Формирование цепочки веб-прокси полезно в целом ряде сценариев. Пример.
- В больших организациях можно маршрутизировать трафик веб-прокси
от внутренних компьютеров Шлюз Microsoft Forefront Threat
Management к вышестоящим серверам, защищающим сегменты сетей или
границу организации.
- Межсетевые экраны Forefront TMG подразделений могут пересылать
запросы веб-прокси вышестоящему серверу Forefront TMG с одной
сетевой платой и действующим в качестве сервера кэширования и
веб-прокси.
- Филиалы, где установлен сервер Forefront TMG, могут
использовать веб-цепочку как средство условной маршрутизации
запросов веб-прокси в зависимости от пункта назначения. Например,
организация с главным офисом в США учреждает филиал в
Великобритании. Межсетевой экран Forefront TMG в филиале подключен
к поставщику услуг Интернета в Великобритании. Правила веб-цепочки
можно настроить в филиале с целью направления запросов для узлов
Интернета в Великобритании к местному поставщику услуг Интернета, а
все остальные запросы (для веб-узлов за пределами Великобритании)
перенаправлять межсетевому экрану Forefront TMG в главном
офисе.
Дополнительные сведения о настройке правил веб-цепочки см. в разделе Настройка цепочки веб-прокси.
Веб-цепочка и кэширование
Когда клиент обращается с запросом к вышестоящему серверу, последний пытается извлечь запрашиваемый объект из своего кэша. Если это ему не удается, то запрос пересылается согласно правилам веб-цепочки следующим образом.
- Внутренний клиент Forefront TMG создает веб-запрос вышестоящему
компьютеру Forefront TMG. Это может быть запрос веб-прокси от
клиента Forefront TMG любого типа.
- Forefront TMG проверяет правила доступа, чтобы удостовериться,
что запрос разрешен.
- Если запрос пользователя разрешен, вышестоящий сервер Forefront
TMG проверяет, включено ли HTTP-кэширование и параметры настройки
кэша, чтобы получить подтверждение о том, нужно ли этот объект
извлечь из кэша.
- Если объект нельзя извлечь из кэша, вышестоящий компьютер
Forefront TMG проверяет правила веб-цепочки, чтобы определить, куда
переслать запрос.
- Если имеется правило веб-цепочки для перенаправления
вышестоящему серверу, то запрос пересылается. Для каждого нового
HTTP-запроса правила веб-цепочки обрабатываются по порядку. Если
запрос соответствует условиям, определяемым первым правилом, то он
перенаправляется. В противном случае действует следующее правило.
Этот процесс продолжается до тех пор, пока не будет обработано
последнее правило по умолчанию. Порядок исполнения правила по
умолчанию изменить нельзя.
- Если на вышестоящем сервере включено кэширование, он проверяет
свой кэш, чтобы убедиться в наличии запрашиваемого объекта. В
случае доступности объекта он возвращается нижестоящему серверу.
Нижестоящий сервер помещает содержимое в свой кэш (в соответствии с
параметрам настройки кэша) и возвращает содержимое пользователю.
Если вышестоящему серверу не удается найти кэшированный объект, то
запрос пересылается следующему вышестоящему серверу в цепочке или в
Интернет. Когда сервер Интернета возвращает содержимое вышестоящему
серверу, то последний кэширует содержимое в соответствии с
параметрам настройки своего кэша, а затем передает его нижестоящему
серверу.
Вы настраиваете свойства кэша и правила на нижестоящем и вышестоящем серверах для определения способа обслуживания передаваемых по цепочке запросов из кэша. Иерархическое кэширование способствует экономному использованию полосы пропускания. Примеры.
- Настройте вышестоящий сервер для кэширования содержимого. Это
экономит использование полосы пропускания канала подключения к
Интернету, поскольку запросы, передаваемые по цепочке, могут
обслуживаться из кэша вышестоящего сервера.
- Настройте нижестоящий сервер для кэширования содержимого. Это
экономит использование полосы пропускания канала связи между
нижестоящим и вышестоящим сервером.
- Настройте нижестоящий и вышестоящий серверы для кэширования
содержимого. Это экономит использование полосы пропускания канала
подключения к Интернету и увеличивает возможность предоставления
содержимого, даже если каналы связи недоступны.
Проверка подлинности запросов, передаваемых по цепочке
Вы можете настраивать механизмы проверки подлинности для веб-цепочки в соответствии со сценарием развертывания. Пример.
- Управление проверкой подлинности на вышестоящем прокси
осуществляется делегированием учетных данных клиентов на
нижестоящем сервере и созданием политики веб-доступа на вышестоящем
сервере.
- Управление доступом отдельных пользователей на нижестоящем
прокси осуществляется путем настройки правил доступа, требующих
проверки подлинности на нижестоящем прокси. Задайте статическую
учетную запись, которая будет использоваться для проверки
подлинности нижестоящего сервера вышестоящим сервером. Все запросы
пользователей, разрешенные и перенаправленные в соответствии с
правилами доступа и веб-цепочки на нижестоящем сервере, разрешены
на вышестоящем сервере при условии успешного прохождения
нижестоящим сервером проверки подлинности.
Если вышестоящий сервер требует проверки подлинности (поскольку включен параметр Потребовать проверку подлинности всех пользователей в сети или правила доступа требуют проверки подлинности), настройте правила веб-цепочки на нижестоящем сервере следующим образом.
- Включите делегирование учетных данных в правиле для того, чтобы
учетные данные клиентов, создающих запросы и использующих способ
проверки подлинности Basic, передавались (делегировались)
вышестоящему серверу для проверки подлинности. Если нижестоящий
сервер не требует проверки подлинности клиента, то учетные данные
клиента передаются вышестоящему серверу. Если нижестоящий сервер
требует проверки подлинности клиента, то учетные данные клиента
сначала получает нижестоящий прокси, а затем они передаются
вышестоящему серверу. Проверка подлинности методом Basic не требует
повторной проверки подлинности клиента вышестоящим сервером.
- Создайте безопасную учетную запись на нижестоящем сервере,
затем задайте учетные данные для этой учетной записи в правиле
цепочки веб-прокси на нижестоящем сервере. Если вышестоящий сервер
является членом домена, используйте формат
Имя_домена\Имя_пользователя. Нижестоящий сервер применяит
эту учетную запись для проверки подлинности вышестоящим прокси с
помощью способа проверки подлинности Basic или Integrated Windows.
Настройте учетную запись пользователя, которая не используется для
других целей.
- Если правило веб-цепочки настроено для использования
статической учетной записи и делегирования учетных данных клиента,
то используются статические учетные данные.
Проверка подлинности SSL
Между нижестоящим и вышестоящим прокси можно настроить безопасный канал связи SSL. Это особенно важно при использовании метода проверки подлинности Basic, поскольку транзакции отправляются обычным текстом. Для пользования безопасным каналом связи вышестоящую сеть, прослушивающую запросы веб-прокси от нижестоящего сервера, следует включить на прослушивание запросов SSL. Этот параметр задается на вкладке Веб-прокси свойств сети. На вышестоящем сервере должен быть установлен действительный сертификат сервера. Нижестоящий сервер должен иметь корневой сертификат ЦС, который издал сертификат сервера, чтобы он смог подтвердить действительность сертификата сервера. Нижестоящий сервер инициирует подключение SSL к вышестоящему серверу.
Если вышестоящая сеть настроена на требование проверки подлинности сертификата клиента для запросов веб-прокси, то нижестоящий сервер должен иметь действительный сертификат клиента, который можно использовать для проверки подлинности вышестоящим сервером.