Firewall i proxy w jednym

Pakiet Proxy Server 2.0 Microsoftu będzie integrować funkcje serwerów firewall i proxy.

Pakiet Proxy Server 2.0 Microsoftu będzie integrować funkcje serwerów firewall i proxy.

Microsoft na swoim serwerze WWW udostępnił betę nowej wersji pakietu Proxy Server 2.0. Podobnie jak wersja 1.0, jest to dobrze zintegrowany z systemem Windows NT Server i prosty w konfiguracji serwer proxy, jednocześnie oferujący - w odróżnieniu od poprzedniej wersji - kilka nowych funkcji. Sprawia to, że Proxy Server 2.0 należy uznać za coś więcej niż tylko serwer buforujący przesyłany ruch intra- i internetowy.

Istotną nową cechą jest możliwość łączenia wielu serwerów proxy w logiczną całość. Funkcja ta przydatna jest szczególnie w dużych sieciach składających się z wielu komputerów klienckich. Pozwala ona w miarę równomiernie dystrybuować zapytania nadsyłane przez wszystkich klientów do serwerów proxy. Jednocześnie nowy produkt Microsoftu wciąż jest jednym z najłatwiejszych w konfiguracji spośród dostępnych na rynku rozwiązań serwerów proxy. Zawiera unikalny interfejs WinSock proxy, który obsługuje więcej rodzajów aplikacji i protokołów (z możliwością dodawania własnych) niż tradycyjne serwery proxy.

CARP dzieli domeny

Mimo iż podstawowa funkcjonalność produktu uległa niewielkim zmianom, uzupełniono go jednak o nowe cechy, które będą przydatne zarówno małym firmom, jak i użytkownikom korporacyjnym. Większe organizacje, zamierzające wykorzystać możliwość buforowania przesyłanych danych w celu ograniczenia ruchu sieciowego między oddziałami firmy a siecią Internet, również wykorzystają z powodzeniem tę nową funkcję.

Microsoft opracował też nowy protokół komunikacyjny CARP (Cache Array Routing Protocol), który określa zasady, na jakich poszczególne serwery proxy wymieniają dane. Za pośrednictwem CARP serwery ustalają między sobą schematy "podziału wypływów", czyli przedział domen i adresów, odpowiedzialnych za buforowanie. Ten "podział wpływów" bazuje na inteligentnym mechanizmie, który bierze pod uwagę także moc serwerów i ilość wolnej powierzchni dyskowej na każdym z nich. Dzięki temu szybsze serwery z dużymi dyskami otrzymują większą liczbę domen, których buforowanie muszą obsłużyć, natomiast słabsze - mniejszą.

Proxy Server 2.0 potrafi też buforować nie tylko dane przesyłane za pośrednictwem protokołu HTTP, ale także pliki transmitowane przez FTP. Ze względów bezpieczeństwa nie są jednak buforowane pliki przesyłane w ramach nieanonimowych sesji FTP oraz strony WWW odczytywane po identyfikacji poprzez mechanizm SSL (Secure Sockets Layer).

Inną zaletą protokołu CARP jest możliwość dystrybucji nadmiernej liczby zapytań klientów między różnymi serwerami, a także implementacja namiastki bezawaryjności (fault-tolerance). Obie te funkcje realizowane są automatycznie, a wszelkie informacje o zmianach konfiguracji dystrybuowane między poszczególnymi serwerami bez konieczności interwencji administratora.

Filtrowanie pakietów

Mniejsze firmy natomiast powinny być zainteresowane możliwościami filtrowania przesyłanych pakietów oferowanymi przez Proxy Server 2.0. Tradycyjne serwery proxy pełnią jedynie funkcję pośredników między klientami sieciowymi a zewnętrznymi serwerami, buforując przesyłane informacje. Możliwość filtrowania pakietów stwarza z serwera proxy swego rodzaju router, który zamiast przesyłać pakiety sprawdza, czy spełniają one zdefiniowane wcześniej kryteria.

W najczęstszym modelu klienci pracujący w ramach sieci korporacyjnej mają możliwość wysyłania różnych pakietów, ale inaczej wygląda sytuacja z pakietami przesyłanymi w drugą stronę - tylko nieliczne z nich mogą trafiać do intranetu z sieci zewnętrznej. Podobnie jak niektóre firewalle (CheckPoint, CyberGuard, Cisco Pix), Proxy Server 2.0 posiada możliwość dynamicznego przypisywania reguł filtrowania pakietów w zależności od tego, która ze stron zainicjowała połączenie. Umożliwia to niektórym, wybranym adresom IP przesyłanie określonych pakietów z zewnątrz do sieci korporacyjnej, ale dopiero wtedy, gdy klient znajdujący się w intranecie nawiąże takie połączenie.

Minusy

Podobnie jak inne serwery proxy, także i ten nowy produkt Microsoftu nie obsługuje oprogramowania wideokonferencyjnego CU-SeeMe, ponieważ komunikuje się ono w bardzo złożony sposób. Jedynie firewall Cisco Pix potrafi sobie poradzić z generowanym przez nie ruchem sieciowym.

Oceniając produkt jako całość, należy uznać go za znacznie lepsze rozwiązanie niż Proxy Server 1.0. Warto polecić go wszystkim firmom, które podłączone są do Internetu, i wykorzystują Windows NT jako podstawową platformę serwerową.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200