Esta seção descreve como funciona o armazenamento no cache do proxy de reencaminhamento e contém informações sobre hierarquias de armazenamento no cache, tipos de objetos e armazenamento de objetos no cache, além de segurança do servidor proxy. Esta seção contém as seguintes subseções:

• "Armazenamento no cache do proxy de reencaminhamento"
• "Hierarquias de armazenamento no cache"
• "Tipos de objetos e armazenamento no cache"
• "Servidores proxy e segurança"

Armazenamento no cache do proxy de reencaminhamento

O recurso Serviços de Proxy funciona como um intermediário entre os hosts de uma rede protegida e a Internet ou a intranet, ou entre os clientes da Internet e os servidores da sua rede. Quando um usuário solicita um serviço da Internet, como HTTP, o cliente submete o pedido ao proxy, que, então, funciona como cliente. O proxy procura os dados no respectivo cache local e, se eles estiverem disponíveis, envia-os imediatamente para o cliente. Se não houver dados disponíveis, o proxy solicita os dados dos servidores do cache hierárquico ou do servidor de origem na Internet e retorna-os ao cliente.

O servidor proxy, então, funciona como cliente e servidor. Como servidor, ele recebe pedidos de clientes da intranet. Como cliente, ele reencaminha os pedidos para o servidor de origem da Internet.

Quando um cliente faz um pedido HTTP regular (sem usar um proxy), o servidor HTTP recebe somente a parte do caminho e da senha do URL solicitado. Por exemplo, o usuário digita o seguinte comando:

http://host.com/marketing/doc.html

O browser envia o seguinte comando para o host.com:

GET /marketing/doc.htm

Nesse exemplo, o servidor HTTP remoto já sabe qual é o especificador de protocolo http e o nome do host. O caminho solicitado especifica o objeto disponível naquele servidor.

Quando um cliente envia um pedido a um servidor proxy através de browser, o proxy usa o HTTP e o método GET. O cliente (browser) usa o HTTP quando se comunica com o proxy, mesmo quando está acessando um objeto em um servidor remoto que use um protocolo diferente, como Gopher ou FTP. Se um protocolo diferente estiver sendo usado, o proxy identificará o protocolo e usará esse protocolo e o URL completo para fazer o pedido. O servidor proxy possui todas as informações necessárias para fazer o pedido ao servidor remoto.

Por exemplo, para um pedido de protocolo FTP, o proxy usa o comando a seguir:

GET ftp://host.com/marketing/doc.html

Todas as informações são usadas ao solicitar informações do servidor de origem. O proxy solicita o documento usando o FTP, os resultados são retornados ao servidor proxy como uma resposta FTP e o servidor envia as informações para o usuário como uma resposta HTTP.

Hierarquias de armazenamento no cache

Você pode configurar uma hierarquia de servidores de cache proxy para reduzir a carga da WAN e resolver os pedidos. Sempre que um pedido de um objeto não puder ser resolvido, o servidor proxy entrará em contato com seus vizinhos (peers) e pais usando o ICP (Internet Cache Protocol), um protocolo de resolução simples. Os proxies trocam consultas e respostas para coletar informações e selecionar o melhor local de onde um objeto solicitado precisará ser recuperado.

Se o URL corresponder a uma listagem em uma lista configurável de substrings, o objeto será recuperado diretamente do servidor de origem e não de outros servidores proxy. Se o pedido for um objeto que possa ser armazenado no cache, o servidor proxy enviará o pedido para os irmãos e pais usando o broadcast UDP. O objeto é recuperado do site mais próximo que estiver disponível. As hierarquias de armazenamento no cache reduzem a carga nos servidores Web de origem e distribuem-na pelos vários servidores do cache. Consulte "Armazenamento hierárquico ICP no cache" para obter maiores informações sobre o cache hierárquico e a maneira como ele funciona.

Tipos de objetos e armazenamento no cache

Nem todos os objetos podem ou precisam ser armazenados no cache. Alguns tipos de objetos não têm valor quando armazenados no cache porque mudam com muita freqüência. Outros precisam da autenticação antes de poderem ser acessados.

O HTTP suporta o método HEAD para recuperar apenas o cabeçalho e determinar o tempo de existência de um objeto. Se um objeto não tiver sido modificado desde o horário especificado em um pedido de cabeçalho, ele não será retornado e o objeto armazenado no cache será usado.

O HTTP também suporta o cabeçalho de pedidos If-Modified-Since, permitindo um pedido GET condicional. O pedido GET contém a data e o horário da última alteração feita no objeto no cache proxy. Se o objeto tiver sido modificado desde o horário e a data de armazenamento, uma nova cópia será recuperada.

Em geral, o servidor proxy não armazena no cache os seguintes tipos de objetos:

• Objetos que estão protegidos por senha
• Objetos com /cgi-bin/ ou ? nos URLs
• Objetos cujo tamanho é maior que um tamanho pré-configurado
• Objetos associados a protocolos diferentes de HTTP, FTP ou Gopher
• Qualquer cabeçalho HTTP que contenha "Pragma:no-cache", "Cache-Control: Private, Set Cookie, WWW-Authenticate ou Cache-Control:no-cache

Você pode especificar outros tipos de objetos que não poderão ser armazenados no cache. Para obter maiores informações, consulte oConfiguração e gerenciamento dos serviços de proxy

O proxy da Novell utiliza as informações de tempo de validade do cache que os servidores Web normalmente fornecem aos browsers. Essas informações especificam durante quanto tempo as páginas precisam ficar armazenadas no cache. Em geral, o texto em HTML é apenas uma pequena parte dos dados transmitidos, mesmo para os sites que geram páginas em HTML de forma dinâmica. A maioria dos dados é formada por imagens estáticas que podem ser armazenadas no cache. Para melhorar a performance, você pode ajustar as diretivas de validade do cache. Para obter maiores informações, consulte oConfiguração e gerenciamento dos serviços de proxy

Servidores proxy e segurança

O recurso Serviços de Proxy interage com os seguintes elementos para proporcionar segurança adicional ao servidor proxy:

• Controle de acesso
• Clientes de gateway Internet da Novell

Uma vantagem do estabelecimento de servidores proxy na intranet consiste no aumento da segurança através do controle de acesso e do registro dos pedidos de URLs. Os servidores proxy têm dois tipos de segurança:

• Segurança de saída

  O servidor proxy pode restringir, por URL, o acesso a protocolos da Internet, como HTTP, FTP e Gopher. Por exemplo, você pode impedir o acesso a sites Web que não sejam adequados à diretiva da empresa ou que não sejam essenciais para realizar o trabalho.

• Segurança de entrada

  O servidor proxy mantém os endereços da rede interna seguros, ocultando da Internet os endereços de clientes IP e substituindo-os ao solicitar informações de servidores Web.

O servidor proxy proporciona maior segurança do que quando somente a filtragem de endereços é usada. Ele determina o endereço de um pacote e todo o contexto da sessão na qual o pacote está sendo enviado, tornando mais fácil, assim, identificar pacotes suspeitos.

O servidor proxy pode ser usado como parte de uma solução de firewall ou junto com as soluções de firewall de outros fornecedores. Ele pode ser usado na frente, dentro ou atrás dos firewalls existentes.

Serviços de proxy e controle de acesso

Para proporcionar segurança adicional, o acesso é controlado através das regras da lista de controle de acesso. Você pode configurar o controle de acesso do recurso Serviços de Proxy para fazer o seguinte:

• Controlar o acesso dos usuários aos servidores da intranet que têm dados confidenciais
• Restringir o acesso do usuário a determinados sites Web improdutivos
• Restringir a utilização de aplicativos desnecessários ou não autorizados
• Restringir o correio de saída com base no nome de usuário e no domínio
• Negar o acesso a grupos de notícias

Por exemplo, você pode negar o acesso a sites Web que não se ajustem à diretiva da sua empresa ou que não sejam essenciais à realização do trabalho.

Com as listas de controle de acesso, o servidor proxy restringe o acesso com base nos endereços IP de origem e de destino, nos URLs, nos domínios e nos nomes de usuários do NDS. O servidor proxy também opera com software de bloqueio de sites de terceiros, como o Cyber Patrol, que é usado para bloquear sites por categoria.

As regras da lista de controle de acesso são armazenadas no banco de dados do NDS. A lista de controle de acesso é um conjunto de regras que permitem ou negam determinada ação. O módulo da lista de controle de acesso verifica o pedido HTTP e determina se qualquer uma das regras de acesso se aplicam ou não. Se uma regra se aplicar, a ação especificada será realizada. Do contrário, a regra padrão será aplicada. Você pode criar regras de controle de acesso nos níveis dos objetos País, Organização, Unidade Organizacional e Servidor. As regras podem basear-se em critérios como usuários, grupos, endereços IP ou serviços. Para obter maiores informações, consulte oConfiguração e gerenciamento do controle de acesso

Com o NDS, as listas de controle de acesso são associadas por container, grupo, usuário ou servidor. As listas de controle de acesso podem aplicar-se a todos os proxies de uma organização, fornecendo, assim, uma visão global ao gerenciamento.

Os clientes do Gateway IP da Novell também fornecem nomes de usuários do NDS para logar no gateway antes de enviar os pedidos HTTP. As restrições de URL também podem ser baseadas em nomes de usuários. Além disso, os clientes HTTP/IPX e HTTP/IP podem acessar os servidores proxy diretamente usando o recurso de proxy transparente do cliente de gateway.

Clientes de gateway Internet da Novell

O servidor proxy também suporta o protocolo HTTP através do IP (e qualquer programa baseado no WinSock). Os clientes de gateways IPX/IP e IP/IP da Novell podem acessar diretamente o servidor proxy. Quando você configura seu browser no cliente de gateway para transmitir por um proxy, ele detecta automaticamente os servidores proxy que estão usando o NDS. O cliente de gateway redireciona os pedidos para o proxy.