WWW proxy - это специализированная программа межсетевого экрана Aker, предназначенная для работы с протоколами, которые поддерживаются WWW (World Wide Web) серверами, такими как HTTP, HTTPS, FTP и Gopher.
Основная функция WWW proxy состоит в управлении доступом внутренних пользователей к Интернет; они, например, определяют каким пользователям можно позволить доступ и к каким страницам, кто может передавать файлы и т.д. Более того, они могу блокировать Active-XTM и JavaTM applets, которые могут иногда представлять опасность.
WWW proxy относится к непрозрачными proxy (смотрите главу 15 Работа с proxy серверами), поэтому использующие их клиенты должны уметь работать через proxy и быть соответственно настроенными. Это требование не ведет к появлению какитх-либо существенных проблем, поскольку практически все клиенты (броузеры) это поддерживают. Необходимые настройки клиентов выполняется просто и быстро.
Кэш-сервер является программой, которая предназначена для ускорения доступа к страницам Интернет. Для этого кэш-сервер хранит у себя наиболее часто запрашиваемые страницы и каждый раз, когда он получает новый запрос, он проверяет, не хранится ли у него запрашиваемая страница. Если страница присутствует , она немедленно высылается без обмена с внешним сервером. Если нет, страница загружается обычным образом с сервера и сохраняется, что обеспечивает быстый доступ к ней при новых запросах.
Межсетевой экран Aker не обеспечивает кэширования запросов в своем WWW proxy, однако его можно настроить для работы с любым кэш-сервером, использующим стандартные механизмы. Кэш-сервер может быть запущен на том же хосте, на котором установлен межсетевой экран или на другом хосте.
Если кэш-сервер запущен на другом хосте (рекомендованный вариант), этот хост должен находиться в подсети, отличной от той, в которую входят клиенты, иначе трудно контролировать безопасность. Такая конфигурация приведена на следующем рисунке:
Для гарантии защиты при такой конфигурации необходимо настроить пакетный фильтр (см. главу 6 Пакетный фильтр с контролем состояния) таким образом, чтобы хост, на котором запущен кэш-сервер, был единственной машиной, имеющей доступ к WWW сервисам и клиенты не имели бы право напрямую к нему обращаться. После этого необходимо настроить все клиентские хосты для работы через WWW proxy межсетевого экрана, а также настроить сам межсетевой экран для работы с кэш-сервером.
Для использования WWW proxy необходимо выполнить следующие действия:
WWW proxy межсетевого экрана Aker принимает соединения по 80 порту, используя TCP протокол. Если нужно, номер порта можно заменить при запуске proxy , добавив параметр -p port, где port - номер необходимого порта. Proxy запускается из файла /etc/rc; в нем вы можете изменить параметры, например вместо строки /etc/firewall/fwhttppd написать /etc/firewall/fwhttppd -p 8080.
Настройку WWW proxy можно рабить на два этапа: сначала создаются универсальные профили доступа, а затем устанавливается соответствие между этими профилями и группами пользователей.
Профили доступа позволяют определить, какие Web страницы доступны для просмотра и какой вид доступа разрешен (например, можно создать профиль, не позволяющий передач файлов через FTP). Можно создавать любое необходимое количество профилей доступа, однако, для использования WWW proxy обязательно должен быть создан хоть один профиль.
Для доступа к окну профилей доступа необходимо:
Окно профилей содержит все WWW профили доступа, определенные в межсетевом экране. Оно состоит из списка, в котором каждый профиль показан на отдельной строке.
Для выполнения любого действия с конкретным профилем нажмите правой клавишей мыши на этом профиле. Откроется следующее меню (Это меню возникает всегда при нажатии правой клавиши мыши, даже если нет выделенных профилей. В этом случае доступны только опции Добавить и Вставить.):
Указание: Можно получить доступ ко всем этим опциям через инструментальное меню в верхней части окна. В этом случае сначала выделите профиль, нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.Для удаления профиля доступа он не должен использоваться ни одним из пользователей (более подробно об этом см. раздел Редактирование параметров WWW proxy).
В случае добавления или редактирования профилей откроется упомянутое выше окно свойств:
Окно свойств для профилей доступа WWW
Это окно состоит из четырех папок: первая определяет общие опции профиля, а другие - опции фильтрации для каждого протокола, который поддерживается WWW (HTTP/HTTPS, FTP и Gopher).
Протокол HTTPS для первоначального URL фильтруется по правилам HTTP протокола. Однако после установления соединения межсетевой экран не может фильтровать по содержимому пакетов, поскольку между клиентом и удаленным сервером данные передаютс в зашифрованном виде.
В общих опциях профиля определяются следующие поля:
Имя: Имя профиля доступа. Это имя будет фигурировать в списке профилей (показанном выше) и в окне настройки WWW proxy. Не может существовать двух профилей с одинаковыми именами.
Разрешить URL с IP адресами:Если эта опция задана, будет разрешен доступ к URLs с IP адресами вместо имен (например, http://127.0.0.1/index.html). Если эта опция не установлена, доступ возможен только к URL, заданным с помощью имен.
Если WWW proxy настроен для фильтрации URLs, то эту опцию задать, чтобы сделать невозможным для пользователей доступ к URLs через IP адреса. Иначе, даже если имена блокированы, пользователь сможет получить доступ к URL через его IP адрес. Можно добавить IP адреса в правила фильтрации профиля (если необходима фильтрация), однако, из-за постоянных изменений IP адресов и тому, что некоторые серверы имеют больше одного IP адреса, это становится чрезвычайно сложным делом.
Блокировать: Это поле определяет специальную фильтрацию для WWW страниц, блокируя (или нет) те характеристики, которые считаются опасными для некоторых систем. Она в свою очередь состоит из трех опций, которые можно установить независимо: Javascript, Java и Active X. Если какая-либо из этих опций установлена, соответствующие апплеты будут фильтроваться.
Фильтрация Javascript, Java и Active X ведет к тому, что фильтруемая страница выглядит, как будто броузер не поддерживает эти языки. В некоторых случаях это может привести к потере функциональных качеств Web страниц.
Опции фильтрации WWW позволяют определить правила фильтрации URL для протоколов HTTP/HTTPS, FTP и Gopher. Для упрощения определения этих правил фильтрации созданы три папки с одинаковыми форматами, каждая папка предназначена для своего протокола.
Чтобы проиллюстрировать создание правил, выберем папку для протокола HTTP. Ее формат показан ниже:
Эта папка состоит из списка, в котором каждое правило показано в отдельной строке. Кроме этой строки, существует поле Действие по умолчанию, в котором можно определить действие, выполняемое, в случае когда адрес, к которому клиент хочет получить доступ, не соответствует никакому правилу фильтрации: если установлена опция разрешать, доступ будет разрешен, если опция не разрешать, межсетевой экран откажет в доступе.
Чтобы выполнить любое действие на конкретном правиле, нажмите правой клавишей мыши на этом правиле. Откроется следующее меню (это меню появляется всегда, если нажать правой клавишей мыши, даже если нет выделенных правил. В этом случае будут доступны только опции Добавить и Вставить).
Указание: Ко всем этим опциям можно получить доступ через инструментальнное меню, расположенное над списком. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию.
Порядок следования правил в списке очень важен. Как только межсетевой экран получает запрос на доступ к некоторому адресу, он просматривает список с самого начала в поисках правила, которому удовлетворяет адрес. Обнаружив его, он начинает выполнять действие, соответствующее этому правилу.
В случае добавления или редактирования правил открывается упомянутое выше окно редактирования:
Окно редактирования для WWW правил
В этом окне можно настроить все параметры, связанные с правилом фильтрации для WWW proxy. Для определения правила нужно заполнить следующие поля::
Действие: Определяет действие, которое выполняется для всех адресов, которые соответствуют правилу. Значение пропускать позволяет получить доступ к URL. Значение не пропускать запрещает доступ.
Операция: Тип поиска, указанный пользователем, который выполняется с URL. Эта опция содержит следующие варианты выбора:
Текст: Подлежащее поиску выражение. Это поле содержит последовательный текст, который сравнивается с URL в соответствии с правилами, определенными в поле операция.
Временная таблица
В этой таблице можно задать часы и дни недели, в течение которых дейтсвует правило. Строки описывают дни недели, колонки - часы. Если правило дожно действовать в определенный час, клетка должна быть заполнена, в противном случае она должна быть пустой. Для облегчения процсса редактирования вы можете, нажав левую кнопку мыши на клетке, вести мышь, не отпуская кнопку. Таблица будет модифицироваться в соответствии с движением мыши
Для использования WWW proxy необходимо указать некоторые параметры, определяющие основные характеристики его работы. Эти определения производятся в окне настройки WWW proxy. Для получения доступа к этому окну надо выполнить следующие шаги:
Окно настройки параметров WWW proxy
Значения параметров:
Разрешить кэш: Эта опция определяет, будет ли proxy перенаправлять свои запросы кэш-серверу. Если эта опция установлена, все полученные запросы будут передаваться кэш-серверу, на определенный IP адрес и порт. Если нет, WWW proxy будет сам обрабатывать все запросы.
IP: Это поле определяет IP адрес кэш-сервера, которому будут передаваться все запросы, если установлена опция Разрешить кэш.
Порт: Это поле определяет порт кэш-сервера, которому будут передаваться все запросы, если установлена опция Разрешить кэш.
Эти параметры регулируют действия WWW proxy для ситуаций, требующих особого внимания. Они состоят из следующих полей:
Тайм-аут чтения: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждут запроса клиента с момента установления нового соединения. Если этот интервал времени заканчивается, а запроса от клиента не поступает, соединение закрывается.
Тайм-аут ответа: Этот параметр определяет максимальное время в секундах, в течение которого proxy ждет ответа на запрос, посланный на удаленный WWW сервер или в кэш-сервер, если установслена опция Разрешить кэш . Если за это время от сервера не приходит ответ, соединение закрывается, а клиент получает сообщение об ошибке.
HTTPS тайм-аут: Этот параметр определяет максимальное время в секундах, в течение которого proxy может ждать ответа сервера для HTTPS соединений,
Число процессов: Это поле определяет число процессов обработки в WWW proxy, которые остаются активными в ожидании соединений. Так как каждый процесс обрабатывает одно соединение, это поле определяет также максимальное число запросов, которые могут обрабатываться одновременно.
Из-за требований производительности, процессы, связанные с WWW proxy, всегда находятся в активном состоянии, независимо от наличия или отсутствия запросов.
Обычно значение этого поля находится в интервале от 5 до 50 в зависимости от количества клиентов, использующих proxy (следует отметить, что один хост обычно открывает до 4 соединений при получении доступа к единственной странице WWW). Значение 0 блокирует использование proxy.
Эти параметры определяют опции фильтрации proxy. Они состоят из следующих полей:
WWW профиль по умолчанию: Определяет имя профиля доступа WWW, которое используется для контроля доступа всех пользователей (в случае, когда не производится аутентификация пользователей) или пользователей, которые не относятся к этому профилю (в случае, когда производится аутентификация пользователей).
Аутентификация HTTP: Это поле дает (или не дает) возможность производить аутентификацию пользователей в WWW proxy. Если эта опция установлена, каждый раз, когда пользователь хочет начать сеанс, у него запрашивается идентификтор и пароль, и сеанс начнается, только если пользователь будет аутентифицирован каким-либо аутентификатором.
Если эта опция установлена, нажмите кнопку Контроль доступа, которая откроет окно, в котором можно установить соответствие пользователей или групп с конкретными профилями.
Окно контроля доступа WWW
Это окно открывается при нажатии кнопки Контроль доступа в окне настройки WWW proxy, при установленной опции Аутентификация HTTP. Окно позволяет администратору установить соответствие между пользователями или группами, зарегистрированными в аутентификаторах, и профилями доступа WWW, зарегистрированными в межсетевом экране. Окно имеет следующий формат:
Чтобы установить соответствие пользователя или группы с определенным профилем доступа, надо сделать следующее:
Для удаления соответствия между пользователем/группой и профилем выполните следующее:
Для изменения позиции какого-либо соответствия внутри списка, проделайте действия:
Порядок следования соответствий в списке очень важен. Всякий раз при аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках его имени или группы, которой он принадлежит. Как только имя будет обнаружено, будет использоваться соответствующий ему профиль.