авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 |   ...   | 25 | 26 || 28 | 29 |   ...   | 30 |

«Dr.Tom Shinder's Configuring ISA Server 2004 Dr. Thomas W. Shinder Debra Littlejohn Shinder SYNGRESS ...»

-- [ Страница 27 ] --

Фильтр RADIUS применяется Web-приемниками, если приемники настроены на использование RADIUS-аутентификации. Несмотря на то, что фильтр RADIUS предо ставляет возможность подтверждения подлинности в любом RADIUS-совместимом каталоге (включая Active Directory), придется применять только RADIUS-аутентифи кацию на приемнике, настроенном на этот метод подтверждения подлинности. Ис пользуя другие методы аутентификации, такие как базовая или интегрированная аутентификация, можно поддерживать многочисленные протоколы аутентификации на одном Web-приемнике.

Для получения более подробной информации об использовании фильтра RADIUS и его конфигурировании для прямых и обратных сценариев Web-прокси обрати тесь к главам 6 и 8.

IP-фильтрация и обнаружение/ предупреждение вторжения Брандмауэр ISA выполняет обнаружение и предотвращение вторжений. В этом раз деле мы рассмотрим следующие типы обнаружения и предотвращения вторжений:

обнаружение и предотвращение типовых атак (Common Attacks);

обнаружение и предотвращение DNS-атак;

IP-параметры и фильтрация IP-фрагментов.

Обнаружение и предотвращение типовых атак Получить доступ к диалоговому окну Intrusion Detection (Обнаружение вторже ния) можно, открыв консоль управления Microsoft Internet Security and Accelera tion Server 2004 (Сервер защищенного быстрого доступа к сети Интернет 2004), раскрыв окно, связанное с именем сервера, а затем раскрыв узел Configuration (Конфигурация). Щелкните кнопкой узел General (Общие).

В узле General (Общие) щелкните кнопкой мыши ссылку Enable Intrusion Detec tion and DNS Attack Detection (Включить обнаружение вторжения и обнаружение DNS-атак). На экране появится вкладка Common Attacks (Типовые атаки).

На вкладке Common Attacks (Типовые атаки) установите флажок Enable intru sion detection (Включить обнаружение вторжения). Установите флажки, располо женные слева от тех типов атак, которые необходимо предотвращать. Если вклю Динамическая фильтрация и фильтрация на уровне приложений ъ.

\ чается атака типа Port scan (Сканирование портов), введите значения в поля Detect after attacks... well-known ports (Обнаруживать после атак на... популярных портов) и Detect after attacks on... ports (Обнаруживать после атак на... портов) (рис. 10.41).

Можно отключить регистрацию пакетов, отвергнутых фильтром обнаружения втор жения, сбросив флажок Log dropped packets (Регистрировать отвергнутые пакеты).

Рис. 10.41. Вкладка Common Attacks (Типовые атаки) Атаки отказов от обслуживания Атаки отказов от обслуживания (Denial-of-service, DoS-атака) особенно популярны у интернет-хакеров, стремящихся нарушить сетевые операции. Хотя эти атаки не разрушают и не крадут данные, как делают некоторые атаки других типов, цель злоумышленника, запускающего атаку DoS, вывести сеть из строя и вызвать отказ от обслуживания ее законных пользователей. Атаки отказов от обслуживания легко инициировать, программное обеспечение готово и доступно на Web-сайтах хакеров и в группах новостей краденого программного обеспечения (warez news groups), что позволяет любому человеку, имеющему небольшой технический навык или вообще не имеющему таковых, запустить DoS-атаку.

ПРИМЕЧАНИЕ Warez — термин, применяемый хакерами и «взломщика ми» (crackers) для описания контрабандного (bootlegged) программного обеспечения, которое было «взломано», т. е. в котором была удалена защита от копирования, и стало доступным в Интернете, или в более широком смысле для обозначения любого незаконно распространяемого програм много обеспечения.

932 ГЛАВА В феврале 2000 г. массовые DoS-атаки парализовали работу самых крупных сай тов, включая Yahoo.com и Buy.com.

Цель DoS-атаки — сделать сеть недоступной за счет типа или объема сетевого трафика, который приведет к аварийному сбою серверов, переполнению маршру тизаторов или в противном случае нарушит нормальную работу сетевых устройств.

Отказ от обслуживания достигается связыванием сетевых ресурсов, например за счет переполнения CPU (центрального процессора) или объема памяти. В других случаях определенный пользователь/компьютер может стать объектом DoS-атак, «подвешивающих» компьютер и требующих его перезагрузки.

ПРИМЕЧАНИЕ В сообществе компьютерной безопасности DoS-атаки иногда называют атаками «nuke» (ядерными).

Распределенная атака отказа от обслуживания Распределенные атаки отказов от обслуживания (DDoS) используют промежуточ ные компьютеры, называемые агентами, на которых предварительно тайно уста новлены программы, именуемые зомби. Злоумышленник удаленно активизирует программы-зомби, вызывая на промежуточных компьютерах (которых может быть сотни и даже тысячи) одновременный запуск действительной атаки. Поскольку атака приходит с компьютеров, выполняющих программы-зомби и расположенных в сетях по всему миру, хакер способен скрыть истинный источник атаки.

К средствам распределенных атак отказов от обслуживания относятся TFN (Tribe FloodNet), TFN2K, Trinoo и Stacheldraht (German for «barbed wire» — «колючая про волока»). В то время как ранние версии этих средств поражали операционные сис темы UNIX и Solaris, программа TFN2K уже может выполняться как в ОС UNIX, так н в Windows.

Поскольку распределенные DoS-атаки очень популярны, разрабатывается мно жество средств, помогающих обнаруживать, удалять и анализировать программное обеспечение для распределенных атак отказов от обслуживания, которые можно установить в вашей сети. Национальный центр защиты инфраструктуры (National Infrastructure Protection Center) недавно анонсировал одно такое средство для об наружения некоторых типов программ распределенных DoS-атак в некоторых системах. Более подробную информацию о нем можно найти по адресу www.fbi.gov/ nipc/trinoo.htm.

ПРИМЕЧАНИЕ Отличная статья, описывающая подробности работы про грамм TFN, TFN2K, Trinoo и Stacheldraht и озаглавленная «Distributed Denial of Service Attacks» (Распределенные атаки отказов от обслуживания), доступ на на Web-сайте NetworkMagazine.com по адресу www.networkmagazine.com/ article/NMG20000512S0041.

Важно отметить, что распределенные атаки отказов от обслуживания можно трактовать двояко. Сеть может быть целью DoS-атаки, вызывающей сбои в работе Динамическая фильтрация и фильтрация на уровне приложений серверов и нарушающей входящий и исходящий трафик, и компьютеры сети мо гут использоваться как «невинные посредники» (innocent middlemen) для запуска DoS-атаки, направленной против другой сети или сайта.

SYN-aTaKa/LAND-атака SYN-атаки используют «трехстороннее квитирование» («three-way handshake») no TCP-протоколу — процесс, с помощью которого сеанс связи устанавливается между двумя компьютерами. Поскольку TCP-протокол (в отличие от UDP-протокола) ориентирован на соединение, сеанс или прямой канал связи один-к-одному уста навливается прежде, чем посылаются данные. Компьютер клиента инициирует со единение с сервером (компьютер, к ресурсам которого он хочет получить доступ).

Квитирование включает следующие шаги.

1. Компьютер клиента посылает сегмент SYN (запрос синхронизации).

2. Сервер отправляет сообщение АСК (acknowledge, подтверждение), подтвержда ющее получение запроса с машины клиента, отправленного на шаге 1, и SYN, свой собственный запрос синхронизации. Компьютеры клиента и сервера долж ны синхронизировать номера последовательности друг друга.

3. Клиент отправляет сообщение АСК обратно серверу, подтверждая получение запроса сервера на синхронизацию. Когда оба компьютера подтвердили запросы друг друга, рукопожатие успешно завершается и между ними устанавливается соединение.

На рис. 10.42 показан этот процесс.

Рис. 10.42. Использование TC P-протоколом трехстороннего квитирования для установки соединения между клиентом и сервером 934 ГЛАВА Было приведено описание нормального течения процесса. SYN-атака исполь зует его для лавинной загрузки выбранной в качестве жертвы атаки системы мно гочисленными пакетами синхронизации, имеющими неверные IP-адреса источни ков, которые заставляют систему отвечать с помощью сообщений SYN/ACK. Про блема возникает, когда система, ожидающая сообщение АСК от клиента, обычно приходящее в ответ на ее сообщение SYN/ACK, помещает ожидаемые сообщения SYN/ACK в очередь. Дело в том, что очередь может хранить ограниченное число таких сообщений. Когда она заполнена, все последующие приходящие пакеты SYN будут игнорироваться. Для удаления сообщения SYN/ACK из очереди необходимо, чтобы вернулось сообщение АСК от клиента или было превышено допустимое время ожидания и завершился процесс трехстороннего квитирования.

Поскольку исходные IP-адреса пакетов SYN, посланных злоумышленником, не верны, сообщения АСК, ожидаемые сервером, никогда не придут. Очередь остает ся заполненной, и нет места для обработки корректных запросов синхронизации.

Таким образом, законным пользователям, пытающимся установить соединения с сервером, будет отказано в обслуживании.

LAND-атака (атака с обратной адресацией) — это разновидность SYN-атаки.

В LAND-атаке вместо отправки пакетов синхронизации с несуществующими IP-ад ресами вся лавина пакетов посылается на один ложный IP-адрес подтверждения (spoof IP address), совпадающий с адресом атакуемого компьютера.

LAND-атака может быть предотвращена за счет отфильтровывания входящих пакетов, в которых IP-адреса источника совпадают с адресами компьютеров внут ренней сети. У брандмауэра ISA Server есть заранее установленная функциональ ная возможность обнаружения вторжения, позволяющая выявить попытки LAND атак и настроить сигнальные оповещения (Alerts), уведомляющие об обнаружении такой атаки.

Ping of Death Другой тип DoS-атаки, на обнаружение которой можно настроить ISA Server, — так называемый «Ping смерти» (также известный как «пингование большими пакетами»).

Атака «Ping смерти» проводится созданием IP-пакета, большего чем 65 536 байтов, максимума, разрешенного IP-спецификацией (иногда такой пакет называют «па кетом-убийцей»). Он может вызвать аварийный сбой, зависание или перезагрузку системы.

Брандмауэр ISA позволяет включить специальное обнаружение атак «Ping смерти».

Teardrop Атака Teardrop действует несколько иначе, чем «Ping смерти», но с теми же резуль татами. Программа Teardrop создает IP-фрагменты, части IP-пакета, на которые он может делиться, путешествуя по Интернету. Проблема заключается в том, что поля смещения (offset fields) в этих фрагментах, которые должны отображать величину Динамическая фильтрация и фильтрация на уровне приложений порции исходного пакета (в байтах), содержащейся в фрагменте, накладываются друг на друга.

Например, поля смещения двух фрагментов могут быть следующими:

Fragment 1: (offset) 100 - Fragment 2: (offset) 301 - Это означает, что в первом фрагменте содержатся байты исходного пакета с 100-го по ЗОО-й, а во втором фрагменте — с 301-го по 600-й.

Наложение полей смещения приведет к событию, подобному приведенным да лее строкам:

Fragment 1: (offset) 100 - Fragment 2: (offset) 200 - Когда компьютер-адресат попытается повторно собрать эти пакеты, он не смо жет этого сделать и аварийно завершит работу, зависнет или выполнит перезагрузку.

У этого типа атаки есть следующие варианты:

NewTear;

Teardrop2;

SynDrop;

Boink.

Все эти программы создают тот или иной сорт наложения фрагментов.

Ping-лавина (ЮМР-лавина) Ping-лавина (ping flood), или ЮМР-лавина (ICMP flood) (Internet Control Message Protocol, протокол управляющих сообщений в сети Интернет), — средство «связы вания» определенной машины клиента. Оно создается за счет отправки злоумыш ленником большого количества ping-пакетов (ICMP-пакетов эхо-запросов) про граммному обеспечению интерфейса Winsock или набора телефонного номера. Эти действия мешают компьютеру-клиенту отвечать серверу на запросы ping-активно сти и в конечном итоге приводят к разрыву соединения по истечении допустимо го времени ожидания ответа. Симптомом Ping-переполнения может служить неве роятная активность модема, о чем свидетельствуют его сигнальные лампочки. Иногда этот тип атаки называют ping storm (ping-шторм).

К ping-шторму относится и fr'aggie-атака («осколочная граната»). Используя ложный IP-адрес подтверждения (spoofed IP address), адрес компьютера-жертвы, злоумышленник посылает ping-пакеты в подсеть, заставляя все компьютеры под сети отвечать по ложному адресу подтверждения, и заваливает его сообщениями эхо-ответов.

936 ГЛАВА ПРИМЕЧАНИЕ Во время кризиса в Косово fraggle-атака часто использо валась про-сербски настроенными хакерами против сайтов Соединенных штатов и НАТО для переполнения их и вызова аварийных ситуаций.

Можно применять программы, такие как NetXray, или другое программное обес печение IP-трассировки для записи и отображения журналов регистрации лавин ных пакетов. Брандмауэры могут быть конфигурированы для блокирования ping пакетов и предотвращения подобных атак.

Smurf-атака Smurf-атака — это разновидность атаки «brute force» (атаки грубой силой), исполь зующая тот же метод, что и ping-лавина, но направляющая лавину ICMP-пакетов эхо запросов на маршрутизатор сети. Адресом назначения ping-пакетов В ЭТОМ случае служит широковещательный адрес сети, вынуждающий маршрутизатор рассылать пакет всем компьютерам сети или ее сегмента. Это может привести к большому объему сетевого трафика, если имеется много компьютеров-хостов, способных создать перегрузку, вызывающую отказ от обслуживания законных пользователей.

ПРИМЕЧАНИЕ Широковещательный адрес обычно в идентификаторе хоста представляется всеми единицами. Это означает, что, например, в сети класса С 192.168.1.0 широковещательный адрес будет 192.168.1.255 (255 в деся тичной системе счисления и 1111111 — в двоичной), а идентификатор хоста в сети класса С представляется последним или z-октетом. Сообщение, по сланное на широковещательный адрес, немедленно отправляется на все хосты сети.

Самая коварная форма — применение Smurf-атакующим ложного IP-адреса подтверждения получения ping-пакетов. В этом случае и сеть, в которую посланы пакеты, и сеть, которой принадлежит IP-адрес ложного источника будут перегру жены трафиком. Сеть, к которой относится адрес ложного источника, будет навод нена ответами на команду ping, когда все хосты, которым послана эта команда, ответят на эхо-запрос эхо-ответом.

Smurf-атаки могут нанести гораздо больший ущерб, чем некоторые другие раз новидности DoS-атак, такие как SYN-лавины. Последние воздействуют только на способность других компьютеров устанавливать соединения по TCP-протоколу с атакованным сервером, а Smurf-атака может полностью нарушить работу ISP (про вайдер интернет-услуг) на несколько минут или часов. Это объясняется тем, что один злоумышленник может легко отправить 40 или 50 ping-пакетов в секунду даже с помощью медленного модемного соединения. Поскольку каждый запрос пересы лается каждому компьютеру в сети-адресате, число ответов в секунду равно от до 50, помноженным на число компьютеров в сети, т. е. может достигать сотен или тысяч. Этих данных достаточно, чтобы перегрузить даже канал Т-1.

Динамическая фильтрация и фильтрация на уровне приложений Один из способов предотвращения Smurf-атаки на сеть как цель широковеща тельной рассылки — отключение возможности передачи широковещательного трафика на маршрутизатор. Большинство маршрутизаторов позволяют сделать это.

Для того чтобы помешать сети стать жертвой, IP-адрес который используется для ложного подтверждения, необходимо конфигурировать брандмауэр для отфильт ровывания входящих ping-пакетов.

UDP-бомба, или UDP-шторм Злоумышленник может применить протокол пользовательских дейтаграмм (User Datagram Protocol, UDP) и один из нескольких сервисов, формирующих эхо-паке ты на адресатах, для создания сетевой перегрузки и отказов от обслуживания за счет генерации лавины UDP-пакетов между двумя системами назначения. Например, генерирующий символы (chargen) UDP-сервис на первом компьютере, служащий тестирующим средством, которое создает последовательность символов для каж дого полученного им пакета, посылает пакеты на эхо-сервис UDP другой системы, который формирует эхо-ответ на каждый полученный символ. С помощью этих тестирующих средств бесконечный поток эхо-символов пересылается в обоих направлениях между двумя системами, создавая перегрузку сети. Иногда этот тип атаки называют штормом UDP-пакетов (UDP packet storm).

Помимо эхо-порта 7 злоумышленник может использовать порт 17 сервиса quote of the day (quotd) или порт 13 сервиса daytime. Эти сервисы также создают эхо ответы на получаемые ими пакеты. Символы, сгенерированные UDP-сервисом, поступают на порт 19 Отключение ненужных UDP-сервисов на каждом компьютере (особенно упомя нутых ранее) или применение брандмауэра для отфильтровывания этих портов/ сервисов защитит от атаки этого типа.

UDP-атака Snork Snork-атака подобна UDP-бомбе. В ней применяется UDP-блок, содержащий порт источника 7 (эхо) или 19 (генерация символов) и порт адресата 135 (средства ад ресации (location service) фирмы Microsoft). Результат аналогичный — лавина не нужных передач, способных снизить производительность или вызвать аварийный сбой вовлеченных систем.

Атака WinNuke (атака Windows Out-of-Band) Атака передачи срочных данных (out-of-band, OOB), иногда называемая Windows ООВ bug, использует в своих интересах уязвимость сетей Microsoft. Программа WinNuke (и ее разновидности, такие как Sinnerz и Muerte) выполняет передачу экстренных данных, вызывающих аварийный сбой на компьютере-адресате. Рабо тает она следующим образом: устанавливается соединение TCP/IP с IP-адресом адресата, использующее порт 139 (порт NetBIOS). Затем программа посылает дан 31 Зак. 938 ГЛАВА ные, содержащие в заголовке пакета флаг MSG_OOB (или Urgent). Этот флаг за ставляет интерфейс Win sock компьютера посылать данные, называемые экстренными или срочными (out-of-band data, OOB). На приеме Windows-сервер, адресат, ожида ет указатель в пакете, ссылающийся на позицию завершения экстренных данных, за которой следуют обычные данные. Однако ООВ-указатель в пакете, созданном про граммой WinNuke, ссылается на блок, за которым нет последующих данных.

Компьютер под управлением ОС Windows не знает, как обработать такую ситуа цию и прерывает коммуникации в сети, и все последующие попытки пользователей связаться с ним закончатся отказом от их обслуживания. Атака WinNuke обычно тре бует перезагрузки атакованной системы для восстановления сетевых коммуникаций.

ОС Windows 95 и NT версий 3.5 1 и 4.0 уязвимы для атаки WinNuke, несмотря на установку исправлений, предоставленных фирмой Microsoft. Операционные сис темы Windows 98/ME и Windows 2000/2003 не подвержены атакам WinNuke, бранд мауэр ISA Server позволяет включить обнаружение попыток атак передачи срочных данных.

Атака Mall Bomb Атака «почтовая бомба» (mail bomb) — средство переполнения почтового сервера, вызывающее остановку его функционирования и тем самым отказ от обслужива ния пользователей. Это относительно простая разновидность атаки, выполняемая с помощью отправки большого массива сообщений электронной почты конкрет ному пользователю или системе. На хакерских сайтах в Интернете есть програм мы, позволяющие легко запустить почтовую бомбу, автоматически отправляя ла вину сообщений электронной почты на заданный адрес и скрывая при этом автор ство злоумышленника.

Разновидностью почтовой бомбы может служить программа, автоматически подписывающая компьютер-адресат на сотни и тысячи рассылок интернет-спис ков огромного объема, которые заполняют почтовый ящик пользователя и/или почтовый сервер. Бомбисты называют этот вид атаки загрузкой списков рассылки {list linking). К примерам таких программ относятся почтовые бомбы Unabomber, extreme Mail, Avalanche и Kaboom.

Справиться с повторяющимися почтовыми бомбами поможет блокирование с помощью пакетных фильтров трафика из сети, порождающей атаку. К сожалению, этот способ не годится для загрузки списков рассылки, поскольку адрес-источник скрыт, поток трафика приходит от почтовых рассылок списков, на которые жерт ва была подписана.

Сканирование и подмена адреса подтверждения Термин сканер {scanner) в контексте сетевой безопасности означает программу, которая используется хакерами для удаленного определения открытых на данной _ Динамическая фильтрация и фильтрация на уровне приложений _ системе и, следовательно, уязвимых для атаки TCP/UDP-портов. Сканеры также применяются администраторами для выявления слабых мест в их собственных системах и устранения их, прежде чем эти уязвимости обнаружит злоумышленник.

Сетевые диагностические средства, такие как известное Security Administrator's Tool for Analyzing Networks (SATAN, Средство автоматизированного контроля безопас ности), утилита UNIX, включают развитые функциональные возможности скани рования портов.

Хорошая сканирующая программа может определить местонахождение ком пьютера-цели в Интернете (одного из уязвимых для атаки), определить, какие TCP/ IP-сервисы выполняются на машине, и исследовать слабые места в защите этих сервисов.

ПРИМЕЧАНИЕ Среди хакеров бытует мнение: «Хороший сканер портов стоит тысячи паролей».

Многие сканирующие программы можно найти в Интернете как свободно рас пространяемое программное обеспечение. Замечательный источник информации об истории сканирования, о методах работы сканеров и некоторых популярных сканирующих программах находится по адресу www.ladysharrow.ndirect.co.uk/Maxi mum%20Securi ty /scanners.htm.

Сканирование портов Сканирование портов — это процесс поиска «слушающих» TCP- или UDP-портов на компьютере или маршрутизаторе и получение от слушающих портов максиму ма сведений об устройстве. TCP- и UDP-сервисы применяют ряд популярных пор тов (well-known ports), которые широко опубликованы. Хакер использует эти све дения о широко используемых портах для экстраполяции информации.

Например, протокол Telnet обычно использует порт 23- Если хакер обнаружит, что этот порт открыт и ожидает запрос, он догадывается, что на машине, возмож но, разрешен Telnet. Затем злоумышленник может попытаться проникнуть в систе му, например, подобрав подходящий пароль в ходе атаки грубой силой (brute-force).

Обнаружение и предотвращение DNS-атак DNS-фильтр брандмауэра ISA защищает DNS-серверы, опубликованные брандмау эром ISA с помощью правил публикования сервера (Server Publishing Rules). К стра нице конфигурирования предотвращения DNS-атак можно получить доступ в диа логовом окне Intrusion Detection (Обнаружение вторжения). Раскройте имя сер вера, а затем раскройте узел Configuration (Конфигурирование). Щелкните мышью узел General (Общие).

На панели Details (Дополнительная настройка) щелкните мышью ссылку Enable Intrusion Detection and DNS Attack Detection (Включить обнаружение проник 940 ГЛАВА новения и выявление DNS-атак). В диалоговом окне Intrusion Detection (Обна ружение проникновения) щелкните вкладку DNS Attacks (DNS-атаки). На вкладке DNS Attacks (DNS-атаки) установите флажок Enable detection and filtering of DNS attacks (Включить выявление и фильтрацию DNS-атак). Эти действия пред ставлены на рис. 10.43 После того, как выявление атак включено, можно включить предотвращение и защиту от трех типов атак переполнение имен хостов DNS;

переполнение длины имени DNS;

подмена зоны DNS.

Рис. 10.43. Вкладка DNS Attacks (DNS-атаки) Атаки типа переполнения имен хостов DNS и переполнения имен DNS представ ляют собой DoS-атаки. DoS-атаки DNS отличаются по размеру от DNS-запроса и от DNS-ответа, в которых вся пропускная способность сети занимается поддельными DNS-запросами. Для увеличения DNS-трафика атакующий использует DNS-серве ры в качестве «усилителей».

Атакующий начинает посылать на каждый DNS-сервер небольшие DNS-запро сы, которые содержат поддельный IP-адрес потенциальной «жертвы». Ответы, воз вращаемые на небольшие запросы, довольно большие, поэтому, если одновремен но имеется много возвращаемых ответов, канал связи перегружается и имеет мес то отказ от обслуживания (DoS-атака).

Динамическая фильтрация и фильтрация на уровне приложений Одно из решений этой проблемы состоит в том, что администратор должен конфигурировать DNS-серверы так, чтобы они при получении DNS-запроса от подозрительного или неожиданного источника отвечали отрицательным ответом (refused response), который намного меньше, чем ответ утвердительный.

Подробная информация о конфигурировании DNS-серверов, позволяющая раз решить эту проблему, содержится в информационном бюллетене департамента энергетики США Energy Computer Incident Advisory Capability (консультативная служба компьютерных сбоев) за номером J-ОбЗ, который доступен по адресу http://www/ciac.org/ciac/bulletins/j-063.shtml.

Фильтрация IP-параметров и IP-фрагментов Можно определить IP-параметры, которые может пропускать брандмауэр ISA, и указать, разрешено ли IP-фрагментам проходить через брандмауэр. На рис. 10.44 и 10.45 показаны конфигурационные интерфейсы для фильтрации IP-параметров и фильтрации IP-фрагментов. На рис. 10.46 приведено диалоговое окно, предупреж дающее о том, что включение фильтрации фрагментов может создавать помехи для протокола L2TP/IPSec и сервисов потоковых мультимедиа данных.

Более подробную информацию о фильтрации фрагментов можно найти в этой главе при обсуждении типовых атак сетевого уровня.

Рис. 10.44. Вкладка IP Options (IP-параметры) 942 ГЛАВА Рис. 10.45. Вкладка IP Fragments (IP-фрагменты) Рис. 10.46. Предупреждающее диалоговое окно фильтра IP-фрагментов Атака маршрутизации от источника Протокол TCP/IP поддерживает маршрутизацию от источника (source routing), ко торая позволяет отправителю сетевых данных направлять пакеты через заданную точку в сети. Существуют два типа маршрутизации от источника.

Strict source routing (Строгая маршрутизация от источника) Отправитель дан ных может задать точный маршрут (используется редко).

Loose source record route (LSRR) (Свободная регистрация маршрута от ис точника) Отправитель может указать определенные маршрутизаторы (сетевые сегменты), через которые должен проходить пакет.

Маршрут от источника — это параметр в IP-заголовке, позволяющий отправи телю переопределить маршруты, которые обычно устанавливаются маршрутизато рами между отправляющим и принимающим компьютерами. Маршрутизация от источника применяется сетевыми администраторами для отображения сети, диаг ностической маршрутизации или решения коммуникационных проблем. Она так же используется для увеличения трафика по маршруту, обеспечивающему наивыс шую производительность. К сожалению, маршрутизацией от источника могут вос пользоваться хакеры.

Динамическая фильтрация и фильтрация на уровне приложений Если в системе разрешена маршрутизация от источника, злоумышленник мо жет использовать ее для того, чтобы узнать внутренние частные адреса в локаль ной сети (LAN), которые обычно не видны из Интернета, из-за направления тра фика через другую машину, которая достижима как из Интернета, так и с компью тера внутренней сети.

Маршрутизацию от источника можно отключить на большинстве маршрутиза торов для предотвращения атаки этого типа. Брандмауэр ISA по умолчанию также блокирует маршрутизацию от источника.

Резюме В данной главе обсуждался набор параметров фильтрации уровня приложений брандмауэра ISA. Описаны два типа фильтров приложений, используемых бранд мауэром ISA: фильтры доступа и фильтры защиты. Несмотря на то, что мы разде лили фильтры на указанные два основных типа, нельзя сказать, что фильтры до ступа лишены защиты. Оба типа фильтров выставляют требования, в которых ука зана необходимость соответствия соединений спецификациям законных соедине ний, использующих соответствующие протоколы.

Заканчивается глава обсуждением механизмов брандмауэра ISA, направленных на обнаружение и предотвращение вторжения. Рассказано о типовых атаках сете вого уровня, которые могут быть запущены против брандмауэра ISA, и применяе мых брандмауэром способах защиты от подобных атак.

Краткое резюме по разделам Фильтры уровня приложений И Фильтры уровня приложений выполняют динамическую проверку протоколов, отличных от Web.

Ш Для наиболее распространенных протоколов уровня приложений, используе мых для выхода в Интернет, существуют фильтры приложений.

Web-фильтры И Web-фильтры применяются для соединений через брандмауэр ISA no HTTP-, HTTPS- и туннелированному FTP-протоколу. Ш В правилах публикации Web серверов нельзя отключить фильтр Web-прокси.

Обнаружение и предотвращение вторжений И Брандмауэр ISA автоматически защищает от типовых атак сетевого уровня, ис пользуя свои функциональные возможности защиты от вторжения.

944 ГЛАВА И Брандмауэр ISA можно настроить на обнаружение типовых атак и оповещение о них. Для этого используется функция обнаружения вторжения.

И Даже если брандмауэр ISA не настроен на обнаружение вторжения, он защищает от проникновения в систему.

И Фильтр DNS защищает опубликованные Web-серверы от типовых злоумышлен ных переполнений и препятствует выполнению удаленными пользователями зонной передачи с опубликованных DNS-серверов.

И Можно конфигурировать брандмауэр ISA для разрешения определенных IP-па раметров, необходимых для диагностики сети, и запрета их в дальнейшем, пос ле завершения диагностики.

Часто задаваемые вопросы Приведенные ниже ответы авторов книги на наиболее часто задаваемые вопросы рассчитаны как на проверку понимания читателями описанных в главе концепций, так и на помощь при их практической реализации. Для регистрации вопросов по данной главе и получения ответов на них воспользуйтесь сайтом www.syngress.com/ solutions (форма «Ask the Author»). Ответы на множество других вопросов см. на сайте ITFAQnet.com.

В: Могу ли я использовать аутентификацию, основанную на формах (Forms-based Authentication, FBA), для не OWA-сайтов?

О: Вы можете использовать FBA на любом сайте, опубликованном с помощью пра вила публикации Web-сервера. Однако некоторые пользователи сообщили о неожиданных результатах, поэтому следует тщательно протестировать эту функ циональную возможность прежде, чем использовать ее в рабочей среде для не OWA-сайтов.

В: Могу ли я установить SMTP Message Screener на компьютере с брандмауэром ISA?

Os Да. Компьютер с брандмауэром ISA может быть сконфигурирован как входящий и исходящий SMTP-ретранслятор вашей компании. Кроме того, можно устано вить SMTP Message Screener на сервере Exchange. Однако мы не рекомендуем устанавливать SMTP Message Screener на машине с сервером Exchange.

В: Удаленные клиенты не могут достичь с помощью правила публикации Web-сер вера некоторых URL-адресов, возвращаемых моим сайтом SharePoint. Я конфи гурировал транслятор ссылок ДЛЯ изменения ссылок, но он, похоже, не делает этого никогда. Как быть с этим?

О: Транслятор ссылок способен надежно изменять ссылки, возвращаемые Web клиенту сайтом SharePoint, но некоторые ссылки создаются на клиентской ма шине с помощью сценария клиентской стороны. Поскольку транслятор ссылок брандмауэра ISA предварительно не обрабатывает сценарий клиентской стороны во время трансляции, эти ссылки нарушаются. Мы надеемся на пакет исправле Динамическая фильтрация и фильтрация на уровне приложений ний или новые версии брандмауэра ISA, в которые будет включена улучшенная поддержка публикаций серверов SharePoint и будет решена эта проблема.

В: Наш сотрудник, ответственный за безопасность, не разрешает нам присоеди нить брандмауэр ISA к домену, хотя и не может привести убедительных дово дов в пользу отказа от членства брандмауэра ISA в домене. К сожалению, мы вынуждены подчиняться его политике. Мы предпочли бы использовать аутен тификацию, основанную на формах, для публикации OWA, но нам придется применять RADIUS-аутентификацию. Есть ли способ сделать это?

О: Да. Во время написания книги эта дилемма стала частью очередного обновле ния. Мы надеемся, что это обновление будет включено в состав первого пакета исправлений функций брандмауэра ISA. Для получения более подробной инфор мации посмотрите статью «You cannot use the RADIUS authentication protocol when you use the Outlook Web Access (OWA) Forms-Based Authentication on a Web publi shing rule to publish an internal Web site such as OWA in ISA Server 2004» (Вы не можете использовать протокол RADIUS-аутентификации, когда применяете аутен тификацию Web-доступа посредством Outlook, основанную на формах, в пра виле публикации Web-сервера для публикации внутреннего Web-сайта, такого как OWA на ISA Server 2004), размещенную по адресу http://support.microsoft.com/ default.aspx?scid=kb;

en-us;

884560.

В: Вы не включили в эту главу достаточно информации о фильтре SecurlD и спо собах его применения. Почему, и как мне получить дополнительные сведения о SecurlD?

О: Мы хотели включить в эту книгу подробную информацию о SecurlD, но, к со жалению, не смогли связаться ни с кем из фирмы RSA для ответов на наши зап росы. Как только нам удастся заполучить консультанта в фирме RSA и выяснить все вопросы, мы опубликуем подробную информацию об аутентификации Secur lD на сайте www.isaserver.org.

Bi Фильтр MMS работает как с входящими, так и с исходящими соединениями?

Я пытался опубликовать Microsoft Media Server на компьютере под управлением Windows Server 2003 с помощью правила публикации MMS-сервера, но он не работал. Есть ли способ конфигурировать фильтр для поддержки правил пуб ликации MMS-серверов?

О: Фильтр MMS действительно работает, как с входящими, так и с исходящими соединениями. Но ваш сайт, возможно, использует RTSP-протокол вместо MMS протокола. Попробуйте создать правило публикации, применяющее RTSP-про токол, и посмотрите, решит ли оно вашу проблему.

Глава Повышение скорости доступа в Интернет с помощью функции кэширования ISA Server Основные темы главы:

Базовые понятия кэширования Основные возможности Web-кэширования ISA Server Конфигурирование ISA Server 2004 как сервера кэширования 948 ГЛАВА Уделяя большое внимание безопасности и возможностям брандмауэра или се"евого экрана, легко забыть о второй важной функции ISA Server 2004 — повышении про изводительности Web-пользователей внутренней и внешней сетей благодаря кэши рованию — функции, которую большинство конкурентов на рынке брандмауэров не включает в свои продукты.

«Всемирная паутина» (Web) — жизненно важный компонент современного бизне са. Сотрудники вашей организации могут обращаться к Web-сайтам в Интернете каждый день для сбора информации по конкретной теме, поиска людей и товаров, знакомства с новостями и т.д. В то же время корпоративный Web-сайт (сайты) может стать одним из лучших способов рекламирования и продвижения на рынке биз неса и предоставления информации партнерам и клиентам.

В большинстве организаций, подсоединенных к Интернету, Web-трафик посто янно растет. Пользователь зачастую посещает одни и те же сайты регулярно, или многочисленные пользователи в пределах организации посещают одни и те же сайты и просматривают одинаковые страницы. Кроме того, общий сетевой и интернет трафик устойчиво увеличивается, приближаясь к точке насыщения допустимой пропускной способности Интернета. В этой ситуации кэширование может стать хорошим решением.

ПРИМЕЧАНИЕ В этой главе мы используем снимки экрана (screenshots), относящиеся к брандмауэру ISA Server 2004 Enterprise Edition. Существу ют различия между интерфейсами брандмауэра редакций ЕЕ (Enterprise Edition) и SE (Standard Edition) (в основном это касается вкладок и вари антов выбора, существующих в редакции ЕЕ, но отсутствующих в редак ции SE). Мы будем указывать на эти различия, если интерфейс редакции SE отличается от снимков экрана, относящихся к редакции ЕЕ.

Базовые понятия кэширования Хорошо было бы увеличить пропускную способность Интернета. Некоторые про вайдеры интернет-услуг предоставляют пользователям каналы Т-1 и Т-3 в зависи мости от частоты пользования, таким образом, снижая нагрузку и в результате со храняя ее на нижнем уровне. Даже если организация покупает полосу частот по безлимитному плану, снижение загрузки может повысить производительность ра боты сетевых пользователей. Существуют два типа кэширования — прямое (forward) и обратное (reverse) — способные принести пользу вашей организации, и в этом разделе мы обсудим их. Серверы кэширования можно развернуть в группах, кото рые могут быть организованы как структуры двух разных видов, в зависимости от нужд вашей сети.

Повышение скорости доступа в Интернет с помощью функции кэширования ПРИМЕЧАНИЕ Если вам знакомы два типа кэширования: активное и пас сивное, пожалуйста, учтите, что, как говорилось в главе 2, ISA Server больше не поддерживает активное кэширование, хотя в интерфейсе есть параметр для установки этого типа.

В следующих разделах мы рассмотрим различия двух типов Web-кэширования, структуры, используемые для развертывания множественных серверов кэширова ния и протоколы, применяемые серверами кэширования для взаимодействия друг с другом.

Типы Web-кэширования Как уже упоминалось, существуют два основных типа Web-кэширования:

прямое кэширование;

обратное кэширование.

Брандмауэр ISA Server 2004 поддерживает оба типа, поэтому рассмотрим каж дый из них немного подробнее.

Прямое кэширование Один из способов снижения загрузки полосы пропускания Интернета — сохране ние часто запрашиваемых Web-объектов в локальной сети, откуда пользователи внутренней сети могут получить их без выхода на сервер в Интернете. Он называ ется прямым кэшированием и обладает дополнительным преимуществом, делая доступ для внутренних пользователей более быстрым, поскольку они получают Web объекты (такие как страницы, графика и звуковые файлы) с помощью быстрого соединения локальной сети, обычно 100 Мбит/сек и больше, взамен более медлен ного интернет-соединения, возможно, со скоростью 1,5 Мбит/сек.

Прямое кэширование поддерживается всеми серверами Web-кэширования. Этот тип кэширования ускоряет ответ на исходящие запросы при запросе пользовате лями внутренней сети Web-объекта с сервера в Интернете. Эти часто запрашивае мые объекты хранятся на сервере кэширования, т. е. они могут быть получены с помощью быстрого соединения локальной сети вместо более медленного интер нет-соединения.

Прямое кэширование применяется, когда пользователь в сети, защищенной брандмауэром ISA Server 2004, выполняет запрос Web-содержимого (Web-контен та). Запрашиваемое содержимое помещается в Web-кэш после того, как первый пользователь выполнил запрос. Следующий (и все остальные) пользователь, за просивший то же содержимое из Интернета, получает его из Web-кэша на машине с брандмауэром ISA Server 2004, а не с Web-сервера из Интернета. Это уменьшает объем трафика интернет-соединений и снижает общие сетевые издержки. Кроме того, содержимое доставляется пользователю из кэша гораздо быстрее, чем с ре 950 ГЛАВА ального Web-сервера. Это повышает удовлетворенность пользователя и эффектив ность его работы.

Основное преимущество прямого кэширования, обеспечиваемого ISA Server 2004, — уменьшение расходов за счет снижения потребления полосы пропускания при интернет-соединении.

Обратное кэширование Обратное кэширование в отличие от прямого уменьшает трафик во внутренней сети и ускоряет доступ внешних пользователей к собственным сайтам компании. Часто запрашиваемые объекты на внутренних Web-серверах кэшируются на границе сети, на прокси-сервере, таким образом, снижая нагрузку на Web-серверы.

ПРИМЕЧАНИЕ В типовой документации по кэшированию обратные кэши иногда называют «шлюзовыми кэшами» (gateway caches) или «суррогатными кэшами» (surrogate caches).

Обратное кэширование подходит для случая, если ваша организация создает собственные внутренние Web-сайты, доступные внешним интернет- и интранет пользователям. Сервер кэширования хранит объекты, часто запрашиваемые с сер веров внутренней сети (Internal) и обеспечивает обслуживание внешних пользо вателей. Это ускоряет доступ для внешних пользователей, снижает нагрузку на внут ренние Web-серверы и уменьшает трафик во внутренней сети.

Обратное кэширование применяется, когда пользователь Интернета запраши вает Web-содержимое, размещенное на Web-сервере, опубликованном брандмауэ ром ISA Server 2004 с помощью правила публикации Web-сервера. Брандмауэр ISA извлекает содержимое с Web-сервера во внутренней сети или другой сети, защи щенной брандмауэром, и возвращает содержимое интернет-пользователю, запро сившему его. Компьютер с брандмауэром ISA Server 2004 кэширует полученное с Web-сервера содержимое во внутренней сети. Когда другие пользователи запраши вают ту же самую информацию, содержимое предоставляется из кэша сервера ISA, а не с исходного Web-сайта.

Сценарий обратного кэширования обладает двумя принципиальными достоин ствами:

обратное кэширование снижает нагрузку на полосу пропускания внутренней сети;

обратное кэширование сохраняет доступность Web-содержимого при отключен ном от сети Web-сервере.

Снижает нагрузки на полосу пропускания обратным кэшированием Обратное кэширование предоставляет информацию непосредственно с компью тера брандмауэра ISA Server 2004. Полоса частот во внутренней сети не расходуется и таким образом, становится доступной для пользователей внутренней сети.

Повышение скорости доступа в Интернет с помощью функции кэширования Корпоративные сети, страдающие от недостаточной пропускной способности, получают выигрыш от данной конфигурации.

Увеличение доступности Web-содержимого обратным кэшированием У обратного кэширования есть и более привлекательное достоинство: его способ ность сохранять доступность содержимого Web-сайта при отключенном от сети Web сервере. Эта способность может стать частью плана обеспечения бесперебойной работы ваших Web-сервисов.

Web-серверы могут перейти в автономный режим по разным причинам, напри мер, если требуется выполнение процедур сопровождения или проверка после сбоев аппаратного или программного обеспечения сервера. Время простоя Web-сервера может иметь вредные последствия, начиная от мелких неудобств и заканчивая се рьезными проблемами, для интернет-польз о вате лей, пытающихся получить доступ к информации на сайте. Важное преимущество обратного кэширования сервера ISA Server 2004 — его способность при отключенном от сети Web-сервере сохранять содержимое Web-сайта, доступным для интернет-пользователей, благодаря предо ставлению контента из кэша сервера ISA.

Структуры Web-кэширования Для обеспечения более эффективного кэширования можно использовать несколь ко серверов Web-кэширования. Существуют две базовые структуры, применяющие несколько совместно работающих серверов кэширования:

распределенное кэширование (distributed caching);

иерархическое кэширование (hierarchical caching).

Как следует из названия, распределенное кэширование распределяет, или рас пространяет, кэшированные Web-объекты между двумя или несколькими сервера ми кэширования, находящимися на одном уровне в сети. На рис. 11.1 показано функционирование распределенного кэширования.

Иерархическое кэширование действует несколько иначе: серверы кэширования находятся на разных уровнях сети, вышестоящие серверы кэширования взаимодей ствуют с нижестоящими прокси-серверами. Например, серверы кэширования рас положены в каждом филиале. Эти серверы связываются с массивом кэширования в центральном офисе. Запросы обслуживаются сначала из локального кэша, а за тем из централизованного кэша, прежде чем отправиться на сервер в Интернете.

Иерархическое кэширование показано на рис. 11.2.

ПРИМЕЧАНИЕ Иерархическое кэширование более эффективно с точки зрения потребления полосы пропускания, а распределенное — с точки зрения затраченного дискового пространства.

952 ГЛАВА Рис. 11.1. Функционирование распределенного кэширования Брандмауэр с фильтрацией пакетов на границе сети НИЖЕСТОЯЩИЙ брандмауэр ISA на границе локальной сети, Нижестоящий брандмауэр ISA на границе локальной сети, конфигурированный для использования в цепочке Web-прокси конфигурированный для использования в цепочке Web-npoiси Офис филиала Офис филиала Рис. 11.2. Функционирование иерархического кэширования И, наконец, можно комбинировать оба метода для создания гибридной струк туры кэширования. Подобная комбинация обеспечит наилучший вариант, повысив Повышение скорости доступа в Интернет с помощью функции кэширования производительность и эффективность. Гибридная структура кэширования показа на на рис. 11.3.

Нижестоящий брандмауэр ISA на границе локальной сети, Нижестоящий брандмауэр ISA награнице локальной сети, конфигурированный для использования в цепочке Web-прокси конфигурированныйдля использования В цепочке Web-прокси Офис фолила РИС. 11.3. Функционирование гибридной структуры кэширования Протоколы Web-кэширования При совместной работе нескольких серверов Web-кэширования им необходим способ взаимосвязи для того, чтобы запрошенный клиентом и ненайденный в кэше сервера Web-объект можно было запросить с других серверов кэширования, прежде чем выходить в Интернет и получать документ оттуда.

Существует ряд протоколов, которые можно применять для связи между серве рами Web-кэширования. Наиболее популярны следующие.

Cache Array Routing Protocol (CARP) (протокол маршрутизации между кэш серверами) — хеш-ориентированный протокол, позволяющий рассматривать прокси-серверы кэширования как единый логический кэш и применять хеш функцию для определения кэша, на который следует направить запрос. Хеш функция также может использоваться клиентом Web-прокси для определения местонахождения содержимого в распределенном кэше.

Internet Cache Protocol (ICP) (интернет-протокол кэширования) — ориен тированный на сообщения протокол, определенный в RFC 2186 (Requests for Comments, запросы на комментарии и предложения), который базируется на протоколах UDP/IP и первоначально применялся для иерархического кэширо 954 ГЛАВА 11 _ вания в проекте Харвест (Harvest). Этот проект стал основой для Squid, кэширу ющего прокси для Web-клиентов с открытым исходным кодом.

HyperText Caching Protocol (HTCP) (гипертекстовый протокол кэширова ния) — протокол, позволяющий применять полные заголовки запроса и ответа в управлении кэшем.

Web Cache Coordination Protocol (WCCP) (протокол координации Web-кэ ширования) — ориентированный на маршрутизатор протокол, удаляющий рас пределение запросов из кэша и использующий сервисные группы, к которым принадлежат кэши. Маршрутизатор вычисляет хеш-функции.

Cache digests (дайджесты кэша) — хеш-ориентированный, реализованный в кэширующем прокси Squid протокол, который использует массив битов, назы ваемый Bloom filter (блюмовский фильтр или фильтр Блюма), для кодирования резюме документов, хранящихся на каждом прокси.

Сервер ISA Server 2004 Enterprise Edition применяет CARP-протокол для взаимо связи между серверами Web-кэширования.

Основные возможности Web-кэширования ISA Server Брандмауэр ISA Server 2004 может действовать одновременно как брандмауэр и как сервер Web-кэширования или как выделенный сервер Web-кэширования. Можно установить ISA Server 2004 как сервер прямого кэширования или как сервер обрат ного кэширования. Для реализации функциональной возможности кэширования брандмауэр ISA использует фильтр Web-прокси.

ПРЕДУПРЕЖДЕНИЕ Если настроить ISA Server 2004 только как сервер кэширования, то потеряется большинство функций брандмауэра и придет ся установить другой брандмауэр для защиты сети.

ISA Server 2004 поддерживает как прямое (для исходящих запросов), так и об ратное (для входящих запросов) кэширование. Один и тот же ISA Server может выполнять одновременно оба типа кэширования.

При прямом кэшировании ISA Server располагается между внутренними клиен тами и Web-серверами в Интернете. Когда внутренний клиент посылает запрос Web объекта (Web-страницы, графического или другого Web-файла), он должен прой ти через ISA Server. Прежде чем послать запрос за пределы внутренней сети, на Web сервер в Интернете, ISA Server проверяет свой кэш для того, чтобы выяснить, не размещена ли уже в нем копия запрашиваемого объекта (поскольку кто-то во внут ренней сети запросил ранее этот объект с Web-сервера в Интернете).

Если объект находится в кэше, ISA Server посылает его из кэша и нет необходи мости отправлять поток данных через Интернет. Извлечение объекта из кэша ISA Server Повышение скорости доступа в Интернет с помощью функции кэширования в локальной сети пройдет гораздо быстрее, чем загрузка его с Web-сервера в Интер нете, поэтому внутренние пользователи заметят повышение производительности.

Если объекта нет в кэше сервера ISA, он запросит объект с Web-сервера в Ин тернете. Когда запрос вернется, сервер ISA сохранит объект в кэше для того, что бы в следующий раз, когда этот объект будет запрашиваться, можно было выпол нить этот запрос из кэша.

В случае обратного кэширования ISA Server действует как посредник между внеш ними пользователями и Web-серверами компании. Когда на Web-сервер компании приходит запрос объекта от пользователя из Интернета, сервер проверяет свой кэш в поисках данного объекта. Если объект найден, ISA Server заменяет собой внутрен ний Web-сервер и выполняет запрос внешнего клиента, не обращаясь к Web-сер веру. Подобные действия снижают трафик во внутренней сети.

В любом случае кэш — это область жесткого диска сервера ISA, которая исполь зуется для хранения запрошенных Web-объектов. Можно управлять объемом дис кового пространства, отведенного под кэш (и таким образом максимальным раз мером кэша). Существует возможность управления максимальным размером кэши руемых объектов, для того чтобы несколько очень больших объектов не захвати ли весь кэш.

Кэширование использует также системную память. Объекты кэшируются в опе ративной памяти (RAM) так же, как и на диске. Из оперативной памяти объекты можно извлечь гораздо быстрее, чем с диска. ISA Server 2004 позволяет определить, какой процент памяти с произвольным доступом может быть использован под кэш (по умолчанию ISA Server 2004 использует 10% RAM, а остальные объекты кэширу ет только на диске). Можно задать любой объем оперативной памяти от 1 до 100%.


Эта величина задается при старте сервиса брандмауэра. Если нужно изменить объем используемой оперативной памяти, следует остановить и повторно запустить сер вис брандмауэра.

Возможность управления объемом оперативной памяти, отведенной под кэш, гарантирует, что кэширование не исчерпает все ресурсы компьютера с сервером ISA.

ПРИМЕЧАНИЕ Из соображений безопасности и усиления функций бранд мауэра кэширование не активизируется по умолчанию после установки ISA Server 2004. Следует активизировать эту функциональную возможность перед применением.

Применение функции кэширования Настройка устройства кэша (cache drive) делает возможным и прямое, и обрат ное кэширование на компьютере с ISA Server 2004. Позже в этой главе мы пока жем, как включить функцию кэширования.

956 ГЛАВА Существует несколько требований и рекомендаций, относящихся к устройству, используемому как устройство кэша.

Устройство кэша должно быть локальным диском. Нельзя конфигурировать се тевой диск для хранения кэша.

Устройство кэша должно быть разделом файловой системы NTFS. Нельзя исполь зовать разделы файловых систем FAT или FAT32 для устройства кэша.

Лучше (но не обязательно) не использовать диск, на котором установлены опе рационная система и/или приложение ISA Server. Производительность будет выше, если кэш поместить на отдельном диске. В действительности для наивысшей производительности недостаточно поместить кэш на отдельном диске, у устройства кэша должен быть отдельный канал ввода/вывода (т. е. устройство кэша не долж но располагаться на диске, ведомом (slaved with) диском, содержащим файлы страниц, ОС или файлы программы ISA). Более того, если уделяется внимание производительности ISA Server, следует учесть, что ведение журналов регистра ции MSDE (Microsoft Data Engine, машина баз данных корпорации Microsoft) по требляет больше дискового пространства, чем запись регистрации в текстовом формате. Следовательно, если используется ведение журналов регистрации в формате MSDE, устройство кэша должно находиться на дисководе, отделенном от баз данных MSDE.

СОВЕТ Для преобразования без потери данных разделов файловых сис тем FAT или FAT32 в раздел NTFS можно при необходимости воспользоваться утилитой convert.exe.

Файл, в котором хранятся объекты кэша, называется dirl.cdat. Он находится в папке urlcache на диске, который конфигурирован для кэширования. Этот файл называют файлом содержимого кэша (cache content file). Если этот файл достигает максимального размера, более старые объекты удаляются, чтобы освободить мес то для новых объектов.

Размер файла содержимого кэша не может быть больше 64 Гб (конечно, можно использовать файл с меньшим максимальным размером). Если необходимо ствес ти под кэш более 64 Гб, необходимо конфигурировать несколько дисков для кэ ширования и разделить кэш на несколько файлов.

ПРЕДУПРЕЖДЕНИЕ Никогда не пытайтесь редактировать или удалять файл содержимого кэша.

Описание правил кэширования ISA Server 2004 позволяет настроить типы содержимого, сохраняемого в кэше, и точные методы обработки содержимого при выполнении запроса объекта, храня щегося в кэше.

Можно создать правила для управления промежутком времени, в течение кото рого объект кэша считается достоверным (как гарантия того, что объекты кэша не Повышение скорости доступа в Интернет с помощью функции кэширования смогут безнадежно устареть) и задать способ обработки объектов по истечении срока хранения в кэше.

Сервер ISA позволяет гибко применять правила кэширования ко всем сайтам или только к заданным. В дальнейшем можно конфигурировать правило для использо вания со всеми типами содержимого или только с указанными явно.

Использование правил кэширования для задания типов содержимого, которое может кэшироваться Правило кэширования позволяет указать, какие из следующих типов содержимого должны кэшироваться.

Dynamic content (Динамическое содержимое) Это содержимое, которое ча сто меняется и поэтому помечено как не подлежащее кэшированию. Наш вы брать кэширование динамического содержимого, то полученные объекты бу дут кэшироваться, даже если они помечены как некэшируемые.

Content for offline browsing (Содержимое для просмотра в автономном режи ме) Для того чтобы пользователи могли просматривать содержимое в автоном ном режиме (когда они отключены от Интернета), необходимо все содержимое сохранять в кэше. Таким образом, если выбрать этот вариант, ISA Server 2004 со хранит в кэше все содержимое, включая «не подлежащий кэшированию» контент.

Content requiring user authentication for retrieval (Содержимое, требующее для извлечения аутентификации пользователя) Некоторые сайты требуют под тверждения подлинности пользователя для получения доступа к содержимому.

Если выбран этот вариант, ISA Server 2004 будет кэшировать содержимое, тре бующее аутентификации пользователя.

Можно также задать параметр Maximum object size (Максимальный размер объекта). Он позволяет установить ограничение размера Web-объектов, которые будут кэшироваться по определенному правилу кэширования.

Применение правил кэширования для задания способа извлечения и обслуживания объектов из кэша Кроме контроля над типом содержимого и размером объекта правило кэширова ния может управлять способом, с помощью которого сервер ISA будет выполнять извлечение и обслуживание объектов из кэша. Это относится к достоверности объек та. Достоверность объекта (object's validity) определяется тем, истекла или нет его продолжительность жизни (Time to Live, TTL). Время истечения этого срока опре деляется свойствами HTTP- или FTP-кэширования либо свойствами объекта. Воз можны следующие варианты.

Setting ISA Server 2004 to retrieve only valid objects from cache (those that have not expired) (Настройка ISA Server 2004 на извлечение из кэша только достоверных объектов (тех, чье время функционирования не закончилось) 958 ГЛАВА Если срок жизни объекта истек, сервер ISA пошлет запрос на Web-сервер, со держащий данный объект, и получит его оттуда.

Setting ISA Server 2004 to retrieve requested objects from the cache even if they aren't valid (Настройка ISA Server 2004 на извлечение из кэша затребо ванных объектов, даже если они недостоверны) Другими словами, если объект находится в кэше, сервер ISA извлечет его оттуда и обработает, даже если про должительность жизни объекта истекла. Если в кэше нет версии объекта, сер вер ISA пошлет запрос на Web-сервер и получит объект с сервера.

ш Setting ISA Server to never route the request (Настройка ISA Server на отсут ствие маршрутизации запроса) В этом случае сервер ISA полагается только на кэш при извлечении объекта. Объекты будут возвращены из кэша независимо от их достоверности. Если в кэше нет версии объекта, сервер ISA вернет сооб щение об ошибке. Он не будет посылать запрос на Web-сервер.

Setting ISA Server to never save the object to cache (Настройка ISA Server на отказ от сохранения объекта в кэше) Если конфигурировать правило таким об разом, запрашиваемый объект никогда не будет сохраняться в кэше.

ПРИМЕЧАНИЕ По умолчанию продолжительность жизни FTP-объектов один день. Продолжительность жизни HTTP-объектов (определенных в правиле кэширования) представляет собой определенный процент от возраста содер жимого в зависимости от времени создания и последнего изменения объекта.

Можно также управлять кэшированием содержимого, предназначенного для заданных адресатов, и установить политики для HTTP- и FTP-объектов с истекшим сроком жизни. Есть возможность активизировать кэширование SSL-содержимого.

СОВЕТ Поскольку SSL-содержимое часто содержит конфиденциальную информацию (именно поэтому защищенную SSL-протоколом), можно не раз решать кэширование этого типа содержимого для усиления безопасности.

Если существует несколько правил кэширования, они обрабатываются по порядку, от первого до последнего;

правило, установленное по умолчанию, обрабатывается после всех правил, заданных пользователем. Правило по умолчанию создается ав томатически при установке ISA Server 2004, сконфигурированного для извлечения из кэша только достоверных объектов и получения объекта из Интернета, если в кэше нет его достоверной версии.

Позже в этой главе мы покажем, как конфигурировать правила кэширования.

Описание функции загрузки содержимого Функция загрузки содержимого применяется для планирования сервером ISA за грузки из Интернета нового содержимого в заранее определенное время, для того чтобы клиентам Web-прокси, запросившим данные объекты, предоставлялись об новленные версии из кэша. Это повышает производительность и гарантирует кли ентам более быстрое получение новейшего содержимого.

Повышение скорости доступа в Интернет с помощью функции кэширования Можно отслеживать доступ в Интернет и его использование (см. главу 12), что бы определить, к каким сайтам пользователи обращаются чаще всего, и предска зать, какое содержимое может понадобиться в будущем. Затем можно планировать соответственно задания на загрузку содержимого из Интернета. Задание на загрузку содержимого может быть настроено на периодическую загрузку из Интернета од ной страницы (URL-адреса), многих страниц или всего сайта. Есть возможность задать количество ссылок, которое должно быть пройдено при загрузке сайта. Можно также настроить ISA Server 2004 для кэширования даже тех объектов, которые по мечены как не подлежащие кэшированию в заголовках управления кэшем (cache control headers). Однако планируемое задание на загрузку содержимого не завер шится, если Web-сервер, на котором хранится объект, требует подтверждения под линности клиента.


Для получения выигрыша от применения этой функции следует активизировать группу конфигурирования системной политики для заданий загрузки содержимо го из Интернета по расписанию, а затем конфигурировать задание на загрузку содержимого. Мы покажем, как это делается, в одном из последующих разделов данной главы.

СОВЕТ Когда активизируется группа конфигурирования системной поли тики Schedule Content Download Jobs (Задания на загрузку из Интернета по расписанию) сервер ISA блокирует неаутентифицированный НТТР-трафик с локального хоста (сервер ISA), даже если есть правило другой политики, настроенное на разрешение такого трафика. Существует прием, делающий возможным разрешение подобного трафика и сохранение использования за даний на загрузку содержимого из Интернета. Он включает создание пра вила, разрешающего HTTP-доступ к All Networks (Все сети), и наличие пред шествующего в списке правила, настроенного на разрешение HTTP-доступа с локального хоста.

Как Web-мастера управляют кэшированием с помощью HTTP-заголовков Есть два различных фактора, влияющих на способ кэширования HTTP (Web) содержимого. Один из них — конфигурация сервера кэширования, но Web мастера также могут поместить в содержимое и заголовки информацию, указывающую на способ кэширования их сайтов и объектов.

Мета-теги — это команды в HTML-коде документа, задающие HTTP-окон чание жизненного срока объекта или статус некэшируемости, но они обра батываются только кэшами обозревателя, а не прокси-кэшами. HTTP-заголовки обрабатываются как прокси-кэшами, так и кэшами обозревателей. Они не включены в HTML-код, настраиваются на Web-сервере и отправляются Web сервером до отправки HTML-содержимого.

(см. след. стр.) 960 ГЛАВА Протокол HTTP 1.1 поддерживает категорию заголовков, называемую за головками управляющих ответов кэша (cache control response headers). Ис пользуя эти заголовки, Web-мастер может управлять следующими характе ристиками:

максимальным возрастом (базирующимся на времени запроса, максималь ным промежутком времени, в течение которого объект считается досто верным);

кэшируемостью;

требованиями к повторному подтверждению достоверности.

Теги Etags и заголовки Last-Modified (последний раз модифицированный) генерируются Web-сервером и используются для проверки «свежести» объекга.

В Microsoft Internet Information Services (IIS, информационный сервис Интернета фирмы Microsoft) заголовки управляющих ответов кэша конфи гурируются на вкладке HTTP Headers (HTTP-заголовки) страницы свойств Web сайта или Web-страницы.

ISA Server 2004 не кэширует ответы на запросы, содержащие определен ные HTTP-заголовки, включая следующие:

cache-control1: no-cache response header;

cache-control: private response header;

pragma: no-cache response header;

www-authenticate response header;

set-cookie response header;

cache-control: no-store request header;

authorization request header (за исключением случая, когда Web-сервер тоже посылает cache-control: public response header).

Для получения более подробной информации о том, как Web-мастер может управлять кэшированием с помощью HTTP-заголовков, посмотрите статью, расположенную по адресу www.mnot.net/cache_docs/#IMP-SERVER.

Cache-control — мета-те г.

Повышение скорости доступа в Интернет с помощью функции кэширования Конфигурирование ISA Server как сервера кэширования Несмотря на то, что по умолчанию кэширование не разрешено, очень легко конфи гурировать ISA Server 2004 для выполнения прямого и/или обратного кэширования.

В этом разделе мы приведем пошаговые процедуры для следующих настроек:

активизация кэширования;

конфигурирование размера кэша и объема памяти, отведенной под кэш;

создание правил кэширования;

конфигурирование заданий на загрузку содержимого из Интернета.

Активизация и конфигурирование кэширования В этом разделе мы рассмотрим, как включить, отключить и конфигурировать ос новные свойства кэширования. Первый шаг в применении ISA Server 2004 как сер вера кэширования — активизация или включение режима кэширования.

ПРИМЕЧАНИЕ Инструкции по включению и отключению кэширования на ISA Server 2004 Enterprise Edition соответствуют бета-версии ЕЕ. Финаль ный выпуск еще не был доступен во время написания книги. Интерфейс может измениться перед выходом финального выпуска продукта, для того чтобы соответствовать интерфейсу, обеспечивающему включение и отклю чение кэширования в редакции Standard Edition.

Как активизировать кэширование в Enterprise Edition На консоли управления сервера ISA в узле Configuration (Конфигурация) / Cache (Кэш) выполните следующее.

1. На левой панели консоли управления (ММС) ISA Server 2004 раскройте окно, свя занное с именем сервера (сначала раскройте узел Arrays (Массивы), если исполь зуется Enterprise Edition), и раскройте узел Configuration (Конфигурация).

2. Щелкните кнопкой мыши вкладку Cache Drives (Устройства кэша) на средней панели.

3. На вкладке Tasks (Задачи) правой панели, если кэширование не включено, вы увидите выбор, обозначенный как Define Cache Drives (Определить устрой ства кэша).

4. На вкладке Cache Drives (Устройства кэша) окна свойств (рис. 11.4) выберите диск с файловой системой NTFS и введите нужное число в текстовое поле Maxi mum cache size (Максимальный размер кэша), затем щелкните мышью кнопку Set (Установить).

5. Щелкните мышью кнопку Apply (Применить), а затем кнопку ОК.

962 ГЛАВА Рис. 11.4. Установка максимального размера кэша Как включить кэширование в версии Standard Edition На консоли управления сервера ISA в узле Configuration (Конфигурация) / Cache (Кэш) выполните следующее.

1. На левой панели консоли управления (ММС) ISA Server 2004 раскройте окно, свя занное с именем сервера (сначала раскройте узел Arrays (Массивы), если исполь зуется Enterprise Edition), и раскройте узел Configuration (Конфигурация).

2. Щелкните правой кнопкой мыши узел Cache (Кэш) на левой панели и выбери те команду Define Cache Drives (Определить устройства кэша) или щелкните кнопкой мыши вкладку Cache Rules (Правила кэширования) на средней пане ли и выберите строку Define Cache Drives (enable caching) (Определить ус тройства кэша, (включить кэширование)) на правой панели Tasks (Задачи).

3. В диалоговом окне Define Cache Drives (Определение устройств кэша) выбе рите диск с файловой системой NTFS и введите нужное число в текстовое поле Maximum cache size (Максимальный размер кэша), а затем щелкните мышью кнопку Set (Установить).

4. Щелкните мышью кнопку Apply (Применить), а затем кнопку ОК.

Как отключить кэширование в версии Enterprise Edition После того, как кэширование включено, в разделе Cache Drive Tasks (Задачи уст ройства кэша) на вкладке Tasks (Задачи) правой панели появится новый выбор Disable Caching (Отключить кэширование).

Повышение скорости доступа в Интернет с помощью функции кэширования Если вы щелкнете кнопкой мыши Disable Caching (Отключить кэширование), на экране появится диалоговое окно, советующее установить размер кэша на всех устройствах кэша равным нулю, после чего кэширование будет отключено. Для повторного включения режима кэширования придется снова конфигурировать устройства кэша. Подтвердите ваше желание отключить кэширование, щелкнув мышью кнопку Yes (Да), и размер кэша будет автоматически уставлен на всех уст ройствах кэша равным нулю.

Как отключить кэширование в версии Standard Edition На ISA Server 2004 Standard Edition можно отключить кэширование, выполнив сле дующие шаги.

1. На левой панели консоли управления ММС ISA Server 2004 раскройте окно, свя занное с именем сервера (сначала раскройте узел Arrays (Массивы), если ис пользуется Enterprise Edition), и затем раскройте узел Configuration (Конфи гурация).

2. Щелкните правой кнопкой мыши узел Cache (Кэш) и выберите команду Disable Caching (Отключить кэширование) или щелкните кнопкой мыши вкладку Cache Rules (Правила кэширования) на средней панели и выберите Disable Caching (Отключить кэширование) на правой панели Tasks (Задачи).

ПРИМЕЧАНИЕ Другой способ установки размера кэша равным нулю — использование кнопки Reset (Сбросить) на вкладке Cache Drives в диало говом окне свойств (в Enterprise Edition) или в диалоговом окне Define Cache Drives (в Standard Edition).

ПРИМЕЧАНИЕ До тех пор, пока хотя бы у одного устройства кэша раз мер больше нуля, кэширование включено.

Конфигурирование свойств кэширования В этом разделе рассматривается способ настройки общих свойств кэширования, включая следующие:

выбор содержимого для кэширования;

задание максимального размера объектов в кэше;

настройка негативного кэширования (negative caching), называемого также кэ шированием отрицательных ответов;

выбор способа обработки объектов кэша с истекшим жизненным сроком;

выделение памяти для кэширования.

Рассмотрим по очереди каждое из перечисленных свойств.

964 ГЛАВА Выбор содержимого для кэширования Для выбора содержимого, которое следует кэшировать, выполните следующие шаги.

1. На левой панели консоли управления ISA Server 2004 раскройте окно, связан ное с именем сервера (сначала раскройте узел Arrays (Массивы), если исполь зуется версия Enterprise Edition).

2. Щелкните кнопкой мыши вкладку Cache Rules (Правила кэширования) на сред ней панели.

3. Щелкните кнопкой мыши вкладку Tasks (Задачи) на правой панели.

4. Щелкните мышью Configure Cache Settings (Конфигурировать установочные параметры кэша) в разделе Related Tasks (Связанные задачи).

5. Щелкните кнопкой мыши вкладку Advanced (Дополнительно) в диалоговом окне Cache Settings (Установочные параметры кэша).

6. На этой вкладке (рис. 11.5) можно выбрать, кэшировать ли объекты, у которых не задано время последней модификации, и объекты, у которых нет кода HTTP состояния, равного 200 (успешное завершение), устанавливая или сбрасывая соответствующий флажок. По умолчанию оба флажка установлены (таким об разом, кэширование этих объектов разрешено).

Рис. 11.5. Выбор кэшируемого содержимого СОВЕТ У сервера ISA Server 2004 Standard Edition есть три вкладки в ди алоговом окне Cache Settings (Установочные параметры кэша): General (Общие), Advanced (Дополнительно) and Active Caching (Активное кэши рование). Вкладка Active Caching (Активное кэширование) исчезла в Enterprise Edition, она и в Standard Edition представлена как артифакт, оставшийся от ранних бета-версий, которые еще поддерживали активное кэширование.

Настройки, сделанные на этой вкладке, не влияют на конфигурацию ISA Server 2004, даже если он примет эти установки.

Повышение скорости доступа в Интернет с помощью функции кэширования ПРИМЕЧАНИЕ Код HTTP-состояния, равный 200, означает «ОК», т. е. за прос, посланный клиентом, успешно выполнен. Объекты кэширования, не имеющие кода состояния 200, относятся к «негативному кэшированию».

Настройка максимального размера объектов в кэше Этот параметр устанавливается в том же диалоговом окне Cache Settings (Устано вочные параметры кэша), что и предыдущий.

1. На левой панели консоли управления ISA Server 2004 раскройте окно, связан ное с именем сервера (сначала раскройте узел Arrays (Массивы), если исполь зуется Enterprise Edition).

2. Щелкните кнопкой мыши вкладку Cache Rules (Правила кэширования) на сред ней панели.

3. Щелкните кнопкой мыши вкладку Tasks (Задачи) на правой панели.

4. Щелкните мышью Configure Cache Settings (Конфигурировать установочные параметры кэша) в разделе Related Tasks (Связанные задачи).

5. Щелкните кнопкой мыши вкладку Advanced (Дополнительно) в диалоговом окне Cache Settings (Установочные параметры кэша).

6. В текстовое поле Maximum size of URL cached in memory (bytes) (Макси мальный размер URL, кэшируемого в памяти, в байтах) введите нужное число байтов. Оно ограничит размер объектов, которые могут кэшироваться, и сохранит место на вашем устройстве кэша.

Настройка способа обработки объектов с истекшим жизненным сроком Эта установка также делается в диалоговом окне Cache Settings (Установки кэша).

1. На левой панели консоли управления ISA Server 2004 раскройте окно, связан ное с именем сервера (сначала раскройте узел Arrays (Массивы), если исполь зуется версия Enterprise Edition).

2. Щелкните кнопкой мыши вкладку Cache Rules (Правила кэша) на средней па нели.

3. Щелкните кнопкой мыши вкладку Tasks (Задачи) на правой панели.

4. Щелкните мышью Configure Cache Settings (Конфигурирование установок кэша) в разделе Related Tasks (Связанные задачи).

5. Щелкните кнопкой мыши вкладку Advanced (Дополнительно) в диалоговом окне Cache Settings (Установки кэша).

6. Если нежелательно, чтобы возвращался объект с истекшим жизненным сроком, если Web-сайт не доступен, выберите вариант Do not return the expired object (He возвращать объект с истекшим жизненным сроком). В этом случае будет возвращаться страница с информацией об ошибке.

966 ГЛАВА 7. В противном случае можно выбрать возвращение объекта с истекшим жизнен ным сроком, если превышение его продолжительности жизни меньше заданного количества процентов от исходной продолжительности жизни (TTL), но не превышает указанного числа минут со времени истечения жизненного срока.

Если выбран этот вариант, необходимо ввести конкретные значения в соответ ствующие поля.

По умолчанию ISA Server 2004 сконфигурирован на возвращение объекта с ис текшим жизненным сроком, только если превышение продолжительности жизни объекта меньше 50% от его первоначального значения и не больше 60 мин.

Выделение объема памяти для кэширования Этот установочный параметр задается в диалоговом окне Cache Settings (Установки кэша).

1. На левой панели консоли управления ISA Server 2004 раскройте окно, связан ное с именем сервера (сначала раскройте узел Arrays (Массивы), если исполь зуется версия Enterprise Edition).

2. Щелкните кнопкой мыши вкладку Cache Rules (Правило кэша) на средней па нели.

3. Щелкните кнопкой мыши вкладку Tasks (Задачи) на правой панели.

4. Щелкните мышью Configure Cache Settings (Конфигурирование установок кэша) в разделе Related Tasks (Связанные задачи).

5. Щелкните кнопкой мыши вкладку Advanced (Дополнительно) вдиалоговом окне Cache Settings (Установки кэша).

6. В текстовое поле, названное Percentage of free memory to use for caching (Объем свободной памяти в процентах, предназначенный для кэширования), введите нужное количество процентов.

По умолчанию под кэширование выделяется 10% объема памяти. При превыше нии заданного объема дополнительные объекты кэшируются только на диске (не в оперативной памяти).

Создание и настройка правил кэширования В этом разделе рассматривается, как создавать и настраивать правила кэширова ния для различных ситуаций, как модифицировать существующее правило кэши рования и как отключить или удалить правило кэширования, созданное ранее, а также как изменить порядок применения правил. Кроме того, в данном разделе обсуждаются способы копирования, экспортирования и импортирования правил кэширования.

Повышение скорости доступа в Интернет с помощью функции кэширования Как создать правило кэширования С помощью мастера, встроенного в ISA Server 2004, очень легко создать правило кэширования. Просто выполните следующие шаги.

1. На левой панели консоли управления ISA Server 2004 раскройте окно, связан ное с именем сервера (сначала раскройте узел Arrays (Массивы), если исполь зуется версия Enterprise Edition).

2. Щелкните кнопкой мыши вкладку Cache Rules (Правила кэширования) на сред ней панели.

3. Щелкните мышью вкладку Tasks (Задачи) на правой панели.

4. В разделе Cache Rule Tasks (Задачи правила кэширования) щелкните мышью Create a Cache Rule (Создать правило кэширования). Запустится мастер New Cache Rule Wizard (Мастер создания нового правила кэширования), показан ный на рис. 11.6.

Рис. 11.6. Создание нового правила кэширования с помощью мастера 5. Введите название нового правила кэширования и нажмите мышью кнопку Next (Далее).

6. На следующей странице необходимо выбрать сетевые объекты-адресаты. Пра вило будет применяться к запросам, посылаемым этими адресатами. Щелкните мышью кнопку Add (Добавить) и выберите объекты из перечисленных в диа логовом окне Add Network Entities (Добавить сетевые объекты) (рис. 11.7).

968 ГЛАВА Рис. 11.7. Выбор адресатов, к которым будет применяться правило кэширования 7. Раскройте объекты верхнего уровня, чтобы увидеть конкретные объекты нахо дящиеся под ними. Выделите объект, который нужно добавить и щелкните мы шью кнопку Add (Добавить). Можно выбрать несколько объектов.

8. После завершения выбора объектов щелкните мышью кнопку Close (Закрыть).

9 - Вернитесь на страницу Cache Rule Destination (Адресаты правила кэширова ния) и щелкните мышью кнопку Next (Далее).

10.На странице Content Retrieval (Извлечение объектов) можно управлять спо собом извлечения запрошенных объектов. Выберите один из возможных вари антов извлечения объекта из кэша.

Only if a valid version of the object exists in the cache (Только если дос товерная версия объекта есть в кэше) (если нет достоверного объекта, запрос будет направлен на Web-сервер, на котором хранится исходный объект). D If any version of the object exists in the cache (ЕСЛИ В кэше есть какая-нибудь версия объекта) (если в кэше есть недостоверная версия объекта, она будет возвращена из кэша. Если в кэше нет никакой версии объекта, запрос будет направлен на Web-сервер).

D If any version of the object exists in cache (Если в кэше есть какая-ни будь версия объекта) (если в кэше нет никакой версии, запрос отвергается и не направляется на Web-сервер).

Выберите подходящий вариант и щелкните мышью кнопку Next (Далее). 11. На странице Cache Content (Содержимое кэша) можно управлять конкретными типами содержимого, или контента, которые следует кэшировать. По умолчанию объект не сохраняется в кэше до тех пор, пока в заголовках запроса и ответа нет команды кэшировать его. Но на этой странице можно изменить та Повышение скорости доступа в Интернет с помощью функции кэширования кое поведение, выбрав один из предлагаемых вариантов: Never, no objects will ever be cached (Никогда никакие объекты не будут кэшироваться) и If source and request headers indicate to cache (Если в заголовках источника и адре сата указано кэширование). Этот вариант установлен по умолчанию. Если выб рано кэширование объектов, можно также определить, какой тип содержимо го, из приведенных далее, следует кэшировать: a Dynamic content (Динамическое содержимое);

D Content for offline browsing (Содержимое для просмотра в автономном режиме);

D Content requiring user authentication for retrieval (Содержимое, требу ющее для извлечения аутентификации пользователя).

По умолчанию ни один из перечисленных типов не кэшируется. Можно уста новить любое количество флажков, определяющих тип сохраняемого содержи мого (рис. 11.8).

Рис. 11.8. Настройка вариантов сохранения содержимого в кэше 12. После выбора нужных переключателей щелкните мышью кнопку Next (Далее).

13- На странице Cache Advanced Configuration (Расширенная конфигурация кэша) можно задать ограничение размера кэшируемых объектов, установив флажок Do not cache objects larger than: (He кэшировать объекты, размер которых больше:) и указав размер в килобайтах, мегабайтах или гигабайтах (рис. 11.9).



Pages:     | 1 |   ...   | 25 | 26 || 28 | 29 |   ...   | 30 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.