On-Line Библиотека www.XServer.ru - учебники, книги, статьи, документация, нормативная литература.
       Главная         В избранное         Контакты        Карта сайта   
    Навигация XServer.ru








 

Настройка WWW proxy

В этой главе показано, что представляет собой и как настраивается WWW proxy.

19.1 Введение

Что такое WWW proxy в межсетевом экране Aker ?

WWW proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с протоколами, которые поддерживаются WWW (World Wide Web) серверами, такими как HTTP, HTTPS, FTP и Gopher.

Основная функция WWW proxy состоит в управлении доступом внутренних пользователей к Интернет; они, например, определяют каким пользователям можно позволить доступ и к каким страницам, кто может передавать файлы и т.д. Более того, они могу блокировать Active-XTM и JavaTM applets, которые могут иногда представлять опасность.

WWW proxy относится к непрозрачными proxy (смотрите главу Работа с proxy серверами ), поэтому использующие их клиенты должны уметь работать через proxy и быть соответственно настроенными. Это требование не ведет к появлению каких-либо существенных проблем, поскольку практически все клиенты (браузеры) это поддерживают. Необходимые настройки клиентов выполняется просто и быстро.

Что такое WWW кэш сервер?

Кэш-сервер является программой, которая предназначена для ускорения доступа к страницам Интернет. Для этого кэш-сервер хранит у себя наиболее часто запрашиваемые страницы и каждый раз, когда он получает новый запрос, он проверяет, не хранится ли у него запрашиваемая страница. Если страница присутствует , она немедленно высылается без обмена с внешним сервером. Если нет, страница загружается обычным образом с сервера и сохраняется, что обеспечивает быстрый доступ к ней при новых запросах.

Работа WWW proxy межсетевого экрана Aker с кэш-сервером

Межсетевой экран Aker не обеспечивает кэширования запросов в своем WWW proxy, однако его можно настроить для работы с любым кэш-сервером, использующим стандартные механизмы. Кэш-сервер может быть запущен на том же хосте, на котором установлен межсетевой экран или на другом хосте.

Если кэш-сервер запущен на другом хосте (рекомендованный вариант), этот хост должен находиться в подсети, отличной от той, в которую входят клиенты, иначе трудно контролировать безопасность. Такая конфигурация приведена на следующем рисунке:

Для гарантии защиты при такой конфигурации необходимо настроить пакетный фильтр (см. главу Пакетный фильтр с контролем состояния ) таким образом, чтобы хост, на котором запущен кэш-сервер, был единственной машиной, имеющей доступ к WWW сервисам и клиенты не имели бы право напрямую к нему обращаться. После этого необходимо настроить все клиентские хосты для работы через WWW proxy межсетевого экрана, а также настроить сам межсетевой экран для работы с кэш-сервером.

Использование WWW proxy

Для использования WWW proxy необходимо выполнить следующие действия:
  1. Создать необходимые профили доступа (этот вопрос рассматривается в разделе Создание профилей доступа ).
  2. Отредактировать параметры WWW proxy ( см. раздел Редактирование параметров WWW proxy ).
  3. Создать правила фильтрации, разрешающие клиентам доступ к proxy (см. главу  Пакетный фильтр с контролем состояния).
    ! WWW proxy межсетевого экрана Aker принимает соединения по 80 порту, используя TCP протокол. Если нужно, номер порта можно заменить при запуске proxy , добавив параметр -p port, где port - номер необходимого порта. Proxy запускается из файла /etc/rc; в нем вы можете изменить параметры, например вместо строки /etc/firewall/fwhttppd написать /etc/firewall/fwhttppd -p 8080.

19.2 Создание профилей доступа

Настройку WWW proxy можно разбить на два этапа: сначала создаются универсальные профили доступа, а затем устанавливается соответствие между этими профилями и группами пользователей.

Профили доступа позволяют определить, какие Web страницы доступны для просмотра и какой вид доступа разрешен (например, можно создать профиль, не позволяющий передач файлов через FTP). Можно создавать любое необходимое количество профилей доступа, однако, для использования WWW proxy обязательно должен быть создан хоть один профиль.

Для доступа к окну профилей доступа необходимо:

  • Выбрать меню Register в главном окне
  • Выбрать опцию WWW access profiles

Окно профилей доступа WWW 

Окно профилей содержит все WWW профили доступа, определенные в межсетевом экране. Оно состоит из списка, в котором каждый профиль показан на отдельной строке.

  • Кнопка OK закрывает окно профилей.
  • Кнопка Help показывает окно помощи по данному разделу.
  • Полоса прокрутки с правой стороны используется для просмотра профилей, не уместившихся в окне.
Для выполнения любого действия с конкретным профилем нажмите правой клавишей мыши на этом профиле. Откроется следующее меню (Это меню возникает всегда при нажатии правой клавиши мыши, даже если нет выделенных профилей. В этом случае доступны только опции Add и Paste.):

  • Add: Эта опция позволяет добавить новый профиль в список. Если выделен какой-либо профиль, новый вставляется на место выделенного. Во всех других случаях он добавляется в конец списка.
  • Delete: Эта опция удаляет выделенный профиль из списка
  • Edit: Эта опция открывает окно свойств для выделенного профиля.
  • Copy: Эта опция копирует выделенный профиль в буфер.
  • Cut: Эта опция удаляет выделенный профиль из списка и копирует его в буфер.
  • Paste: Эта опция копирует профиль из буфера в список. Если профиль выделен, новый будет помещен на место выделенного. Во всех прочих случаях он копируется в конец списка.

Указание: Можно получить доступ ко всем этим опциям через инструментальное меню в верхней части окна. В этом случае сначала выделите профиль, нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.

    ! Для удаления профиля доступа он не должен использоваться ни одним из пользователей (более подробно об этом см. раздел
Редактирование параметров WWW proxy).

В случае добавления или редактирования профилей откроется упомянутое выше окно свойств:

Окно свойств для профилей доступа WWW

Это окно состоит из четырех папок: первая определяет общие опции профиля, а другие - опции фильтрации для каждого протокола, который поддерживается WWW (HTTP/HTTPS, FTP и Gopher).

    ! Протокол HTTPS для первоначального URL фильтруется по правилам HTTP протокола. Однако после установления соединения межсетевой экран не может фильтровать по содержимому пакетов, поскольку между клиентом и удаленным сервером данные передаются в зашифрованном виде.
  • Общие опции профиля:

В общих опциях профиля определяются следующие поля:

Name: Имя профиля доступа. Это имя будет фигурировать в списке профилей (показанном выше) и в окне настройки WWW proxy. Не может существовать двух профилей с одинаковыми именами.

URLs with IP address are allowed:Если эта опция задана, будет разрешен доступ к URLs с IP адресами вместо имен (например, http://127.0.0.1/index.shtmll). Если эта опция не установлена, доступ возможен только к URL, заданным с помощью имен.

    ! Если WWW proxy настроен для фильтрации URLs, то эту опцию задать, чтобы сделать невозможным для пользователей доступ к URLs через IP адреса. Иначе, даже если имена блокированы, пользователь сможет получить доступ к URL через его IP адрес. Можно добавить IP адреса в правила фильтрации профиля (если необходима фильтрация), однако, из-за постоянных изменений IP адресов и тому, что некоторые серверы имеют больше одного IP адреса, это становится чрезвычайно сложным делом.

Block: Это поле определяет специальную фильтрацию для WWW страниц, блокируя (или нет) те характеристики, которые считаются опасными для некоторых систем. Она в свою очередь состоит из трех опций, которые можно установить независимо: Javascript, Java и Active X. Если какая-либо из этих опций установлена, соответствующие апплеты будут фильтроваться.

    ! Фильтрация JavaScript, Java и Active X ведет к тому, что фильтруемая страница выглядит, как-будто браузер не поддерживает эти языки. В некоторых случаях это может привести к потере функциональных качеств Web страниц.
  • Опции фильтрации WWW

Опции фильтрации WWW позволяют определить правила фильтрации URL для протоколов HTTP/HTTPS, FTP и Gopher. Для упрощения определения этих правил фильтрации созданы три папки с одинаковыми форматами, каждая папка предназначена для своего протокола.

Чтобы проиллюстрировать создание правил, выберем папку для протокола HTTP. Ее формат показан ниже:

Эта папка состоит из списка, в котором каждое правило показано в отдельной строке. Кроме этой строки, существует поле Default Action, в котором можно определить действие, выполняемое, в случае когда адрес, к которому клиент хочет получить доступ, не соответствует никакому правилу фильтрации: если установлена опция accept, доступ будет разрешен, если опция reject, межсетевой экран откажет в доступе.

Чтобы выполнить любое действие на конкретном правиле, нажмите правой клавишей мыши на этом правиле. Откроется следующее меню (это меню появляется всегда, если нажать правой клавишей мыши, даже если нет выделенных правил. В этом случае будут доступны только опции Add и Paste).

  • Add: Эта опция позволяет добавить новое правило в список. Если выделено какое-либо правило, новое вставляется на место выделенного правила. Во всех других случаях новое правило добавляется в конец списка.
  • Delete: Эта опция удаляет выделенное правило из списка.
  • Edit: Эта опция открывает окно редактирования для выделенного правила.
  • Copy: Эта опция копирует выделенное правило в буфер.
  • Cut: Эта опция удаляет выделенное правило из списка и копирует его в буфер.
  • Paste: Эта опция копирует правило из буфера в список. Если правило выделено, новое будет копироваться на место выделенного. Во всех других случаях оно копируется в конец списка.

Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное над списком. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию.

    ! Порядок следования правил в списке очень важен. Как только межсетевой экран получает запрос на доступ к некоторому адресу, он просматривает список с самого начала в поисках правила, которому удовлетворяет адрес. Обнаружив его, он начинает выполнять действие, соответствующее этому правилу.

В случае добавления или редактирования правил открывается упомянутое выше окно редактирования:

Окно редактирования для WWW правил

В этом окне можно настроить все параметры, связанные с правилом фильтрации для WWW proxy. Для определения правила нужно заполнить следующие поля::

Action: Определяет действие, которое выполняется для всех адресов, которые соответствуют правилу. Значение accept позволяет получить доступ к URL. Значение reject запрещает доступ.

Operation: Тип поиска, указанный пользователем, который выполняется с URL. Эта опция содержит следующие варианты выбора:

  • CONTAINS: Выражение может находиться в любой позиции.
  • DOESN'T CONTAIN: URL не содержит выражения.
  • IS: URL должен в точности соответствовать выражению.
  • IS NOT: URL должен отличаться от выражения.
  • STARTS WITH: URL должен начинаться с выражения.
  • DOESN'T START WITH: URL не должен начинаться с выражения.
  • ENDS WITH: URL должен заканчиваться выражением.
  • DOESN'T END WITH: URL не должен заканчиваться выражением.
Text: Подлежащее поиску выражение. Это поле содержит последовательный текст, который сравнивается с URL в соответствии с правилами, определенными в поле operation.

19.3 Редактирование параметров WWW proxy

Для использования WWW proxy необходимо указать некоторые параметры, определяющие основные характеристики его работы. Эти определения производятся в окне настройки WWW proxy. Для получения доступа к этому окну надо выполнить следующие шаги:
  • Выбрать меню Proxy в главном окне
  • Выбрать опцию WWW

Окно настройки параметров WWW proxy

  • Кнопка OK закрывает окно настройки WWW proxy и сохраняет все изменения.
  • Кнопка Cancel закрывает окно настройки и отбрасывает все сделанные изменения.
  • Кнопка Help показывает окно помощи по данному разделу.
Значения параметров:
  • Cache

Enable cache: Эта опция определяет, будет ли proxy перенаправлять свои запросы кэш-серверу. Если эта опция установлена, все полученные запросы будут передаваться кэш-серверу, на определенный IP адрес и порт. Если нет, WWW proxy будет сам обрабатывать все запросы.

IP: Это поле определяет IP адрес кэш-сервера, которому будут передаваться все запросы, если установлена опция Enable cache.

Port: Это поле определяет порт кэш-сервера, которому будут передаваться все запросы, если установлена опция Enable cache.

  • Adjustments

Эти параметры регулируют действия WWW proxy для ситуаций, требующих особого внимания. Они состоят из следующих полей:

Read timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждут запроса клиента с момента установления нового соединения. Если этот интервал времени заканчивается, а запроса от клиента не поступает, соединение закрывается.

Response timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждет ответа на запрос, посланный на удаленный WWW сервер или в кэш-сервер, если установлена опция Enable cache . Если за это время от сервера не приходит ответ, соединение закрывается, а клиент получает сообщение об ошибке.

HTTPS timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy может ждать ответа сервера для HTTPS соединений,

Number of processes: Это поле определяет число процессов обработки в WWW proxy, которые остаются активными в ожидании соединений. Так как каждый процесс обрабатывает одно соединение, это поле определяет также максимальное число запросов, которые могут обрабатываться одновременно.
Из-за требований производительности, процессы, связанные с WWW proxy, всегда находятся в активном состоянии, независимо от наличия или отсутствия запросов.

Обычно значение этого поля находится в интервале от 5 до 50 в зависимости от количества клиентов, использующих proxy (следует отметить, что один хост обычно открывает до 4 соединений при получении доступа к единственной странице WWW). Значение 0 блокирует использование proxy.

  • WWW

Эти параметры определяют опции фильтрации proxy. Они состоят из следующих полей:

Default WWW access profile: Определяет имя профиля доступа WWW, которое используется для контроля доступа всех пользователей (в случае, когда не производится аутентификация пользователей) или пользователей, которые не относятся к этому профилю (в случае, когда производится аутентификация пользователей).

Authenticate HTTP: Это поле дает (или не дает) возможность производить аутентификацию пользователей в WWW proxy. Если эта опция установлена, каждый раз, когда пользователь хочет начать сеанс, у него запрашивается идентификатор и пароль, и сеанс начинается, только если пользователь будет аутентифицирован каким-либо аутентификатором.
Если эта опция установлена, нажмите кнопку Access Control, которая откроет окно, в котором можно установить соответствие пользователей или групп с конкретными профилями. Окно контроля доступа WWW

Это окно открывается при нажатии кнопки Access Control в окне настройки WWW proxy, при установленной опции Authenticate HTTP. Окно позволяет администратору установить соответствие между пользователями или группами, зарегистрированными в аутентификаторах, и профилями доступа WWW, зарегистрированными в межсетевом экране. Окно имеет следующий формат:

Чтобы установить соответствие пользователя или группы с определенным профилем доступа, надо сделать следующее:

  1. Выделить аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов. Этот вопрос рассмотрен в главе Настройка параметров аутентификации)).
  2. Выберите необходимого пользователя или группу с помощью соответствующих кнопок, расположенных в поле View.
  3. Нажмите левой клавишой мыши на имени пользователя или группы, для которых устанавливается соответствие с профилем, в списке Group/Users, расположенном ниже списка аутентификаторов.
  4. Нажмите левой клавишей мыши на имени профиля в списке WWW Access Profiles, который будет связан с выделенным пользователем/группой.
  5. Нажмите кнопку Add. Соответствие между пользователем/группой и профилем будет показано в списке в нижней части окна.
Для удаления соответствия между пользователем/группой и профилем выполните следующее:
  1. Выберите необходимое соответствие в списке в нижней части окна.
  2. Нажмите клавишу удаления.
Для изменения позиции какого-либо соответствия внутри списка, проделайте действия:
  1. Выделите перемещаемое соответствие.
  2. Нажмите на одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенное соответствие на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.
    ! Порядок следования соответствий в списке очень важен. Всякий раз при аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках его имени или группы, которой он принадлежит. Как только имя будет обнаружено, будет использоваться соответствующий ему профиль.
Назад       Содержание       Вперёд