Автор работы: Пользователь скрыл имя, 26 Июня 2013 в 16:06, лекция
Прокси-серверы используются в сетях, где клиенты не имеют прямого доступа к Интернету, но должны иметь возможность просмотра веб-страниц. Кроме того, прокси-сервер предполагает кэширование запросов выполненных однажды некоторым клиентом.
Прокси-сервер полезен только тогда, когда браузер клиента настроен так, чтобы проводить запросы через сервер, вместо обращения к сайтам напрямую. На сегодня каждый браузер умеет работать через прокси-серверWingate - один из наиболее популярных прокси-серверов, позволяющий нескольким пользователям локальной сети получить доступ в Интернет. WinGate был выпущен компанией Qbik в 1995 году. С 1997 года осуществляется продажа и поддержка WinGate в России.
Введение 2
1. Wingate 4
2. Traffic Inspector 13
3. ISA-server 25
Заключение 35
Рис. 16 5. Соглашения с лицензионными условиями Panda Gate Antivirus.
Рис. 17 6. После этого начинается установка и вылетает окошко с информацией об окончании установки и запускается активное окно программы.
Рис. 18
После установки у вас интернет. Надо активировать программу. В консоле нажимаем на активацию, выбираем временную(30 дней ), и после этого интернет должен появиться. Интерфейс программы довольно приятен и понятен.
Возможности и функции Traffic Inspector.
Ставшая популярной услуга широкополосного высокоскоростного доступа в сеть Интернет ставит важную задачу учета потребляемого трафика как платного ресурса. Плохо контролируемое использование Интернет при наличии больших скоростей передачи данных и дорогом трафике приводит к большим издержкам и может сделать использование такого подключения просто невозможным. Административные меры ограничения трафика в организациях путем простого запрета неудобны для сотрудников и не всегда эффективны. Если же речь идет о предоставлении платных услуг Интернет, то тут без системы биллинга вообще не обойтись. Серверная часть программы Traffic Inspector реализована только под платформу Windows 2000/XP/2003, клиенты же могут использовать любую операционную систему - тут ограничений нет.
Traffic Inspector также
позволяет решить еще одну
задачу - реализовать раздельный
учет пользователей,
1. Обеспечение доступа в сеть Интернет из внутренней сети.
Traffic Inspector использует службу NAT Windows. Это называется ICS (Internet Connection Sharing) или RRAS (Routing and Remote Access Server) для серверных версий системы. Прокси-сервер работает на уровне протоколов приложений и требует соответствующей поддержки со стороны клиентских программ и их настройки. Через него можно работать по протоколам HTTP или FTP. Также имеется специальный протокол прокси-серверов SOCKS, через который может работать любое приложение, использующее TCP. Через SOCKS можно открывать как исходящие, так и входящие соединения, так что тут снимаются проблемы NAT. Единственное ограничение - это необходимость поддержки SOCKS со стороны клиентских программ. При работе с HTTP для экономии трафика прокси-сервера используют кэширование (временное сохранение) закачанных объектов, которые могут использоваться при повторных запросах. Использование кэширования может увеличить скорость доступа при загруженной сети Интернет. Также с помощью прокси-сервера можно реализовать фильтрацию на уровне приложения - например, запретить доступ к какому-то конкретному ресурсу на сервере или сделать разграничение по контенту данных.
2. Авторизация и разграничение доступа пользователей. Задача авторизации и разграничения доступа - это запрет работы в Интернет и соотнесение трафика конкретному пользователю или службе с целью его учета. Идентифицировать клиента можно по его сетевым адресам - IP- и MAC-адресу. Этот подход - самый простой, но имеет недостатки. В организации, как правило, нет привязки сотрудника к конкретному компьютеру. На одном компьютере могут работать несколько человек, или они могут работать на разных компьютерах. В варианте домовой сети этот метод мало подходит из-за наличия возможности подмены этих адресов. Его следует использовать только для авторизации серверов во внутренней сети, которые должны работать с Интернет.
Для разграничения доступа Traffic Inspector позволяет:
• Ограничить доступ к каким-либо ресурсам в Интернет. Это может потребоваться, если политика доступа предусматривает работу только с какими-то конкретными приложениями (например, только электронная почта) и ресурсами (корпоративный сайт). Также можно ограничить использование клиентами каких-либо служб программы - например, разрешить работу только через прокси-сервер.
• Ограничить доступ по расписанию. Например, можно разрешить работать с Интернет сотрудникам только в рабочее время.
• Ограничить доступ по датам. Это удобно для создания временных учетных записей.
• Ограничить скорость работы клиента. Это ограничение также может быть привязано к расписанию или датам.
• Разрешить авторизацию по имени с конкретного IP-адреса. Это может быть полезно для домовой сети.
• При использовании в сети маркировки пакетов тегами VLAN id (IEEE 802.1Q) - разрешить авторизацию и дальнейшую работу только при наличии заданного номера VLAN в Ethernet пакете.
3. Билинг - тарификация
пользователей и блокировка
Для решения этих задач есть несколько подходов:
• Анализ логов (файлов журнала) серверов. Все прокси-сервера умеют записывать запросы в лог-файлы или базы данных. Эти данные потом могут быть обработаны и получены отчеты по использованию Интернет. Недостаток этого способа - тяжело организовать оперативную блокировку клиента при перерасходе трафика. Также прокси-сервера сильно занижают данные по трафику, так как учитывают только полезные данные и не учитывают заголовки пакетов и служебные TCP-пакеты.
• Использование сетевых мониторов на базе пакетных драйверов для учета трафика прямо на сетевом интерфейсе. Тут обеспечивается абсолютная точность учета трафика и именно этот метод используется в Traffic Inspector при работе через NAT.
• Для домовых сетей при подключении клиентов для учета трафика также используют данные соединения, снимаемые с сервера удаленного доступа. Но тут возникает проблема разграничения учета различного вида трафика и это приходится дополнять другими решениями.
В Traffic Inspector при работе через прокси-сервер трафик учитывается непосредственно на нем, но для учета "довесков" в виде заголовков пакетов и служебного TCP-трафика эти данные снимаются с сетевых интерфейсов с помощью драйвера. Трафик из кэша прокси-сервера учитывается отдельно и для него можно задать отдельные тарифы.
Если внутри
сети имеется почтовый сервер, то для
тарификации входящего
Достоинством биллинга в Traffic Inspector является то, что пересчет данных клиента производится по каждому пакету, что позволяет его заблокировать практически немедленно, полностью исключая перерасход трафика. Данные по остатку на счете (баланс) отображаются на клиентском агенте. Клиент также имеет возможность просмотреть все данные по трафику, биллингу и истории счета через встроенный веб-сервер.
4. Обеспечение
пользователей средствами и
Для HTTP чаще всего используются следующие меры:
• Кэширование данных на прокси-сервере. Так как объекты на веб-сервере могут обновляться, то тут возникает дилемма - как сделать так, чтобы клиент мог получить свежие данные и при этом минимизировать обращения к серверу для проверок обновлений с целью максимальной экономии трафика. Тут, как правило, даже при самом совершенном алгоритме работы кэша не удается получить экономию более 20%. Увеличение этого показателя увеличивает риск получения устаревших данных. В Traffic Inspector для отдельных ресурсов можно устанавливать специальные правила работы кэша, а также имеется механизм управления режимом кэширования прокси-сервера с помощью клиентского агента - пользователь сам может по необходимости переключаться с режима максимальной экономии трафика на режим полной проверки. Это позволяет поднять общий показатель экономии трафика до 25-35%. Наличие отдельной тарификации трафика из кэша может сделать это экономически выгодным клиенту.
• Фильтрация нежелательного контента - баннеров, а также различных "шпионских" служб, например gator.
• Отключение, по необходимости, графики и мультимедийных компонентов (музыки, flash).
Для минимизации затрат трафика на входящую электронную почту в SMTP-шлюзе программы предусмотрено:
• Шлюз может быть настроен на прием почты только для известных получателей, т.е каждое письмо будет обязательно подвергнуто тарификации. Также может быть заблокирован прием почты для отключенных пользователей. Это очень полезная мера для таких почтовых серверов, как Microsoft Exchange, которые сначала принимают письмо полностью, а только потом ищут ящик пользователя.
• Имеется фильтрация сообщений по "черным" спискам, проверка адреса и домена отправителя.
• Для защиты от спама используется наиболее распространенный и надежный механизм - фильтрация с использованием публичных RBL-служб. В программе можно подключить список таких служб, причем все они отрабатываются параллельно, что совершенно не снижает производительности работы. Для увеличения эффективности анализируются также и заголовки сообщений.
5. Сетевая защита
- закрыть сервер доступа и
внутреннюю сеть от
6. Анализ сетевого трафика. Учет трафика, потребляемого у провайдера.Важной задачей является подробный анализ характера трафика. В Traffic Inspector имеется возможность мониторинга текущей сетевой активности для каждого клиента, а также внешнего трафика, потребляемого у провайдера. Также эти данные могут сохраняться в файлах журнала и по ним могу быть сформированы подробные отчеты. У прокси-сервера для каждого клиента есть возможность включить подробную запись каждого запроса. Все эти данные по сетевой статистике доступны для просмотра пользователями через встроенный веб-сервер. Для учета внешнего трафика, потребляемого у провайдера, в программе также имеются все необходимые средства - можно контролировать выставляемые им счета. Есть возможность вести подробный аналитический учет по разному типу трафика. Сопоставляя в отчетах учет внешнего трафика и трафика, потребляемого пользователями, можно легко разобраться, кто нагрузил канал и каков характер этой нагрузки. Также имеются механизмы предотвращения перерасхода трафика. Могут быть настроены различные лимиты, при превышении которых будет отправлено предупреждение по почте или произведена полная блокировка внешнего трафика. Это может быть полезно в тех случаях, если отключение Интернет - меньшее зло по сравнению с перерасходом трафика.
7. Ограничение
скорости работы пользователей
или их групп. Одной из
8. Перенаправление трафика. Traffic Inspector предоставляет следующие возможности по перенаправлению трафика: Advanced routing - динамическое перенаправление трафика на другие интерфейсы, эта функция позволяет задействовать несколько подключений, причем можно направить разный трафик (или контент сайтов) через разных провайдеров. Подробное описание смотрите в разделе "Advanced routing"; Перенаправление на прокси - дает возможность перенаправить все соединения TCP идущие по порту 80 на прокси-сервер программы. Это позволяет пустить весь HTTP-трафик через прокси-сервер и использовать его кэширование, блокировку, замены и т.п. Кроме того, можно запретить любые HTTP-соединения мимо прокси. Описание работы этой функции смотрите в разделе "Transparent Proxy"; Каскадирование - перенаправление запросов прокси-сервера на вышестоящий прокси (часто используется при работе через акселератор спутника). Также поддерживается каскадирование SOCKS-запросов. Описание настроек смотрите в разделе интерфейса "HTTP Proxy".
9. Отключение пользователей от сети Интернет при заражениях сетевыми вирусами. Введена возможность блокировки пользователя при исчерпании лимита количества записей сетевой статистики. Эта мера позволяет эффективно выявить аномальную сетевую активность клиента и заблокировать его для предотвращения перегрузки сети, сервера и каналов подключения к Интернет.На практике эта функция помогает отследить заражение сетевыми вирусами, которые генерируют огромное количество трафика, и, что гораздо важнее, заблокировать зараженного пользователя.
Вывод:
Итак, «Traffic Inspector» идеально подходит в качестве решения для домашней, или офисной сети, и так же может использоваться для крупных сетей. Программа имеет очень много полезных и дополнительных функций, которых в других программах нет. Использование этой программы на серверных системах(Windows 2000/2003) намного расширяют возможности программы. Использование Traffic Inspector вместе со службой «маршрутизация и удаленный доступ» делают компьютер идеальным шлюзом доступа в Интернет.