Цепочки прокси-серверов и иерархии

На первых порах применения прокси-серверов при взаимодействии между пользовательскими агентами и серверами на пути между пими присутствовал единственный прокси-сервер. В скором времени на пути между пользовательским агентом и исходным сервером стали появляться несколько прокси-серверов. Причиной этому послужила структура организаций, использующих Web. Например, в университете может быть прокси-сервер, через который проходят все Web-rpaii- закции, но на некоторых факультетах университета могут быть свои собственные прокси-серверы. Выход университета в Internet может осуществляться через провайдера, также имеющего собственный прокси-сервер. Наконец, выход в Internet исходиого сервера может также осуществляться через прокси-сервер. В результате этого пользовательский запрос и ответ исходного сервера проходят через несколько прокси-серверов, образующих цепочку. В настоящее время в Web вполне обычна ситуация, когда запрос проходит через группу связанных между собой прокси-серверов. Агент пользователя может быть непосредственно настроен для взаимодействия с прокси-сервером для всех своих операций с Web. На рис. 3.4 представлена конфигурация такой системы.

Рис. 3.4. Цепочка прокси-серверов в Web

Как видпо из рис. 3.4, сообщение от агента пользователя может проходить через несколько прокси-серверов, прежде чем достигнет исходного сервера. Часто реальная структура может отличаться от простой линейной структуры, представленной на рис. 3.4. Так, промежуточные серверы могут иметь другие серверы, подключенные к ним с обеих сторон. Довольно распространенной является структура, когда группа серверов внутри организации образует иерархию. Например, региональный прокси-сервер может быть связан с другими региональными прокси-серверами, которые, в свою очередь, могут быть связаны с национальными прокси-серверами. Отметим, что в этом случае, в отличие от структуры на рис. 3.4, представляющей собой линейную цепочку, позади регионального или национального прокси-серве- pa могут располагаться другие прокси-серверы. Подобная иерархическая структура прокси-серверов широко распространена и очепь полезна в странах, где стоимость доступа к Internet высока. Ограничив в разумных пределах число подключений на региональном или национальном уровне, организации могут существенно сократить время ожидания пользователей и стоимость соединений. Группа прокси-серверов может обслуживать больший объем кэшей для храпения ответов. Однако нри наличии нескольких прокси-серверов при исполпепии запроса возникает необходимость поиска нужного кэша.

Настройка прокси-сервера

В главе 2 (раздел 2.4) мы узнали, что пользователь может настроить браузер и задать различные физические и семантические параметры. В случае использования прокси-серверов пользователи Обычно не могут влиять на его пастройки. Например, пользователь обычно не может изменять специфические для прокси-сервера параметры, такие как размер кэша или частоту обновления содержимого. В браузере Можно задать, следует ли использовать прокси-сервер в качестве промежуточного компонента. Клиент может обойти прокси-сервер и выбрать режим, при котором все запросы направляются исходному серверу непосредственно, хотя этому может помешать присутствие межсетевых экранов. Многие браузеры могут быть настроены на использование прокси-сервера. В некоторых организациях пользователям разрешается изменять пастройки по умолчапию с помощью выбора, использовать ли про- кси-сервер вообще, использовать определенный прокси-сервер для всех запросов или для всех запросов за исключением гех, которые адресуются определенным Web-серверам. Последняя из этих опций предоставляет пользователю наибольшие возможности. Пользователь может разрешить использование прокси-сервера для сайтов, которые не нарушают его конфиденциальности, или для популярных сайтов, ресурсы которых могут содержаться в кэше прокси-сервера. Для других доменов пользователи могут обходить прокси-сервер. Большинство пользователей не изменяют иастройки по умолчанию, а многие пользователи могут даже не зпать, что у них есть возможность изменять настройки по умолчапию. Для пекогорых организаций попытки пользователей изменить настройки браузера, связанные с прокси-сервером, могут оказаться тщетными. Администраторы организации могу г использовать стратегию, благодаря которой все пользовательские запросы должны обязательно проходить через прокси-сервер.

Серьезные проблемы возникают при пастройке мобильпых клиентов, когда при настройке необходимо указывать один из нескольких прокси-серверов. В связи с этим последнее время ведутся работы по созданию средств для автоматического поиска нужного прокси-сервера. Вместо того чтобы просто найти прокси-сервер, задействуется более совершенный механизм, который позволяет найти информацию о настройках, которая, в свою очередь, позволяет использовать наиболее подходящий в данный момент прокси-сервер. Эта работа пока находится на стадии экспериментов [CGC+00J, использует протокол Dynamic Host Configuration Protocol [Dro97] и связана применением DNS [Moc87a].

Проблемы, связанные с конфиденциальностью

В главе 2 мы обсуждали проблемы, связанные с конфиденциальностью, применительно к браузерам. Прокси-серверы играют более важную роль с точки зрения безопасности. Являясь промежуточным звеном для множества пользователей, иро- кси-сервер осведомлен о мпогих деталях их поведения:

•    ресурсах, к которым осуществляется доступ;

•    частоте доступа;

•    заголовках и теле запроса;

•    заголовках и теле ответа.

Эта осведомлепиость потенциально песет угрозу для безопасности пользователя. Однако прокси-сервер часто воспринимается как доверенный промежуточный компонент, если пользователи настроили свои браузеры для доступа через ирокси-сер- вер. Пользователям известно, кто ответственен за собранную информацию. Как мы увидим в разделе 3.8, существуют ситуации, в которых у пользователей отсутствует информация о том, что их запросы и ответы проходят через ирокси-серверы. В таких случаях неосведомленность о паличии промежуточного звепа вызывает необходимость задуматься, кто имеет доступ к информации о работе пользователя.

Прокси-серверам известен IP-адрес клиента. Если клиентом является однопользовательский компьютер, или если в пользовательских запросах присутствует одно и то же значение поля User-Agent, прокси-сервер может определить, что группа запросов исходит от одного и того же пользователя. Прокси-сервер не всегда может точно знать, кто осуществляет доступ к Web-pecypcaM через пего. Если прокси-сервер расположен перед многопользовательским компьютером, он не всегда в состоянии точно установить, какой пользователь отправил запрос. В многопользовательской среде для идентификации пользователя может быть использована другая информация, например, системная информация о времени входа пользователя в систему и выхода из нее. Подобные приемы часто используются в случаях расследования престунлеиий. Полиция в ряде штатов США использует журпалы регистрации для отслеживания пользователей. Другой уязвимой с точки зрепия безопасности информацией является перечень ресурсов, к которым осуществлялся доступ. Выборочный просмотр ресурсов, к которым обращался пользователь, может создать «портрет» пользователя. Люди, осуществляющие поиск информации по определенным темам, связанным с онределенными заболеваниями, либо посещающие Web-сайты по трудоустройству, должны в определенной сгепеии считаться с риском, что об их проблемах и намерениях станет известно другим лицам.

Содержимое запроса может также содержать дополнительную информацию о пользователе, такую как депь рождения или номер его кредитной карты. Эта информация извлекается из форм, заполняемых повсеместно нри регистрации для участия в конференциях и списках рассылки, покупке товаров, заказе авиабилетов. Очевидным решением, все чаще используемым многими Web-сайтами, является использование шифрования на основе протокола SSL, в этом случае прокси-сервер используется в качестве туннеля. Аналогичным образом, содержимое ответа также песет информацию о пользователе.

Источник: Web-протоколы. Теория и практика. — M.: ЗАО «Издательство БИНОМ», 2002 г. – 592 c.: ил.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100