Прокси-сервер
|
Прокси-сервер |
|
Прокси сервер и SOCKS работает на IP адресах внутренних интерфейсов, или с локальным (127.0.0.1) в персональном режиме (PE). Поэтому снаружи он всегда не доступен.
Прокси сервер, входящий в Traffic Inspector - это классический HTTP/FTP прокси-сервер. Учитывая наличие NAT, где производительность работы существенно выше, вещь, казалось бы, совсем необязательная. Но его применение во многих случаях целесообразно:
| • | Фильтрация на уровне приложений HTTP и FTP работает только через прокси-сервер. Фильтры для "баннерорезалки", например, сделать только по хостам и портам не получится, приходится еще задавать и более тонкие критерии - URL и типы контента. |
| • | кэширование позволяет реально экономить 10-25% трафика. Хотя, чтобы получить эти 25% надо идти на неудобства для клиентов - им придется иногда управлять режимами кэширования, но имеющиеся возможности гибкой тарификации трафика из кэша позволяют сделать это для них экономически выгодным. |
| • | Возможность работы в активном режиме с FTP. Работа через NAT в Windows 2000 допускает только пассивный режим, что может привести к проблемам доступа на многие FTP-сайты. |
| • | Имеется возможность редиректа запросов. |
| • | Использование SOCKS обеспечивает динамическое открытие входящих TCP-соединений. Это может быть полезно, например, для работы с IRC. |
Traffic Inspector может быть также настроен на работу с другим прокси-сервером, например Microsoft ISA Server. Но при этом надо учесть следующее:
| • | Фильтры приложений надо будет конфигурировать отдельно на ISA Server. Клиент не сможет сам изменять уровень фильтрации для таких фильтров. |
| • | Невозможно будет учитывать отдельно трафик из кэша. Весь трафик для клиента при работе через другой прокси-сервер будет считаться как внешний. |
Особенности реализации протокола HTTP/1.1 и кэширования смотрите в отдельных разделах.
Вопросы по преобразованию и анализу контента см. в разделе Обработка контента.
Реализация режимов перенаправления трафика на прокси-сервер описана в разделе Transparent Proxy.
Прокси-сервер поддерживает туннельные TCP-соединения методом CONNECT, позволяя работать с протоколом SSL. Заметим, что это также позволяет работать и с многими другими приложениями TCP, например FTP, при условии, что клиентские программы умеют это делать (например, Reget). Но для FTP тут будет доступен только пассивный режим.
Если требуется работа с приложениями, которые используют входящие серверные TCP-соединения со стороны клиента (например, IRC), то использование SOCKS сервера - это единственная возможность это сделать. Текущая версия программы поддерживает SOCKS версии 4 и 5.
Для SOCKS версии 5 есть ограничения - аутентификация может использоваться только открытым текстом и не поддерживается UDP mapping.
Для ограничения доступа клиентов по протоколу SOCKS используются фильтры, но при этом условия уровня приложений не работают. Для вторичных соединений, как входящих, так и исходящих фильтры на запрещение не применяются - любой трафик с хостом, на который установлено первичное соединение, не блокируется.
Для автоматического конфигурирования броузеров клиентов используется стандартный wpad.dat JAVA скрипт. Для него может быть задана LAT - таблица локальных адресов, для того, что бы броузеры с этими сетями работали напрямую, минуя прокси-сервер. Если задана LAT таблица, то у клиентов может потребоваться обязательная настройка DNS.
С прокси-сервером связан встроенный WWW сервер, который используется клиентом для просмотра статистики и загрузки инсталлятора агента. При запросе на локальный ресурс по TCP порту прокси сервера он делает редирект запроса на WWW сервер.
Текущая страница справки: help.smart-soft.ru/index.html?howworkproxy.htm