19. Настройка WWW proxy

В этой главе показано, что представляет собой и как настраивается WWW proxy.

19.1 Введение

Что такое WWW proxy в межсетевом экране Aker ?

WWW proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с протоколами, которые поддерживаются WWW (World Wide Web) серверами, такими как HTTP, HTTPS, FTP и Gopher.

Основная функция WWW proxy состоит в управлении доступом внутренних пользователей к Интернет; они, например, определяют каким пользователям можно позволить доступ и к каким страницам, кто может передавать файлы и т.д. Более того, они могу блокировать Active-XTM и JavaTM applets, которые могут иногда представлять опасность.

WWW proxy относится к непрозрачными proxy (смотрите главу Работа с proxy серверами ), поэтому использующие их клиенты должны уметь работать через proxy и быть соответственно настроенными. Это требование не ведет к появлению каких-либо существенных проблем, поскольку практически все клиенты (браузеры) это поддерживают. Необходимые настройки клиентов выполняется просто и быстро.

Что такое WWW кэш сервер?

Кэш-сервер является программой, которая предназначена для ускорения доступа к страницам Интернет. Для этого кэш-сервер хранит у себя наиболее часто запрашиваемые страницы и каждый раз, когда он получает новый запрос, он проверяет, не хранится ли у него запрашиваемая страница. Если страница присутствует , она немедленно высылается без обмена с внешним сервером. Если нет, страница загружается обычным образом с сервера и сохраняется, что обеспечивает быстрый доступ к ней при новых запросах.

Работа WWW proxy межсетевого экрана Aker с кэш-сервером

Межсетевой экран Aker не обеспечивает кэширования запросов в своем WWW proxy, однако его можно настроить для работы с любым кэш-сервером, использующим стандартные механизмы. Кэш-сервер может быть запущен на том же хосте, на котором установлен межсетевой экран или на другом хосте.

Если кэш-сервер запущен на другом хосте (рекомендованный вариант), этот хост должен находиться в подсети, отличной от той, в которую входят клиенты, иначе трудно контролировать безопасность. Такая конфигурация приведена на следующем рисунке:

Для гарантии защиты при такой конфигурации необходимо настроить пакетный фильтр (см. главу Пакетный фильтр с контролем состояния ) таким образом, чтобы хост, на котором запущен кэш-сервер, был единственной машиной, имеющей доступ к WWW сервисам и клиенты не имели бы право напрямую к нему обращаться. После этого необходимо настроить все клиентские хосты для работы через WWW proxy межсетевого экрана, а также настроить сам межсетевой экран для работы с кэш-сервером.

Использование WWW proxy

Для использования WWW proxy необходимо выполнить следующие действия:
  1. Создать необходимые профили доступа (этот вопрос рассматривается в разделе Создание профилей доступа ).
  2. Отредактировать параметры WWW proxy ( см. раздел Редактирование параметров WWW proxy ).
  3. Создать правила фильтрации, разрешающие клиентам доступ к proxy (см. главу  Пакетный фильтр с контролем состояния).

19.2 Создание профилей доступа

Настройку WWW proxy можно разбить на два этапа: сначала создаются универсальные профили доступа, а затем устанавливается соответствие между этими профилями и группами пользователей.

Профили доступа позволяют определить, какие Web страницы доступны для просмотра и какой вид доступа разрешен (например, можно создать профиль, не позволяющий передач файлов через FTP). Можно создавать любое необходимое количество профилей доступа, однако, для использования WWW proxy обязательно должен быть создан хоть один профиль.

Для доступа к окну профилей доступа необходимо:

Окно профилей доступа WWW 

Окно профилей содержит все WWW профили доступа, определенные в межсетевом экране. Оно состоит из списка, в котором каждый профиль показан на отдельной строке.

Для выполнения любого действия с конкретным профилем нажмите правой клавишей мыши на этом профиле. Откроется следующее меню (Это меню возникает всегда при нажатии правой клавиши мыши, даже если нет выделенных профилей. В этом случае доступны только опции Add и Paste.):

Указание: Можно получить доступ ко всем этим опциям через инструментальное меню в верхней части окна. В этом случае сначала выделите профиль, нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.

Редактирование параметров WWW proxy).

В случае добавления или редактирования профилей откроется упомянутое выше окно свойств:

Окно свойств для профилей доступа WWW

Это окно состоит из четырех папок: первая определяет общие опции профиля, а другие - опции фильтрации для каждого протокола, который поддерживается WWW (HTTP/HTTPS, FTP и Gopher).

В общих опциях профиля определяются следующие поля:

Name: Имя профиля доступа. Это имя будет фигурировать в списке профилей (показанном выше) и в окне настройки WWW proxy. Не может существовать двух профилей с одинаковыми именами.

URLs with IP address are allowed:Если эта опция задана, будет разрешен доступ к URLs с IP адресами вместо имен (например, http://127.0.0.1/index.shtmll). Если эта опция не установлена, доступ возможен только к URL, заданным с помощью имен.

Block: Это поле определяет специальную фильтрацию для WWW страниц, блокируя (или нет) те характеристики, которые считаются опасными для некоторых систем. Она в свою очередь состоит из трех опций, которые можно установить независимо: Javascript, Java и Active X. Если какая-либо из этих опций установлена, соответствующие апплеты будут фильтроваться.

Опции фильтрации WWW позволяют определить правила фильтрации URL для протоколов HTTP/HTTPS, FTP и Gopher. Для упрощения определения этих правил фильтрации созданы три папки с одинаковыми форматами, каждая папка предназначена для своего протокола.

Чтобы проиллюстрировать создание правил, выберем папку для протокола HTTP. Ее формат показан ниже:

Эта папка состоит из списка, в котором каждое правило показано в отдельной строке. Кроме этой строки, существует поле Default Action, в котором можно определить действие, выполняемое, в случае когда адрес, к которому клиент хочет получить доступ, не соответствует никакому правилу фильтрации: если установлена опция accept, доступ будет разрешен, если опция reject, межсетевой экран откажет в доступе.

Чтобы выполнить любое действие на конкретном правиле, нажмите правой клавишей мыши на этом правиле. Откроется следующее меню (это меню появляется всегда, если нажать правой клавишей мыши, даже если нет выделенных правил. В этом случае будут доступны только опции Add и Paste).

Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное над списком. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию.

В случае добавления или редактирования правил открывается упомянутое выше окно редактирования:

Окно редактирования для WWW правил

В этом окне можно настроить все параметры, связанные с правилом фильтрации для WWW proxy. Для определения правила нужно заполнить следующие поля::

Action: Определяет действие, которое выполняется для всех адресов, которые соответствуют правилу. Значение accept позволяет получить доступ к URL. Значение reject запрещает доступ.

Operation: Тип поиска, указанный пользователем, который выполняется с URL. Эта опция содержит следующие варианты выбора:

Text: Подлежащее поиску выражение. Это поле содержит последовательный текст, который сравнивается с URL в соответствии с правилами, определенными в поле operation.

19.3 Редактирование параметров WWW proxy

Для использования WWW proxy необходимо указать некоторые параметры, определяющие основные характеристики его работы. Эти определения производятся в окне настройки WWW proxy. Для получения доступа к этому окну надо выполнить следующие шаги:

Окно настройки параметров WWW proxy

Значения параметров:

Enable cache: Эта опция определяет, будет ли proxy перенаправлять свои запросы кэш-серверу. Если эта опция установлена, все полученные запросы будут передаваться кэш-серверу, на определенный IP адрес и порт. Если нет, WWW proxy будет сам обрабатывать все запросы.

IP: Это поле определяет IP адрес кэш-сервера, которому будут передаваться все запросы, если установлена опция Enable cache.

Port: Это поле определяет порт кэш-сервера, которому будут передаваться все запросы, если установлена опция Enable cache.

Эти параметры регулируют действия WWW proxy для ситуаций, требующих особого внимания. Они состоят из следующих полей:

Read timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждут запроса клиента с момента установления нового соединения. Если этот интервал времени заканчивается, а запроса от клиента не поступает, соединение закрывается.

Response timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждет ответа на запрос, посланный на удаленный WWW сервер или в кэш-сервер, если установлена опция Enable cache . Если за это время от сервера не приходит ответ, соединение закрывается, а клиент получает сообщение об ошибке.

HTTPS timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy может ждать ответа сервера для HTTPS соединений,

Number of processes: Это поле определяет число процессов обработки в WWW proxy, которые остаются активными в ожидании соединений. Так как каждый процесс обрабатывает одно соединение, это поле определяет также максимальное число запросов, которые могут обрабатываться одновременно.
Из-за требований производительности, процессы, связанные с WWW proxy, всегда находятся в активном состоянии, независимо от наличия или отсутствия запросов.

Обычно значение этого поля находится в интервале от 5 до 50 в зависимости от количества клиентов, использующих proxy (следует отметить, что один хост обычно открывает до 4 соединений при получении доступа к единственной странице WWW). Значение 0 блокирует использование proxy.

Эти параметры определяют опции фильтрации proxy. Они состоят из следующих полей:

Default WWW access profile: Определяет имя профиля доступа WWW, которое используется для контроля доступа всех пользователей (в случае, когда не производится аутентификация пользователей) или пользователей, которые не относятся к этому профилю (в случае, когда производится аутентификация пользователей).

Authenticate HTTP: Это поле дает (или не дает) возможность производить аутентификацию пользователей в WWW proxy. Если эта опция установлена, каждый раз, когда пользователь хочет начать сеанс, у него запрашивается идентификатор и пароль, и сеанс начинается, только если пользователь будет аутентифицирован каким-либо аутентификатором.
Если эта опция установлена, нажмите кнопку Access Control, которая откроет окно, в котором можно установить соответствие пользователей или групп с конкретными профилями. Окно контроля доступа WWW

Это окно открывается при нажатии кнопки Access Control в окне настройки WWW proxy, при установленной опции Authenticate HTTP. Окно позволяет администратору установить соответствие между пользователями или группами, зарегистрированными в аутентификаторах, и профилями доступа WWW, зарегистрированными в межсетевом экране. Окно имеет следующий формат:

Чтобы установить соответствие пользователя или группы с определенным профилем доступа, надо сделать следующее:

  1. Выделить аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов. Этот вопрос рассмотрен в главе Настройка параметров аутентификации)).
  2. Выберите необходимого пользователя или группу с помощью соответствующих кнопок, расположенных в поле View.
  3. Нажмите левой клавишой мыши на имени пользователя или группы, для которых устанавливается соответствие с профилем, в списке Group/Users, расположенном ниже списка аутентификаторов.
  4. Нажмите левой клавишей мыши на имени профиля в списке WWW Access Profiles, который будет связан с выделенным пользователем/группой.
  5. Нажмите кнопку Add. Соответствие между пользователем/группой и профилем будет показано в списке в нижней части окна.
Для удаления соответствия между пользователем/группой и профилем выполните следующее:
  1. Выберите необходимое соответствие в списке в нижней части окна.
  2. Нажмите клавишу удаления.
Для изменения позиции какого-либо соответствия внутри списка, проделайте действия:
  1. Выделите перемещаемое соответствие.
  2. Нажмите на одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенное соответствие на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.

Назад | Содержание | Вперед