер-нет для группы, подразделения или всей интрасети, одновременно в качестве безопасного шлюза ограничивая доступ в локальную сеть из Интернета. Преимущества Proxy Server:

• брандмауэр;
• разделяемая полоса пропускания;
• доступ к Интернету для всех клиентских компьютеров;
• кэширование;
• поддержка Web-публикаций;
• поддержка индустриальных стандартов;
• интеграция с Windows NT Server и I IS.