Цепь Web-прокси как форма сетевой маршрутизации

Цепь web-прокси – это метод переадресации соединений web-прокси с одного ISA-сервера на другой. Цепи web-прокси состоят из обратного и прямого ISA-серверов. Обратными ISA-серверами называются те, которые расположены ближе всего к соединениям с Интернетом, а прямые ISA-серверы – это те, которые расположены дальше от соединения с Интернетом. Прямые ISA-серверы переадресуют запросы web-прокси на обратные ISA-серверы. Первым ISA-сервером в цепи web-прокси является тот, который ближе всего к Интрнету, и который отвечает за получение содержимого Интернета.

Использование цепи web-прокси полезно в следующих случаях:

• ISA-серверы филиала можно связать цепью с обратными ISA-серверами главного офиса
• ISA-серверы отдельных отделов, защищающие специализированные сети отделов внутри организации, можно связать цепью с сегментом сетевых служб или обратными ISA-серверами, напрямую соединенными с Интернетом
• Поставщики услуг Интернета или крупные клиенты компании могут связать цепью массивы ISA-серверов web-кэширования с обратным ISA-сервером или массивом ISA-сервера web-кэширования

Преимуществом использования цепи web-прокси в том, что так вы можете снизить общую загрузку канала Интернета и каналов между прямыми и обратными ISA-серверами в цепи web-прокси. На Рисунке 1 показан пример цепи web-прокси и поток информации в цепи.

Рисунок 1

1. Клиент, находящийся в защищенной сети за ISA-сервером, делает запрос к web-странице, расположенной на web-сервере в Интернете. Запрос на соединение отсылается через ISA-сервер, защищающий сеть отдела.
2. ISA-сервер переадресует запрос на соединение к односетевому ISA-серверу, расположенному в основной сети организации. ISA-сервер отдела настроен на использование цепи web-прокси для связи с односетевым ISA-сервером. Поскольку односетевой ISA-сервер способен защищать себя от атак, можно почти не обращать внимания на атаки от узлов основной сети или от узлов, расположенных за аппаратным брандмауэром с функцией фильтрации пакетов перед односетевым ISA-сервером.
3. Односетевой ISA-сервер, работающий только на web-кэширование, переадресует запрос на соединение через аппаратный маршрутизатор с функцией фильтрации пакетов.
4. Web-сервер Интернета возвращает запрос односетевому ISA-серверу через аппаратный брандмауэр с функцией фильтрации пакетов.
5. Односетевой ISA-сервер переадресует ответ ISA-серверу отдела. Однако, перед тем, как переадресовать ответ, односетевой ISA-сервер помещает содержимое в свой кэш. Web-содержимое в ответе возвращается ISA-серверу отдела из кэша односетевого ISA-сервера.
6. ISA-сервер отдела возвращает ответ клиенту, сделавшему запрос. Но перед этим содержимое помещается в кэш. Именно из кэша ISA-сервера отдела получает содержимое узел, сделавший запрос.
7. Узел другой сети делает запрос к этой же web-странице. Данный узел также защищен ISA-сервером. Запрос проходит через этот ISA-сервер.
8. ISA-сервер находится в цепи с односетевым ISA-сервером основной сети, на который и переводится запрос. Перед переадресацией запроса на web-сервер Интернета односетевой ISA-сервер проверяет свой кэш на наличие необходимого содержимого.
9. Односетевой ISA-сервер запрашивает содержимое из своего кэша и возвращает его ISA-серверу отдела. Односетевой ISA-сервер не отправляет запрос на web-сервер Интернета, поскольку информация уже есть в его кэше.
10. ISA-сервер отдела переадресует содержимое узлу, инициировавшему запрос.

Из этого примера видно, что экономится пропускная способность не только Интернет-канала, но и канала связи с основной сетью. Экономия этой пропускной способности видна в ситуации, когда другой узел из любой из сетей отделов делает запрос к тому же web-содержимому. В этом случае ISA-серверам отделов, у которых уже есть данная информация в кэше, не нужно переадресовывать запрос на односетевой ISA-сервер основной сети. Таким образом уменьшается использование пропускной способности основной сети.

Другим приложением web-цепи является настройка прямого ISA-сервера для связи с массивом web-кэширования. Такие массивы создаются в ISA-сервере версии Enterprise Edition. На Рисунке 2 показан вариант использования массивов web-кэширования в организации.

Рисунок 2

В данном примере прямые ISA-серверы могут быть настроены на использование цепи с массивом. Массив web-кэширования предоставляет информацию о настройках прямым ISA-серверам, включая имена компьютеров массива. Если один из членов массива по какой-либо причине недоступен, прямые ISA-серверы пытаются соединиться с доступными членами массива.

Помимо этого, в случае недоступности одного из членов массива, массив знает, что один из его членов не работает, и удаляет нерабочий компьютер из массива. Оставшиеся члены массива уведомляют прямые ISA-серверы отделов о том, какие члены доступны. Таким образом, прямые ISA-серверы защищены от попыток связи с неработающими членами массива.

Настройка цепи web-прокси производится на вкладке Web Chaining (Web-цепь) узла Network (Сеть). Для настройки цепи web-прокси выполните следующее:

1. В консоли ISA-сервера раскройте узел Configuration (Настройки). Щелкните по узлу Networks (Сети).
2. В узле Networks (Сети) в панели Details (Подробно) выберите вкладку Web Chaining (Web-цепь).
3. В панели задач выберите вкладку Tasks (Задачи) и нажмите Create New Web Chaining Rule (Создать новое правило web-цепи).
4. На странице Welcome to the New Web Chaining Rule Wizard (Начало работы мастера создания нового правила web-сети) введите имя правила в текстовое поле Web chaining rule name (Имя правила web-сети). Для примера, назовем наше правило Chain to ISA-1. Нажмите Next (Далее).
5. На странице Web Chaining Rule Destination (Получатели для правила web-цепи) вы сообщаете ISA-серверу, для каких запросов следует использовать цепь с обратным ISA-сервером. Вы можете выбрать использование цепи для всех запросов в обратному серверу, или запросов к определенным URL. В нашем примере мы будем использовать цепь для всех запросов к обратному серверу. Для добавления сайтов нажмите Add (Добавить).
6. В диалоговом окне Add Network Entities (Добавление сетевых элементов) щелкните по папке Networks (Сети), а затем дважды щелкните по сети External (Внешняя). Нажмите Close (Закрыть).
7. На странице Web Chaining Rule Destination (Получатели для правила web-цепи) нажмите Next (Далее).
8. На странице Request Action (Действия по запросу) (Рисунок 3) вы сообщаете ISA-серверу, как маршрутизировать запросы, настроенные на предыдущей странице. У вас есть следующие варианты:
   
   Retrieve requests directly from the specified location (Получать запросы напрямую с указанного места) Данный вариант настраивает ISA-сервер на отправку запросов, указанных на предыдущей странице, напрямую на сервер назначения, и не отсылать их обратный ISA-сервер. Это значит, что если ISA-сервер настроен на соединение с Интернетом не через цепь web-прокси, ISA-сервер будет переадресовывать соединения по своему каналу. Если ISA-сервер не имеет иного доступа в Интернет, отличного от цепи web-прокси, тогда соединение не устанавливается. Эта настройка отображает поведение ISA-сервера по умолчанию, т.е. без использования цепи web-прокси, а отсылки соединения к запрашиваемому сайту Интернета.
   
   Redirect requests to a specified upstream server (Перенаправлять запросы на указанный обратный сервер) В данном случае запросы переводятся на обратный сервер web-прокси. Этот вариант создает цепь web-прокси между этим сервером и обратным ISA-сервером. Опция Allow delegation of basic authentication credentials (Разрешить делегирование учетных данных базовой аутентификации) рождает несколько вопросов. Какие учетные данные? Для чего? Где мы будем аутентифицироваться? Аутентификация будет происходить на сайте? На обратном web-прокси? На прямом ISA-сервере? Везде? Или нигде? Пока мы не может определенно сказать, для чего используется этот параметр. Возможно, что он используется при внедрении цепи web-прокси для доступа к внутренним web-сайтам, но я не ручаюсь за правильность этого ответа.
   
   Я не использовал данную опцию, но если б мне было нужно, я бы сказал, что при использовании базовой аутентификации на прямом ISA-сервере учетные данные передаются на обратный ISA-сервер. Поэтому, если вы используете прозрачную встроенную аутентификацию на прямом ISA-сервере, учетные записи на обратный ISA-сервер передаваться не будут.
   
   Redirect requests to (Перенаправлять запросы на) Данный вариант позволяет переадресовывать к указанному ранее сайту на другой web-сайт. Например, предположим, что вы хотите переадресовывать запросы к сайтам из списка запрещенных на отдельную страницу вашего корпоративного сайта. Вам нужно выбрать данную опцию и ввести IP-адрес или FQDN вашего внутреннего сайта. Также можно указать порт HTTP и SSL.
   
   Use automatic dial-up (Использовать автоматическое соединение) Данная опция позволяет использовать коммутируемые соединения для данного правила. Если внешним интерфейсом является коммутируемое соединение, то выбирайте этот параметр, если вы хотите использовать коммутируемое соединение для связи с запрошенным сайтом. Можно использовать данную опцию, если на одном и том же ISA-сервере используется сетевой адаптер и коммутируемое соединение. Сетевой адаптер может использоваться для обычных соединений с Интернетом, а коммутируемое соединение – для соединений по цепи.

Рисунок 3

9. В нашем примере вы выберем опцию Redirect requests to a specified upstream server (Перенаправлять запросы на указанный обратный сервер) и отключим опцию Allow delegation of basic authentication (Разрешить делегирование учетных данных базовой аутентификации). Нажмите Next (Далее).
10. На странице Primary Routing (Первичная маршрутизация) введите IP-адрес или FQDN обратного ISA-сервера. Если вы вводите FQDN, убедитесь, что ISA-сервер может разрешить это имя в правильный IP-адрес. В текстовых полях Port (Порт) и SSL Port (Порт SSL)содержатся значения по умолчанию для всех остальных ISA-серверов. Обратите внимание, что порт SSL не используется для SSL-соединений клиентов, находящихся за прямым ISA-сервером в цепи web-прокси. SSL-соединения таких клиентов туннелируются в web-прокси соединениях с TCP-портом 8080 обратного ISA-сервера, если принудительно не использовать SSL между прямым и обратным ISA-серверами.
    
    Поле SSL Port (Порт SSL) используется в том случае, если вы хотите защитить канал цепи web-прокси между обратным и прямым ISA-сервером с помощью SSL. Для этого вам необходимо проверить, что сертификат центра сертификации установлен и на прямом, и на обратном ISA-сервере, что на обратном сервере установлен сертификат компьютера, что вы указали имя сертификата в поле Server (Сервер) на данной странице, а это имя разрешается в IP-адрес обратного ISA-сервера.

Рисунок 4

Я настоятельно рекомендую требовать аутентификации на обратном web-прокси. Если на обратном web-прокси используется принудительная аутентификация, прямой web-прокси должен иметь возможность отправки учетных данных на обратный web-прокси для доступа в Интернет.

Учетные данные прямого web-прокси цепи web-прокси можно настроить, отметив параметр Use this account (Использовать эту учетную запись). Нажмите Set Account (Назначить учетную запись). В диалоговом окне Set Account (Настройка учетной записи) (Рисунок 5), введите имя пользователя в поле User (Пользователь) в формате ИМЯ_КОМПЬЮТЕРА\Имя_пользователя. Учетная запись настроена в локальной базе данных пользователей обратного ISA-сервера. Если обратный ISA-сервер является членом домена, можно вводить имя пользователя в формате ИМЯ_ДОМЕНА\Имя_пользователя.

Введите пароль и его подтверждение в поля Password (Пароль) и Confirm password (Подтвердить пароль) соответственно. В диалоговом окне Set Account (Настройка учетной записи) нажмите OK. Из выпадающего списка Authentication (Аутентификация) выберите параметр Integrated Windows (Встроенная аутентификация Windows). Если вы настраиваете использование цепи web-прокси с web-прокси сервером, отличным от ISA-сервера, вам придется использовать базовую аутентификацию. Если вы используете базовую аутентификацию, убедитесь, что канал цепи web-прокси настроен на использование SSL, поскольку учетные данные базовой аутентификации передаются открытым текстом. На странице Primary Routing (Первичная маршрутизация) нажмите Next (Далее).

Рисунок 5

11. На странице Backup Action (Резервные действия) у вас есть возможность выбора одного из следующих вариантов:
    
    Ignore requests (Игнорировать запросы) Если обратный web-прокси цепи web-прокси недоступен, с помощью данной опции вы обрываете запросы, и клиент получит ошибку, сообщающую о недоступности сайта.
    
    Retrieve requests directly from the specified location (Получать запросы напрямую из указанного мета) Этот параметр позволяет прямому ISA-серверу в цепи web-прокси использовать для связи с web-сайтом другой метод, не через цепь web-прокси. Данную опцию можно использовать в том случае, если внешний интерфейс ISA-сервера для достижения запрашиваемого сайта может использовать маршрут, отличный от цепи web-прокси.
    
    Route requests to an upstream server (Маршрутизировать запросы на обратный сервер) Данный параметр позволяет прямому ISA-серверу в цепи web-прокси использовать другой ISA-сервер во второй цепи web-прокси. Эта опция позволяет устанавливать вторую цепь web-прокси на прямом ISA-сервере, которая используется только в том случае, если первый обратный ISA-сервер недоступен.
    
    Use automatic dial-up (Использовать автоматическое коммутируемое соединение) Данную опцию следует включить при использовании коммутируемого соединения для связи прямого ISA-сервера с Интернетом, или же если вы хотите, чтобы запросы, настроенные по этому правилу, использовали коммутируемые соединения, а не первичное соединение ISA-сервера (обычно выделенный сетевой адаптер)
12. На странице Backup Action (Резервные действия) выберите опцию Ignore requests (Игнорировать запросы) и нажмите Next (Далее).
13. На странице Completing the New Web Chaining Rule Wizard (Завершение работы мастера по созданию нового правила web-цепи) нажмите Finish (Завершить)
14. Теперь прямой ISA-сервер настроен на использование цепи в отношениях с обратным ISA-сервером. Не забудьте настроить правило доступа на обратном ISA-сервере для разрешения учетной записи, настроенной в правиле web-цепи, доступа к Интернету по протоколам HTTP, HTTPS и FTP.

После настройки цепи web-прокси прямой ISA-сервер может быть настроен на использование клиентами отдельной учетной записи, если учетная запись, используемая для аутентификации на прямом ISA-сервере, не распознается обратным ISA-сервером. Именно это мы и сделали выше.

В нашем случае именем пользователя для регистрации на обратном ISA-сервере будет имя, использованное для аутентификации в правиле цепи web-прокси.

Однако, если обратный ISA-сервер может аутентифицировать пользователя, инициировавшего изначальный запрос, по причине того, что обратный сервер находится в том же самом домене, что и клиент и прямой сервер, или в локальной базе обратного сервера есть такой пользователь, то пользователь, создавший соединение, появится в журналах и прямого, и обратного ISA-сервера.

Заключение

В данной статье мы рассмотрели основы работы цепи web-прокси. В ближайшей статье я покажу, как внедрить цепь web-прокси в VPN-окружении по схеме site-to-site, где прямой ISA-сервер связан цепью web-прокси с обратным ISA-сервером, с целью уменьшения загрузки VPN-канала.