Из Windows во "Всемирную паутину" - без опаски
ЗАМЕТКИ ИЗ ЛАБОРАТОРИИ
Proxy Server защищает ЛВС от опасностей Сети, но при этом поддерживает только Windows 95- и NT-клиенты
Proxy Server 1.0 корпорации Microsoft не просто защищает корпоративные сети от враждебной среды Internet, но и повышает гибкость их конфигурирования и обеспечивает простой доступ в Сеть. Однако, вся богатая палитра его достоинств рассчитана лишь на пользователей Windows 95- и Windows NT-клиентов.
В новом продукте корпорация Microsoft вновь успешно разыграла свой обычный козырь - тесную интеграцию с операционной системой Windows. Тем самым из игры оказались практически выведены клиенты для других ОС (а игра стоит свеч: цена на лицензию с неограниченной поддержкой, не включающая Windows NT 4.0 Server, составляет лишь $995).
Среды же с клиентами под Macintosh, Unix и даже Windows 3.x не получат никаких выгод от применения Proxy Server, который существенно ограничивает возможности доступа из них в Internet. Более того, многим администраторам нужно будет дополнительно защитить свои сети брандмауэрами, так как новый продукт Microsoft не обеспечивает уведомления о произошедших событиях и не поддерживает виртуальные частные сети.
Однако мы убеждены, что менеджеры сетей на базе Windows сочтут Proxy Server 1.0 наиболее гибким и экономичным продуктом обеспечения безопасности при работе с Internet. В продаже этот продукт, ранее известный под условным названием Catapult, появился в конце октября.
Proxy Server поддерживает базовый стандарт серверов-представителей, разработанный европейским центром CERN, поэтому все браузеры, совместимые с ним, смогут работать и с новым продуктом. В ходе тестирования мы успешно использовали Navigator 3.0 корпорации Netscape Communications.
К сожалению, при всех своих богатых возможностях Proxy Server в ряде случаев не может обойтись без средств независимых разработчиков. Это не касается узлов, где требуется только обычный доступ с клиентов в WWW. Не повезло тем пользователям, которые не имеют Windows 95- или Windows NT-клиентов, но желают получить выход, скажем, на Telnet или на RealAudio.
Вместо Socks корпорация Microsoft ввела в Proxy Server поддержку уникальной службы представителей Winsock, которая позволяет безопасно запускать на Windows 95- и NT-клиентах любую стандартную IP-программу или услугу. По сравнению с Socks эта служба обладает гораздо большей гибкостью применения и позволяет даже обращаться к услугам протокола User Datagram Protocol, например RealAudio.
Proxy Server, в отличие от конкурентов, не требует запуска собственного IP-стека для использования услуг Internet. В ходе тестирования мы получали доступ в Сеть с Windows 95-клиента, на котором был установлен лишь протокол IPX. При этом мы прибегали к опции совместимости Web-представителя со стандартом CERN либо к помощи файла WINSOCK.DLL, в который при инсталлировании вносились необходимые изменения.
Proxy Server изолирует защищаемую сеть от WWW, а это дает возможность присваивать ее объектам незарегистрированные внутренние IP-адреса.
Теоретически для работы в сети должен быть пригоден любой протокол, установленный на Proxy Server и на клиентских ПК, однако на практике пока поддерживаются только IPX и IP.
Для проведения тестирования мы инсталлировали Windows NT Server 4.0 на системе Vectra XU компании Hewlett-Packard, после чего установка Proxy Server 1.0 заняла всего несколько минут. В ходе ее нужно было использовать служебный пакет для NT 4.0, включенный в установочный компакт-диск последнего, и затем ответить на несколько вопросов относительно требуемой конфигурации.
Для работы Proxy Server необходимы два сетевых адаптера: один служит для подключения к Internet, а другой - к внутренней корпоративной ЛВС.
Для настройки параметров в пакете предусмотрена система меню, которые по сравнению с бета-версией существенно упростили этот процесс.
Администрирование Proxy Server 1.0 производится посредством инструментальной программы Internet Services Manager (диспетчер услуг Internet) из среды NT. С ее помощью осуществляется управление встроенным Internet Information Server. Щелкая на пиктограмме Web (или службы представителей Winsock) в главном окне диспетчера, мы могли изменять параметры настройки или просматривать статистические данные.
Сервером Proxy Server можно управлять и дистанционно. Для этого необходимо запустить Internet Service Manager с любого компьютера ЛВС, на котором установлена среда Windows NT. Первая версия Proxy Server, в отличие от сервера-представителя корпорации Netscape, не поддерживает HTML-конфигурацию для WWW, но она должна быть добавлена в следующую версию пакета.
Настройка параметров безопасности позволяет ограничить доступ отдельных пользователей домена NT-сети и их групп лишь к конкретным услугам Internet. Что касается представителя Winsock, то в нем предусмотрена возможность работы с новыми типами протоколов, необходимо только указать номер порта и тип IP-данных. Можно также ограничить и доступ к определенным хост-компьютерам Сети: для этого достаточно ввести их IP-адреса.
Настройкой административных параметров Proxy Server 1.0 можно
ограничить доступ к определенным узлам "Всемирной паутины"
Еще одной интересной особенностью Proxy Server является взаимодействие с услугами удаленного доступа Windows NT 4.0. Это позволяет подключать к Internet несколько сетевых компьютеров по одному коммутируемому каналу. В пакет входит отдельная утилита конфигурирования, с помощью которой можно заранее установить параметры Remote Access и время, разрешенное для удаленного доступа.
Регистрация событий в Proxy Server производится так же, как и в других продуктах для Internet корпорации Microsoft. Элементы сети, подлежащие контролю, а также степень его детализации пользователь определяет самостоятельно. К сожалению, в пакете отсутствует инструментарий просмотра событий, поэтому для анализа текстового файла регистрации необходимы СУБД или электронная таблица.
Помимо обеспечения безопасности Proxy Server 1.0 может ускорить доступ к информации Internet: автоматически кэшируя часто используемые Web-страницы, он избавляет от необходимости каждый раз обращаться за ними в Сеть. При конфигурировании Internet Service Manager можно выделить дисковое пространство специально для кэширования и установить периодичность обновления полученных данных. Подход, при котором настраиваются только эти два параметра, может показаться несколько упрощенным, особенно по сравнению с тем, как это осуществляется в конкурирующих продуктах.
В обычном режиме сервер-представитель автоматически составляет список активно используемых узлов WWW и производит их кэширование; при необходимости этот перечень может пополняться администратором. К сожалению, в Proxy Server корпорации Microsoft не предусмотрена обратная функция представительства, которая позволила бы создавать дублирующие HTTP-хосты для повышения надежности и производительности больших Web-узлов.
Майкл Суркан
Со старшим аналитиком Майклом Сурканом можно связаться через Internet по адресу: http://michael_surkan@zd.com.
СОВЕТЫ КОРПОРАТИВНЫМ ПОКУПАТЕЛЯМ
СИЛА И СЛАБОСТЬ
Proxy Server 1.0
Корпорация Microsoft
Редмонд, шт. Вашингтон; (800) 426-9400 http://www.microsoft.com
+ Экранирует сети от Internet, сохраняя при этом возможность доступа внутренних пользователей в Сеть; обеспечивает безопасный доступ в Internet с использованием практически любого нового протокола; прочная связь с NT-доменами позволяет назначать права доступа как отдельным пользователям, так и целым группам; функция кэширования способна повысить производительность работы в Internet за счет локального сохранения содержания активно используемых узлов "Всемирной паутины".
- Отсутствуют функции уведомления и фильтрации пакетов, свойственные брандмауэрам; недостаточная поддержка клиентов, не относящихся к Windows; не предусмотрена обратная функция представительства, повышающая надежность и производительность узлов WWW.
РЕЗЮМЕ
Для администраторов небольших сетей на базе Windows пакет Proxy Server 1.0 корпорации Microsoft может оказаться самым экономичным и гибким средством обеспечения работы в Internet. В более крупных сетях, однако, по-прежнему придется использовать брандмауэры, позволяющие производить фильтрацию пакетов и обеспечивающие возможность уведомления об ошибках. Proxy Server поддерживает лишь Windows 95- и Windows NT-клиенты, что делает его непригодным для сред с Unix- или Macintosh-клиентами, поскольку для последних доступ в Internet будет ограничен только стандартным просмотром серверов "Всемирной паутины".
