Esta seção descreve detalhadamente os seguintes proxies de aplicativos suportados:
Existem dois tipos de proxy HTTP:
O proxy HTTP resolve as solicitações de URL para os clientes Web da rede. Ele também é conhecido como proxy de reencaminhamento. Essas solicitações são armazenadas no cache, se possível, no servidor proxy, para aumentar a velocidade de fornecimento do mesmo conteúdo na próxima vez que as mesmas informações forem solicitadas.
O HTTP propriamente dito é um protocolo no nível do aplicativo, usado para sistemas de informações de hipermídia cooperativos e distribuídos. Ele é genérico e permite que os sistemas sejam criados independentemente dos dados que estão sendo enviados. Ele também é um protocolo orientado a objetos que pode ser usado para servidores de nomes, sistemas de gerenciamento de objetos distribuídos e assim por diante. Os servidores HTTP usam o HTTP como um protocolo de aplicativo primário, permitindo que os usuários acessem e troquem arquivos na Web. O protocolo HTTP também pode ser usado para a comunicação entre os usuários, proxies, gateways e outros protocolos da Internet, como SMTP, NNTP, FTP e Gopher.
A comunicação HTTP costuma ser feita através de conexões TCP/IP, na porta padrão 80, embora outras portas também possam ser usadas.
O servidor proxy pode ser configurado como um acelerador HTTP para proteger um servidor de intranet da Internet e reduzir a carga dos servidores Web públicos mantidos na intranet. A aceleração HTTP, também conhecida como aceleração de cache proxy inverso ou aceleração do servidor Web, cria um processador front-end para um servidor Web. Um servidor de aceleração HTTP está entre um ou mais servidores Web e a Internet e representa os servidores Web para qualquer cliente que os esteja acessando. Ele também pode ser usado para criar um site espelhado local de um servidor remoto.
Quando o usuário da Internet consulta o DNS para localizar o endereço do servidor Web, o DNS retorna o endereço do servidor Web solicitado. O acelerador HTTP recebe os pedidos HTTP na porta 80 (ou em outra porta configurada) e processa todos os pedidos da Web que chegam. Os pedidos de objetos que podem ser armazenados no cache --- informações estáticas que não mudam com freqüência, como páginas em HTML e imagens GIF --- são processados pelo proxy. Os pedidos de objetos que não podem ser armazenados no cache --- informações dinâmicas que mudam com freqüência --- são processados pelo servidor Web de origem na porta 80. Em geral, cerca de 90% do conteúdo de um servidor Web típico são estáticos e 10% são dinâmicos.
Você pode configurar um servidor de aceleração HTTP para recuperar informações ou referências a objetos que podem ser armazenados no cache do servidor Web e armazenar no cache as informações em um servidor BorderManager. Isso reduz a carga no servidor Web. O servidor de aceleração HTTP reencaminha para o servidor Web somente pedidos e referências que não estejam no cache.
Se o seu site recebe pedidos de uma grande porcentagem de objetos que podem ser armazenados no cache, o acelerador HTTP reduz a carga da Web. Para obter uma performance ainda melhor, você pode armazenar no cache objetos de uma natureza ainda mais volátil, como cotações do mercado, e especificar para os usuários um tempo de atraso de exatidão.
O proxy inverso do BorderManager pode gerenciar mais conexões TCP que um servidor Web de origem (em geral, UNIX ou Windows NT).
A aceleração HTTP proporciona as seguintes vantagens:
Existem dois tipos de proxy FTP:
O FTP é o protocolo padrão da Internet usado para transferência de arquivos. O proxy FTP é usado para gerenciar pedidos de proxy do FTP quando os usuários utilizam clientes FTP puros, como o software LAN WorkPlace®, o UNIX, o Macintosh, etc.
O proxy FTP proporciona as seguintes vantagens:
O FTP padrão precisa de uma conta de usuário no servidor que está sendo acessado. O FTP anônimo não exige uma conta de usuário e fornece acesso a arquivos específicos na Internet. O nome de usuário é anonymous ou ftp.
Você pode usar servidores proxy para controlar o acesso a sites FTP autenticados. Quando um servidor proxy FTP está em um firewall, todos os pedidos de clientes FTP na intranet precisam passar pelo servidor proxy FTP. Isso ajuda a reforçar o controle centralizado no acesso à Internet e varre os dados que estão sendo enviados ou recuperados pelos usuários dentro de uma organização.
O cliente (ou usuário) FTP na intranet se conecta primeiro com o servidor proxy FTP, digitando o nome ou endereço IP do servidor proxy como ftp://novell.com. O usuário precisa, então, digitar o seguinte para identificar o host de origem e se conectar com o proxy FTP:
USER NomedoUsuárioProxy$ NomedoUsuárioFTPdeDestino
PASS SenhaNDSdoUsuário$ SenhaFTPdeDestino
onde NomedoUsuárioProxy é o nome do usuário do NDS, NomedoUsuárioFTPdeDestino é o nome do usuário FTP no servidor de destino, NomedoHostFTPdeDestino é o nome do host ou endereço IP do servidor FTP de destino, SenhaNDSdoUsuário é a senha NDS do usuário e SenhaFTPdeDestino é a senha do usuário no servidor de destino. Somente o nome do host FTP NomedoHostFTPdeDestino é necessário. Se o NomedoUsuárioFTPdeDestino estiver faltando, pressupõe-se que seja anônimo e que nenhuma senha seja necessária. O NomedoUsuárioProxy será necessário somente se a autenticação FTP estiver habilitado. O proxy estabelece a conexão final com o servidor ou host de origem.
Os modos ativo e passivo do FTP são suportados e podem ser habilitados ou desabilitados. O modo ativo (PORT) anuncia um receptor na intranet e permite que os clientes estabeleçam uma conexão com a máquina da intranet, um método menos seguro. O modo de FTP passivo (PASV) permite que o cliente inicie a conexão com um servidor FTP remoto. O modo PASV é suportado para permitir ao administrador do firewall negar conexões que chegam acima da porta 1023, se necessário.
O proxy FTP inverso, ou acelerador FTP, é um aplicativo que é posicionado à frente do servidor FTP. Ele funciona como um servidor FTP para os usuários da Internet e protege os servidores FTP que estão atrás do firewall contra violações externas. O acelerador FTP varre os dados que chegam e que saem e, com um suporte de terceiros, pode detectar qualquer vírus que esteja sendo enviado através do sistema.
O acelerador FTP também armazena no cache dados solicitados freqüentemente e arquivos FTP de usuários anônimos e ajuda a acelerar os pedidos FTP. Esse processo é útil porque a maioria dos pedidos FTP da Internet são de usuários FTP anônimos. O armazenamento no cache desloca a carga de servidores FTP para o proxy FTP inverso.
O correio eletrônico é o mais importante e útil dos serviços da Internet. E também o mais vulnerável. Para criar um ambiente seguro, você precisa restringir o acesso ao correio externo somente para algumas máquinas, fazer a triagem de applets ou scripts estranhos e evitar outros esquemas maliciosos de e-mail.
O SMTP trata da troca de mensagens eletrônicas entre os servidores de correio, aceitando a correspondência e enviando-a diretamente para os domínios de correio de destino ou entregando essas mensagens para um agente de relé intermediário. O protocolo POP3 (Post Office Protocol 3) é usado para tratar das caixas de correio eletrônicas dos usuários nos servidores.
O servidor proxy de correio fornece serviços de correio SMTP seguros para a correspondência que chega e sai. O SMTP permite que os usuários da intranet enviem mensagens para a Internet de uma maneira segura. Da mesma forma, os usuários da Internet podem enviar correspondência através do SMTP para usuários da intranet de maneira segura. A correspondência que chega é varrida para detectar a existência de vírus, filtrada à procura de mensagens sem importância e controlada usando as listas de controle de acesso.
O proxy SMTP pode executar as seguintes operações de controle de acesso e filtragem para mensagens recebidas e enviadas:
O proxy de correio pode ser usado em uma organização entre o servidor de correio da intranet existente e a Internet, ou entre a intranet e a Internet sem um servidor de correio da intranet existente. Estes comandos de e-mail são aceitos no proxy de correio: HELO, MAIL, RCPT, DATA, RSET, HELP, NOOP e QUIT. Para obter maiores informações sobre como configurar os filtros de correio e o controle de acesso, consulte o "Visão geral e planejamento da filtragem de pacotes" e "Visão geral e planejamento do controle de acesso".
O proxy de notícias, ou NNTP, é usado para acessar e usar as notícias da Usenet, que consistem em um recurso da Internet, semelhante a um BBS, que contém artigos sobre diversos assuntos. Os artigos são agrupados por assunto ou grupo de notícias. Existem mais de 10.000 grupos de notícias públicos na Internet. O proxy de grupos de notícias fornece serviços de grupos de notícias NNTP seguros para transferir publicações ou notícias entre a intranet e a Internet. Ele é um serviço baseado no TCP que usa um tipo de protocolo de armazenamento e reencaminhamento.
Os servidores de notícias privados ou internos podem usar o proxy para trocar artigos com servidores de notícias públicos ou externos de maneira segura. Para os servidores de grupos de notícias públicos, o proxy de grupos de notícias funciona como um servidor de grupos de notícias corporativo e alimenta todos os servidores de grupos de notícias privados configurados, se houver algum. Para os servidores de grupos de notícias privados e newsreaders (por exemplo, o Netscape* Communicator*), o proxy de grupos de notícias funciona como um servidor de grupos de notícias público e alimenta todos os servidores de grupos de notícias públicos que estiverem configurados. Os seguintes comandos de grupos de notícias são aceitos pelo proxy de grupos de notícias: POST, IHAVE, NEWNEWS e NEWGROUPS.
Se uma intranet não tiver servidores de grupos de notícias privados, como em uma empresa pequena, o proxy de grupos de notícias funcionará como um servidor de grupos de notícias. Todos os pedidos, feitos pelos usuários, de listagens de grupos, artigos e recuperação e publicação de artigos são enviados pelos browsers ou newsreaders para o proxy de grupos de notícias. Este, por sua vez, envia os pedidos e as informações para os servidores de grupos de notícias públicos configurados e reencaminha todas as respostas de volta para os usuários. Os utilitários newsreaders ordenam os artigos ou grupos e exibem as informações para os usuários. Nenhum artigo é armazenado no cache nesta versão do proxy de grupos de notícias.
Os usuários podem recuperar artigos de grupos de notícias especificando o ID do artigo ou selecionando um grupo e o número do artigo. Todos os comandos de recuperação de notícias são suportados. Dedique um servidor aos serviços e ao proxy de grupos de notícias porque eles tendem a consumir espaço em disco rapidamente. A performance do proxy de grupos de notícias é ótima quando os servidores de grupos de notícias internos estão disponíveis. Isso reduz a carga de pedidos no proxy de grupos de notícias.
Você pode aplicar as regras de controle de acesso ao proxy de notícias especificando o seguinte:
Para obter maiores informações sobre os controles de acesso, consulte o "Visão geral e planejamento do controle de acesso".
Através da utilização do RTSP (Real Time Streaming Protocol), um player RealAudio se comunica com um servidor RealAudio para reproduzir um áudio ou vídeo à medida que o respectivo download é feito (ao contrário de baixar de um programa inteiro antes de reproduzi-lo). O RealAudio elimina os atrasos que podem ocorrer durante o download, principalmente com os modems mais lentos. Ele também suporta vários níveis de qualidade e recursos que não sejam de áudio, como páginas em HTML sincronizadas por voz.
O proxy RealAudio também permite que os players dentro do firewall se conectem com o proxy especificado, que, por sua vez, se conecta ao servidor RealAudio solicitado fora do firewall. O proxy oculta qualquer servidor RealAudio da intranet que não deva estar visível para a Internet. Não é feito qualquer armazenamento no cache. Você pode configurar o proxy inverso caso seja necessário que um servidor RealAudio esteja visível para a Internet. O proxy RealAudio exige o RealPlayer* 2.0 ou posterior, que pode ser configurado com o mesmo nome de host e número de porta usado pelo proxy.
O player e o servidor RealAudio podem usar um dos seguintes métodos de comunicação:
Nesse modo, uma única conexão TCP full-duplex é usada para transmissão de dados de controle e de áudio entre o player e o servidor. A porta de conexão TCP padrão no servidor é 7070.
Neste modo, o player configura duas conexões de rede com o servidor. É usada uma conexão TCP full-duplex para controle e negociação. caminho UDP unidirecional do servidor para o player é usado para entrega de dados de áudio.
Neste modo, o player configura três conexões de rede com o servidor. É usada uma conexão TCP full-duplex para controle e negociação. Um caminho UDP unidirecional do servidor para o player é usado para entrega de dados de áudio. Um segundo caminho UDP unidirecional do player para o servidor é usado para solicitar que o servidor envie novamente os pacotes de dados de áudio UDP que foram perdidos.
O DNS (Domain Name System) é um sistema de dados distribuídos que converte nomes de hosts em endereços IP e vice-versa. Ele também armazena e acessa outras informações sobre hosts.
Quando habilitado, o proxy DNS funciona como um servidor DNS para clientes na intranet. Um receptor é posicionado na porta do DNS. Quando um pedido DNS é recebido de um cliente, o proxy DNS verifica seu cache DNS local e retorna uma resposta, se disponível. Se o endereço não estiver no cache, o proxy DNS reencaminhará o pedido para os servidores de nomes DNS configurados. O proxy armazena no cache somente as respostas às consultas de classe da Internet e de endereço da Internet.
O endereço IP privado do proxy DNS do cliente precisa estar configurado como o endereço do respectivo servidor DNS.
No servidor, você pode configurar endereços IP de servidores de nomes DNS e o nome de domínio no arquivo SYS:\ETC\RESOLV.CFG.
O proxy HTTPS oferece a capacidade de acessar sites seguros usando o SSL (Secure Sockets Layer) através de uma conexão IP persistente. O browser envia um pedido HTTPS como um pedido SSL através do proxy, que envia o pedido ao servidor Web de origem.
Esse recurso permite que um proxy se autentique através de um firewall SOCKS 5. Essa versão também suporta o reencaminhamento de tráfego HTTP somente.
O SOCKS é um protocolo de gateway no nível do circuito. Com ele, os hosts por trás de um firewall podem obter acesso completo à Internet sem o suporte IP completo. Quando o suporte ao SOCKS está habilitado, todos os pedidos enviados à Internet são reencaminhados a um servidor SOCKS 5 quando o proxy é usado para armazenamento no cache somente.
Quando o proxy recebe uma solicitação, ele verifica o cache. Se o objeto solicitado não estiver no cache, o proxy fará uma conexão TCP com o servidor SOCKS e redirecionará a solicitação da intranet para o servidor SOCKS, permitindo um acesso à Internet mais seguro. Em seguida, o servidor SOCKS se conectará com o servidor de origem e recuperará o objeto. O proxy simplesmente age como um cliente SOCKS do servidor SOCKS e só é utilizado para armazenamento no cache. A autenticação nula (nenhum nome de usuário ou senha) e a autenticação de nome do usuário/senha são suportadas. O Gateway IP da Novell também pode suportar o proxy como um cliente SOCKS.
Essa versão precisa que o servidor proxy e o servidor SOCKS estejam na mesma intranet. Isso é necessário porque, na combinação nome do usuário/senha, a autenticação SOCKS usa texto sem criptografia para enviar a senha.
O proxy genérico é um proxy de passagem no nível do circuito, usado para servir a vários protocolos quando um proxy de aplicativos não está disponível. É criado um mapeamento entre o endereço e as portas, gerando um túnel para o host de destino. Quando o servidor proxy genérico recebe um pedido de conexão da intranet, ele reencaminha o pedido para o endereço mapeado, conecta-o e transfere os dados entre as duas conexões.
Para estabelecer conexões usando serviços TCP para os quais não existem proxies de aplicativos, um proxy TCP genérico precisa ser configurado no servidor proxy. Você também pode definir um proxy UDP genérico. Quando se conecta com o proxy, o usuário está conectado com o host interno. A autenticação está disponível para proxies TCP genéricos --- um usuário precisa ser autenticado usando as regras da lista de controle de acesso antes de se conectar a um host remoto. A autenticação não está disponível para proxies UDP genéricos.
Você pode aplicar as regras de controle de acesso a proxies TCP genéricos. O acesso pode ser permitido ou negado com base nos seguintes elementos:
O proxy transparente pode ser implementado para HTTP usando um dos seguintes recursos:
O proxy transparente HTTP permite que os usuários utilizem os browsers Web sem precisar reconfigurar especificamente cada browser para que aponte para um proxy. Esse recurso é útil se você tiver tempo limitado e não puder reconfigurar de imediato os browsers de todos os usuários. Também é útil quando você deseja reforçar a segurança na rede e garantir que todos os pedidos de clientes passarão através de um proxy.
O proxy transparente HTTP intercepta o tráfego entre o cliente e o servidor Web de origem e o afunila para um servidor proxy. Os URLs relativos são convertidos em URLs absolutos. Somente para o proxy transparente HTTP, o tráfego de uma lista configurável de portas ou endereços IP é interceptado. Apenas as portas ou endereços dessa lista participam do tráfego de reencaminhamento para o proxy.
Para usar o proxy transparente HTTP, todos os pedidos HTTP precisam ser enviados através do servidor proxy. Por isso, o servidor proxy precisa ser o roteador padrão ou fornecer o único acesso à Internet. Os clientes precisam usar o endereço IP privado do proxy como endereço do gateway TCP/IP. O reencaminhamento de IP precisa estar habilitado no servidor.
Se o cliente não estiver configurado para usar um proxy específico ou o recurso proxy transparente HTTP dos Serviços de Proxy, o cliente de Gateway IP da Novell forçará a utilização de um proxy, capturando o pedido do browser e redirecionando-o para um proxy ativo, que o cliente encontra através do NDS. Durante a inicialização, se o proxy transparente de cliente de gateway estiver habilitado, o cliente de gateway usa o NDS para encontrar os servidores proxy HTTP ativos e envia o pedido para o primeiro servidor proxy encontrado para o qual o usuário tiver permissão de acesso.
O proxy transparente pode ser implementado para o Telnet através do proxy transparente Telnet.
O proxy transparente Telnet permite que os usuários utilizem o aplicativo Telnet sem precisar reconfigurar especificamente os aplicativos para que apontem para um proxy. Esse recurso é útil quando você deseja reforçar a segurança da rede e garantir que todos os pedidos de clientes passem por um proxy.
O proxy transparente Telnet intercepta o tráfego entre o cliente e o servidor Telnet de origem e o afunila para um servidor proxy. Apenas para o proxy transparente Telnet, o tráfego proveniente de uma lista configurável de portas é interceptado. Apenas as portas dessa lista participam do tráfego de reencaminhamento para o proxy.
Para usar o proxy transparente Telnet, você precisa garantir que todos os pedidos Telnet sejam enviados através do servidor proxy. Por isso, o servidor proxy precisa ser o roteador padrão, estar no caminho de roteamento ou oferecer o único acesso à Internet. Os clientes podem usar o endereço IP privado do proxy como endereço do gateway TCP/IP. O reencaminhamento de IP precisa estar habilitado no servidor.