- 打印本文 关闭窗口
- 代理服务器Proxy综述
- 作者:.. 文章来源:.. 点击数: 更新时间:2004/1/25 17:16:03
- 如何快速地访问Internet站点,并提高网络的安全性,这已成为当今的热门话题。新一代的代理服务器使我们美梦成真。
试想一下,只要运行特定的软件,就可以更快地访问Web页面,节约费用并可以提高网络的安全性。既然如此,何乐而不为呢?Web缓存代理服务器可以为任何大小的网络实现所有这些功能。简而言之,Web缓存代理服务器对Web导航,它检查已被缓存起来的Web页面及LAN用户曾经访问过的Web页面。如果页面已经被修改,那么代理服务器在本机驱动器上重新存储该页面的新版本。代理服务器还可以依据一定的准则,自动访问页面中的链接,以下载相关的页面。这样一来,当用户需要重复访问那些常用的资源时,可以直接在代理服务器上获得,而没必要上Internet,从而节省了时间。
代理服务器具有极大的持久性和坚忍性。它可以检查和存储成千上万的Web页面。当LAN上的任何本地用户请求某个缓存的页面时,该页面快速地从本地驱动器或缓存区中发送出去,避免了Internet传输延迟。代理服务器可以有效地利用Internet连接,这意味着可以在多个用户之间共享单个连接,从链路上榨取最大的收益,以节约费用。尽管代理服务器不具备防火墙的高度灵活性,但是,它是内部网络与外部网络之间不可渗透的屏障。如果希望在多个用户之间共享电缆调制解调器Internet连接,那么代理服务器是个出色的解决方案。使用代理服务器时,用户可以共用电缆调制解调器所提供的单个IP地址。
在本专题中,我们考察了四种产品:MicrosoftProxyServer1.0、NetscapeProxyServer2.5、WinGate2.0Pro和WinProxy1.1。Microsoft和Netscape的产品功能强大、灵活而高级,也相对比较复杂。Microsoft的代理服务器需要WindowsNTServer平台,而Netscape的代理服务器可以在WindowsNT和很多Unix平台上运行。WinGate和WinProxy功能弱一些,价格也低一些,它们可以在WindowsNT和Windows95上运行。
测试中,我们在HP100MHz奔腾PC上运行了MicrosoftProxyServer和NetscapeProxyServer,这台PC配置了64MB的RAM和两块3Com10Base-T网卡。一块网卡连接我们测试用的LAN,另一块网卡连接MotorolaCyberSURFR电缆调制解调器和Cisco1604路由器,后两台设备都与Internet相连。测试WinGatePro和WinProxy时,我们使用了一台Compaq200MHzPC,设置情况与HPPC类似。服务器、防火墙、网关?
Web缓存代理服务器与网络防火墙、IP/IPX网关等产品比较相似。它与Internet访问管理产品也十分相近。在未来一年里,代理服务器可能无法成为独立的产品类别,但代理服务器仍然是一种重要的特殊产品。Novell的BorderManager就是这种新的万能产品,该产品在第三季度推出。
我们对Web缓存代理服务器、防火墙和IP/IPX网关做了比较。从它们的主要功能以及附属功能的实现程度上看,每一类产品都是独一无二的,不能相互取代。与IP/IPX网关相似,代理服务器也提供了各种Winsock和Socks功能(参见“Socks缓存”)。价位适中
代理服务器不仅可以提高访问速度和安全性,而且,它还是一项很划算的投资。通过减少所申请的ISP帐号,你可以在短短几个月内收回最初的产品投资。初始投资的上限为500到900美元,下限为299美元(WinProxy),但是还要考虑到人员培训的费用。如果你能够在TCP/IPLAN上安装Windows95,那么你很可能有能力安装和设置WinProxy。但是,如果你想要使用其它的产品,却又不熟悉WindowsNTServer和IP,那么就需要接受相应的培训,或是求助于顾问。Microsoft的授权技术教育中心(ATEC)提供了有关MicrosoftProxyServer的培训课程,但该课程需要一些预备知识。
这些产品的伸缩性很好。在LAN上,使用一台配有64MBRAM、运行WindowsNT的奔腾166,就可以为上千个客户服务。考虑到网络基础设施的容量,对于分段的网络,管理员可以对代理服务器进行级联,这时,只有一个代理服务器真正地访问Internet,而其它的代理服务器只是高效地复制它的文件。MicrosoftProxyServer是唯一不允许级联的产品。
还有一个需要考虑的因素,这就是为了使用代理服务器,开始时需要对每个客户浏览器进行配置,这要费一点工夫。这项工作的工作量为每个用户30秒。可以通过电子邮件来指导你的客户完成这项工作。但是,当客户很多时,这仍然是个值得重视的因素。特性和灵活性
这些代理服务器的差别,主要体现在它们所提供功能的多少以及灵活性。例如,NetscapeProxyServer不能传递POP3和SMTP邮件,所以无法通过它隐藏电子邮件服务器。你不得不安装一个单独的电子邮件系统,配置它自己的Internet网关,进行保护。此外,NetscapeProxyServer不能处理AOL和RealAudio等服务的特殊协议。但是,Netscape的产品带有内置的病毒保护特性。Microsoft和Netscape的服务器均可插入第三方URL清单,比如CyberPatrol和SurfWatch。
网络总是在不断地发展变化,而管理灵活性是成功使用这些产品的关键所在。Microsoft和Netscape的产品都可以生成相应的报表,这些报表提供了有关系统使用情况的有用信息。WinGatePro和WinProxy可以记录信息,形成日志,但是从日志中提取信息比较困难。NetscapeProxyServer提供了对Netscape服务器和浏览器的自动配置功能,在使用级联代理服务器的大型网络中,当你对网络配置做改动或网络出现故障时,这种自动配置的功能将非常有用。Microsoft产品的管理功能极为出色,该功能与Microsoft的BackOffice系列结合得非常紧密。
这些产品的投资小,收益大。它们可以为任何大小的网络提高性能和安全性。MicrosoftCorp——MicrosoftProxyServer
在我们所评测的产品中,MicrosoftProxyServer1.0版和Netscape的产品是价格最为昂贵的。MicrosoftProxyServer只能在WindowsNTServer上运行,因此,应该把与此有关的费用考虑到经费预算中。但事实上有许多人都购买了这些产品,这些产品功能丰富、方便易用。如果想要在付款购买前对产品做一番测试,那么可以从Microsoft的Web站点(www.microsoft.com)下载60天的试用版。
与MicrosoftBackoffice系列的所有成员一样,MicrosoftProxyServer与NTServer集成得非常紧密。使用MicrosoftProxyServer时,服务器上需要安装MicrosoftInternetInformationServer2.0(IIS)和ServicePack2(或更高版)forWindowsNTServer4.0。
MicrosoftProxyServer的安装没有什么困难之处,在管理上使用和IISWeb服务、FTP服务相同的管理工具,即InternetServiceManager(ISM)。ISM提供了Internet服务的简单视图,它使用一系列带有标签的对话框,来配置服务器。当前版的MicrosoftProxyServer不支持基于Web的远程管理,但是Microsoft表示该功能已经列入下一版本的改进计划。
MicrosoftProxyServer实际上安装了两个独立的服务器:WebProxy和WinsockProxy。WebProxy提供了缓存的HTTP代理服务、未缓存的FTP代理服务,以及Gopher和SSL代理服务。WinsockProxy还提供了对IRC和POP3等其它协议的支持。可以通过ISM添加其它的协议。
利用ISM界面,可以对MicrosoftProxyServer进行配置,以允许或禁止用户、用户组对Internet的访问。可以限制各个用户对特定协议的访问权限。因此,可以根据每个用户的实际需求来合理调节访问权限。利用过滤器机制,可以依据用户的配置文件来认可或拒绝访问。在报表机制上,MicrosoftProxyServer与其它的BackOffice产品相同。
MicrosoftProxyServer可以用于LAN或拨号Internet连接。当通过拨号调制解调器或ISDN连接ISP时,MicrosoftProxyServer使用WindowsNT的远程访问服务(RAS,RemoteAccessService)。如果通过以太网链路连接ISP,则需要在服务器上安装两块LAN网卡。一块网卡连接本地的LAN,另一块连接Internet。可以把拨号访问限制在一天中预先指定的时间里,或是限制在一个星期中特定的几天里,这就可以防止用户在工作时间之外使用ISP连接。
在我们评测的产品中,MicrosoftProxyServer对客户方的支持是最出色的。如果客户PC只使用Web和FTP服务,并且已经安装了IP,那么你所要做的只是在Web浏览器的代理设置项中输入代理服务器的IP地址。如果想要使用Winsock代理提供的其它协议,则必须安装MicrosoftProxyServer提供的客户软件。在安装过程中,MicrosoftProxyServer创建一个名为mspclnt的共享目录。要让客户PC使用Winsock代理服务器,所要做的配置工作非常简单:首先连接到这个共享目录上,然后运行Setup.exe程序。这个客户安装程序自动安装一个重定向程序,它把Winsock请求重路由到Winsock代理上。这个客户软件可以支持IPX和IP两种连接,所以不一定非要安装IP。但是,如果客户方没有安装IP,则不能使用拨号网络(Dial-UpNetworking)功能。(查询号112)NetscapeCommunicationsCorp——NetscapeProxyServer
如果公司想要在企业防火墙的内部设置一个或多个Web服务器,那么NetscapeProxyServer2.5版是个极好的选择。在我们所评测的产品中,NetscapeProxyServer的支持平台是最多的,包括SunSolaris和其它几种Unix变体。它也是唯一具备病毒扫描功能的代理服务器。与MicrosoftProxyServer相似,NetscapeProxyServer的WindowsNT版欠缺对Socks的支持,所以,如果公司想要在多平台混合的环境中共享Internet连接,那么NetscapeProxyServer就显得不尽人意。此外,NetscapeProxyServer不能传递IMAP4、POP3和SMTP邮件,所以不能通过它隐藏电子邮件服务器。
NetscapeProxyServer的安装比较简单。如果你曾经安装过任何的Netscape服务器,那么安装NetscapeProxyServer时也不会有什么困难。与所有这些Netscape服务器一样,NetscapeProxyServer要求在服务器上安装NetscapeNavigator。安装CD上提供了一份NetscapeNavigator3.0。该浏览器用于配置和管理NetscapeProxyServer。NetscapeProxyServer的用户界面与其它的Netscape服务器相同。
NetscapeProxyServer提供了极为出色的用户访问控制。可以对它进行设置,来决定服务器上允许那些用户访问,还可以依据内容类型、域名或IP地址,来允许或拒绝用户对Web站点的访问。另外,可以选用日志特性,以Netscape的标准格式记录所有的用户访问信息,然后使用文件分析器进行分析。这种文件分析器是为Netscape的Web服务器设计的。
此外,NetscapeProxyServer提供了极为出色的缓存特性。可以对它进行配置,令它自动更新特定的Web页面,而允许缓存的其它页面暂时不进行更新。在评测中,所有的产品都可以在指定的时间段里更新整个缓存区,但只有Microsoft和Netscape的产品可以自动更新特定的页面。还可以对NetscapeProxyServer进行配置,令它依据调度表进行更新。
NetscapeProxyServer提供了对Netscape浏览器的自动客户配置功能。配置客户浏览器时,只需在客户浏览器的自动配置地址项中输入代理服务器的URL地址,然后单击Update。代理服务器会把新的配置文件发送给客户浏览器,告诉客户浏览器哪个服务程序对应哪种协议。利用该特性,管理员可以方便地修改代理服务器的配置,而不必重新手工配置每个客户浏览器。当然这种自动配置功能不支持InternetExplorer3.02以下的Microsoft浏览器。值得一提的是,当我们为NetscapeProxyServer手工配置InternetExplorer3.0时,没有遇到任何问题。
NetscapeProxyServer可以对所有进入的数据实时地进行病毒扫描,它使用的扫描工具是TrendMicro的InterScanE-MailVirusWall。NetscapeProxyServer用户可以在90天里免费更新病毒特征文件,90天之后,就需要向TrendMicro购买更新服务。使用病毒扫描程序时,代理服务器必须检查所有进入的数据,查看它们是否具有已知的病毒特征,这会显著地增加服务器硬件的CPU负载。
在评测中,其它的产品都可以使用WindowsNT的远程服务服务(RAS),来通过拨号调制解调器或ISDN连接Internet服务提供商,唯独NetscapeProxyServer不能建立这样的拨号连接。就NetscapeProxyServer的市场而言,这并不是什么严重的疏漏。但是,如果你希望使用ISDN连接,则可能需要外置的路由器来配合使用该产品。(查询号236)DeerfieldCommunicationsCo——WinGatePro
WinGate2.0Pro是个灵活的多协议代理服务器,可以在Windows95、WindowsNTWorkstation和WindowsNTServer平台上运行。WinGatePro为下列协议提供了缓存代理服务:HTTP客户机、Socks4和Socks5HTTP请求,以及FTP、IRC、NNTP、POP3、RealAudio和telnet协议。此外,WinGatePro为遵循Socks的应用程序提供了Socks5代理服务。在Internet连接方式上,它支持拨号调制解调器、ISDN和直接的LANInternet连接。WinGatePro可以支持静态、动态两种IP地址,因此,不一定非要使用具有固定IP地址的ISP帐号。利用WinGatePro,可以让LAN上的多个用户共享通用的拨号ISP帐号,这一特性与MicrosoftProxyServer和WinProxy相似。
该产品提供了两种版本:WinGateLite和WinGatePro。与WinGatePro相比,WinGateLite缺少前者所具备的记帐、审计和用户控制等特性。此外,它不支持远程管理,支持的协议也比Pro版要少。价格范围是:单用户版免费,不限用户数量时为700美元。我们测试的是功能完备的不限用户数的版本,测试平台为Windows95。可以从DeerfieldCommunicationsCo.的Web站点(www.deerfield.com)下载免费的30天试用版,DeerfieldCommunicationsCo.是WinGate的分销商。
WinGate2.0Pro的安装只需要几分钟的时间。与我们评测的其它产品相比,WinGatePro的配置工作要稍微复杂一些。在下载的软件包中,附带的文档不是很详尽,但WinGatePro提供了极为出色的内置帮助系统,它充分弥补了文档不足的缺陷。帮助系统提供了详尽的信息,指导用户配置Internet应用程序,与WinGate配合使用。此外,WinGatePro中包含了一个客户配置工具,该工具可以自动配置某些流行的Web浏览器和电子邮件程序。
在WindowsNTServer、WindowsNTWorkstation和Windows95上,WinGate服务器作为一个服务运行。运行时,它实际上是不可见的。GateKeeper是WinGatePro的用户界面部分,用于配置和管理方面的功能。GateKeeper作为一个单独的程序运行,它的用户界面是一种树型结构,类似于Explorer。在GateKeeper窗口中,右窗格中列出各种服务,左窗格中列出当前的活动连接。当用户通过代理服务器访问资源时,左窗格中的连接列表将动态地变化。通过这种动态的显示,不仅可以快速地确认服务器是否工作正常,而且可以看出在给定时刻谁在使用代理服务器。当完成最初的安装工作后,就可以使用GateKeeper的远程配置特性,来配置和监视WinGatePro。用户既可以从LAN的任一台PC上进行配置,甚至可以在Internet上进行远程配置。
该产品提供了一组丰富的访问控制特性。可以依据下列因素限制用户的访问:客户IP地址、协议类型、时间、流量大小和在线使用时间。它还提供了丰富的用户活动日志,用于监视特定用户或所有用户的Internet使用情况。不足的是,WinGatePro没有提供预定义格式的报表,而Microsoft和Netscape的产品却实现了这一功能。
我们就各种Internet连接对WinGatePro进行了测试,包括拨号ISDN和调制解调器连接、电缆调制解调器连接,以及通过AscendISDN路由器的ISDN连接。缓存的HTTP服务器几乎可以立刻检索出缓存的页面,我们测试的所有应用程序都可以流畅地执行,没有什么磕绊。OsitisSoftware——WinProxy
在评测的产品中,WinProxy1.1版是最便宜的。它可以在Windows95、WindowsNTServer或WindowsNTWorkstation上运行。如果你希望价格能更便宜一些,那么可以购买OsitisSoftware提供的WinProxyLite,它的报价只有49.95美元。Lite版提供的功能与WinProxy几乎完全相同,只是它的并发用户数限制为三个。
在评测的产品中,WinProxy是最灵活、最易安装和配置的产品之一。它从单张软盘上进行安装,安装只需几分钟的时间。配置向导会带着你完成每一个步骤。如果计算机还没有连接Internet,那么需要在每个系统上安装TCP/IP,并需要为每台计算机分配不同的IP地址。考虑到用户可能没有IP地址,WinProxy在手册上提供了可供使用的网络地址列表。WinProxy安装完成后,该程序会提供详细的客户配置检验表。
WinProxy可以使用永久Internet连接和拨号Internet连接。它可以在Internet网关上支持固定、动态两种IP地址。我们对这两种方式都进行了测试。在第一种方式中,我们对WinProxy进行设置,令它使用LAN上的Motorola电缆调制解调器。电缆调制解调器提供了一个固定IP地址连接,连接着电缆调制解调器服务提供商。测试WinProxy时,LAN上的任一个工作站都能够以电缆调制解调器的全速使用电缆调制解调器连接。
在第二种方式中,我们让WinProxy使用拨号ISDN连接,连接至ISP。大多数的拨号ISP帐号在用户每次连接时,都分配一个不同的IP地址;这没有给WinProxy带来什么困难。与MicrosoftProxyServer和WinGatePro相似,WinProxy可以按需自动对ISP拨号,并且,当达到用户预先定义的断开连接的时间时,WinProxy会自动断开连接。
在协议的支持上,WinProxy是评测的所有产品中最为完备的。它为下列协议提供了代理服务:DNS、FTP、HTTP、IMAP4、NNTP、POP3、RealAudio和Socks4。其中,HTTP代理服务既可以支持出去的HTTP请求,也可以支持进入的HTTP请求,所以WinProxy也可用作防火墙,检查外来信息保护内部LAN上的Web服务器。
WinProxy还提供了其它的安全措施。例如,可以依据IP地址限制特定的客户PC访问Internet。可以通过限制用户对特定协议的访问,来进一步调节用户对Internet的访问权限。这样,就可以做到仅仅提供用户实际需要的协议,比如,可以提供Web和邮件访问,而限制FTP和Usenet访问。
WinProxy也有一份黑名单,黑名单中记录着受禁的IP地址、域和网络。如果用户企图访问IP地址列在黑名单中的主机,WinProxy将在用户的浏览器中显示出错信息:ForbiddenHTML(受禁的HTML)。WinProxy没有内置对黑名单的管理特性,所以,当需要在黑名单文件中添加新的条目时,必须使用Notepad之类的文本编辑器。WinProxy还可以与SolidOakSoftware的CyberSitter配合工作。
在本刊付印之际,Ositis宣布了WinProxy2.0版的问世。据报道,这个新版本增加了HTML缓存的功能,在性能上有所提高,并且改进了基于Web的管理界面。现在可以从Ositis的Web站点(www.ositis.com)下载WinProxy2.0的试用版。(张知一译,原文刊载于Vol.16No.14) - 打印本文 关闭窗口