Esta seção descreve detalhadamente os seguintes proxies de aplicativos suportados:
Existem dois tipos de proxy HTTP:
O proxy HTTP soluciona pedidos de URL em nome de clientes Web da rede. Ele também é conhecido como proxy de reencaminhamento. Se possível, esses pedidos são armazenados no cache no servidor proxy para aumentar a velocidade de entrega do mesmo conteúdo na próxima vez que as mesmas informações forem solicitadas.
O HTTP propriamente dito é um protocolo no nível do aplicativo, usado para sistemas de informações de hipermídia cooperativos e distribuídos. Ele é genérico e permite que os sistemas sejam criados independentemente dos dados que estão sendo enviados. Ele também é um protocolo orientado a objetos que pode ser usado para servidores de nomes, sistemas de gerenciamento de objetos distribuídos e assim por diante. Os servidores HTTP usam o HTTP como um protocolo de aplicativo primário, permitindo que os usuários acessem e troquem arquivos na Web. O protocolo HTTP também pode ser usado para a comunicação entre os usuários, proxies, gateways e outros protocolos da Internet, como SMTP, NNTP, FTP e Gopher.
A comunicação HTTP costuma ser feita através de conexões TCP/IP, na porta padrão 80, embora outras portas também possam ser usadas.
O servidor proxy pode ser configurado como um acelerador HTTP para proteger um servidor intranet da Internet e reduzir a carga nos servidores Web públicos mantidos na intranet. A aceleração HTTP, também conhecida como aceleração do cache proxy inverso ou aceleração do servidor Web, cria um processador de front-end para um servidor Web. Um servidor de aceleração HTTP está entre um ou mais servidores Web e a Internet e representa os servidores Web para qualquer cliente que os esteja acessando. Ele também pode ser usado para criar um site espelhado local de um servidor remoto.
Quando o usuário da Internet consulta o DNS para saber o endereço do servidor Web, ele retorna o endereço do servidor Web solicitado. O acelerador HTTP recebe os pedidos HTTP na porta 80 (ou em outra porta configurada) e processa todos os pedidos da Web que chegam. Os pedidos de objetos que podem ser armazenados no cache --- informações estáticas que não mudam com freqüência, como páginas em HTML e imagens GIF --- são processados pelo proxy. Os pedidos de objetos que não podem ser armazenados no cache --- informações dinâmicas que mudam com freqüência --- são processados pelo servidor Web de origem na porta 80. Em geral, cerca de 90% do conteúdo de um servidor Web típico são estáticos e 10% são dinâmicos.
Você pode configurar um servidor de aceleração HTTP para recuperar informações ou referências a objetos que podem ser armazenados no cache a partir do servidor Web e armazenar no cache as informações em um servidor BorderManager. Isso reduz a carga no servidor Web. O servidor de aceleração HTTP reencaminha para o servidor Web somente pedidos e referências que não estejam no cache.
Se o seu site recebe pedidos de uma grande porcentagem de objetos que podem ser armazenados no cache, o acelerador HTTP reduz a carga da Web. Para obter uma performance ainda melhor, você pode armazenar no cache objetos de uma natureza ainda mais volátil, como cotações do mercado, e especificar para os usuários um tempo de atraso de exatidão.
O proxy inverso do BorderManager pode tratar de mais conexões TCP que um servidor Web de origem (geralmente, UNIX ou Windows NT).
A aceleração HTTP proporciona as seguintes vantagens:
Existem dois tipos de proxy FTP:
O FTP é um protocolo padrão da Internet usado para transferir arquivos. O proxy FTP é usado para transferir pedidos FTP quando os usuários utilizam clientes FTP autênticos como, por exemplo, o software LAN WorkPlace®, UNIX, Macintosh e assim por diante.
O proxy FTP proporciona as seguintes vantagens:
O FTP padrão requer uma conta de usuário no servidor que está sendo acessado. O FTP anônimo não exige uma conta de usuário e fornece acesso a arquivos específicos na Internet. O nome de usuário é "anonymous" ou "ftp".
Você pode usar servidores proxy para controlar o acesso a sites FTP autenticados. Quando um servidor proxy FTP está em um firewall, todos os pedidos de clientes FTP na intranet devem passar pelo servidor proxy FTP. Isso ajuda a reforçar o controle centralizado no acesso à Internet e varre os dados que estão sendo enviados ou recuperados pelos usuários dentro de uma organização.
O cliente (ou usuário) FTP na intranet se conecta primeiro com o servidor proxy FTP, digitando o nome ou endereço IP do servidor proxy como, por exemplo, ftp://novell.com. O usuário deve, então, digitar o seguinte para identificar o host de origem e se conectar com o proxy FTP:
USER NomedoUsuárioProxy$NomedoUsuárioFTPdeDestino$
NomedoHostFTPdeDestino
PASS SenhaNDSdoUsuário$SenhaFTPdeDestino
onde NomedoUsuárioProxy é o nome do usuário do NDS, NomedoUsuárioFTPdeDestino é o nome do usuário FTP no servidor de destino, NomedoHostFTPdeDestino é o nome do host ou endereço IP do servidor FTP de destino, SenhaNDSdoUsuário é a senha NDS do usuário e SenhaFTPdeDestino é a senha do usuário no servidor de destino. Somente o nome do host FTP NomedoHostFTPdeDestino é necessário. Se o NomedoUsuárioFTPdeDestino estiver faltando, pressupõe-se que seja anônimo e que nenhuma senha seja necessária. O NomedoUsuárioProxy será necessário somente se a autenticação FTP estiver ativada. O proxy estabelece a conexão final com o servidor ou host de origem.
Os modos de FTP ativo e passivo são suportados e podem estar ativados ou desativados. O modo ativo (PORT) anuncia um receptor na intranet e permite que os clientes estabeleçam uma conexão com a máquina da intranet, um método menos seguro. O modo de FTP passivo (PASV) permite que o cliente inicie a conexão com um servidor FTP remoto. O modo PASV é suportado para permitir ao administrador do firewall negar conexões que chegam acima da porta 1023, se necessário.
O proxy FTP inverso, ou acelerador FTP, é um aplicativo colocado na frente do servidor FTP. Ele funciona como um servidor FTP para os usuários da Internet e protege os servidores FTP que estão atrás do firewall contra violações externas. O acelerador FTP varre os dados que chegam e que saem e, com um suporte de terceiros, pode detectar qualquer vírus que esteja sendo enviado através do sistema.
O acelerador FTP também armazena no cache dados solicitados freqüentemente e arquivos FTP de usuários anônimos e ajuda a acelerar os pedidos FTP. Esse processo é útil porque a maioria dos pedidos FTP da Internet são de usuários FTP anônimos. O armazenamento no cache desloca a carga de servidores FTP para o proxy FTP inverso.
Dentre os serviços da Internet, o correio eletrônico é o mais essencial e útil. E também o mais vulnerável. Para criar um ambiente seguro, você precisa restringir o acesso ao correio externo somente para algumas máquinas, fazer a triagem de applets ou scripts estranhos e evitar outros esquemas maliciosos de e-mail.
O SMTP trata da troca de mensagens eletrônicas entre os servidores de correio, aceitando a correspondência e enviando-a diretamente para os domínios de correio de destino ou entregando essas mensagens para um agente de relé intermediário. O protocolo POP3 (Post Office Protocol 3) é usado para tratar das caixas de correio eletrônicas dos usuários nos servidores.
O servidor proxy de correio fornece serviços de correio SMTP seguros para a correspondência que chega e sai. O SMTP permite que os usuários da intranet enviem mensagens para a Internet de uma maneira segura. Da mesma forma, os usuários da Internet podem enviar correspondência através do SMTP para usuários da intranet de maneira segura. A correspondência que chega é varrida para detectar a existência de vírus, filtrada à procura de mensagens sem importância e controlada usando as listas de controle de acesso.
O proxy SMTP pode fazer o seguinte controle de acesso e filtragem das mensagens que chegam e saem:
O proxy de correio pode ser usado em uma organização entre o servidor de correio da intranet existente e a Internet, ou entre a intranet e a Internet sem um servidor de correio da intranet existente. Estes comandos de e-mail são aceitos no proxy de correio: HELO, MAIL, RCPT, DATA, RSET, HELP, NOOP e QUIT. Para obter maiores informações sobre como configurar filtros de correio e controle de acesso, consulte o Capítulo 2, "Visão Geral e Planejamento da Filtragem de Pacotes", e o Capítulo 3, "Visão Geral e Planejamento do Controle de Acesso".
O proxy de grupos de discussão, ou proxy NNTP, é usado para acessar e usar grupos de discussão Usenet, um recurso da Internet semelhante a um BBS, que contém artigos sobre muitos assuntos. Os artigos são agrupados por assunto ou grupo de discussão. Existem mais de 10.000 grupos de discussão públicos na Internet. O proxy de grupos de discussão fornece serviços de grupos de discussão NNTP seguros para transferir publicações ou notícias entre a intranet e a Internet. Ele é um serviço baseado no TCP que usa um tipo de protocolo de armazenamento e reencaminhamento.
Os servidores de grupos de discussão privados ou internos podem usar o proxy para trocar artigos com servidores de grupos de discussão públicos ou externos com segurança. Para os servidores de grupos de discussão públicos, o proxy de grupos de discussão funciona como um servidor de grupos de discussão corporativo e alimenta todos os servidores de grupos de discussão privados configurados, se houver algum. Para os servidores de grupos de discussão privados e newsreaders (por exemplo, o Netscape* Communicator*), o proxy de grupos de discussão funciona como um servidor de grupos de discussão público e alimenta todos os servidores de grupos de discussão públicos que estiverem configurados. Os seguintes comandos de grupos de discussão são aceitos pelo proxy de grupos de discussão: POST, IHAVE, NEWNEWS e NEWGROUPS.
Se uma intranet não tiver servidores de grupos de discussão privados, como em uma empresa pequena, o proxy de grupos de discussão funcionará como um servidor de grupos de discussão. Todos os pedidos, feitos pelos usuários, de listagens de grupos, artigos e recuperação e publicação de artigos são enviados pelos browsers ou newsreaders para o proxy de grupos de discussão. Este, por sua vez, envia os pedidos e as informações para os servidores de grupos de discussão públicos configurados e reencaminha todas as respostas de volta para os usuários. Os utilitários newsreaders ordenam os artigos ou grupos e exibem as informações para os usuários. Nenhum artigo é armazenado no cache nesta versão do proxy de grupos de discussão.
Os usuários podem recuperar artigos de grupos de discussão especificando o ID do artigo ou selecionando um grupo e o número do artigo. Todos os comandos de recuperação de notícias são suportados. Dedique um servidor aos serviços e ao proxy de grupos de discussão porque eles tendem a consumir espaço em disco rapidamente. A performance do proxy de grupos de discussão é ótima quando os servidores de grupos de discussão internos estão disponíveis. Isso reduz a carga de pedidos no proxy de grupos de discussão.
Você pode aplicar regras de controle de acesso ao proxy de grupos de discussão especificando o seguinte:
Para obter maiores informações sobre controles de acesso, consulte o Capítulo 3, "Visão Geral e Planejamento do Controle de Acesso".
Um proxy RealAudio se comunica com um servidor RealAudio para reproduzir as informações de áudio ou vídeo conforme é feito o download delas (em oposição a fazer o download de um programa inteiro antes de vê-lo). O RealAudio elimina os atrasos que podem ocorrer durante o download, principalmente com os modems mais lentos. Ele também suporta vários níveis de qualidade e recursos que não sejam de áudio, como páginas em HTML sincronizadas por voz.
O proxy RealAudio também permite que os players dentro do firewall se conectem com o proxy especificado, que, por sua vez, se conecta ao servidor RealAudio solicitado fora do firewall. O proxy oculta qualquer servidor RealAudio da intranet que não deva estar visível para a Internet. Não é feito qualquer armazenamento no cache. Você pode configurar o proxy inverso caso seja necessário que um servidor RealAudio esteja visível para a Internet. O proxy RealAudio exige o RealPlayer* 2.0 ou posterior, que pode ser configurado com o mesmo nome de host e número de porta usado pelo proxy.
O player e o servidor RealAudio podem usar um dos seguintes métodos de comunicação:
Neste modo, uma conexão TCP full-duplex é usada para a entrega de dados de áudio e controle entre o player e o servidor. A porta de conexão TCP padrão no servidor é 7070.
Neste modo, o player configura duas conexões de rede com o servidor. É usada uma conexão TCP full-duplex para controle e negociação. Um
caminho UDP unidirecional do servidor para o player é usado para entrega de dados de áudio.
Neste modo, o player configura três conexões de rede com o servidor. É usada uma conexão TCP full-duplex para controle e negociação. Um caminho UDP unidirecional do servidor para o player é usado para entrega de dados de áudio. Um segundo caminho UDP unidirecional do player para o servidor é usado para solicitar que o servidor envie novamente os pacotes de dados de áudio UDP que foram perdidos.
O DNS é um sistema de dados distribuído que converte nomes de host em endereços IP e vice-versa. Ele também armazena e acessa outras informações sobre hosts.
Quando ativado, o proxy DNS funciona como um servidor DNS para clientes na intranet. Um receptor é posicionado na porta do DNS. Quando um pedido DNS é recebido de um cliente, o proxy DNS verifica seu cache DNS local e retorna uma resposta, se disponível. Se o endereço não estiver no cache, o proxy DNS reencaminhará o pedido para os servidores de nomes do DNS configurados. O proxy armazena no cache somente as respostas às consultas de classe da Internet e de endereço da Internet.
O endereço IP privado do proxy DNS do cliente deve estar configurado como o endereço do respectivo servidor DNS.
No servidor, você pode configurar endereços IP de servidores de nomes do DNS e o nome de domínio no arquivo SYS:\ETC\RESOLV.CFG.
O proxy HTTPS permite acessar sites seguros usando o SSL em uma conexão IP persistente. O browser envia um pedido HTTPS como um pedido SSL através do proxy, que envia o pedido ao servidor Web de origem.
Este recurso permite a um proxy autenticar através de um firewall do SOCKS 5. Essa versão também suporta o reencaminhamento de tráfego HTTP somente.
SOCKS é um protocolo de gateway no nível do circuito. Com ele, os hosts por trás de um firewall podem obter acesso completo à Internet sem o suporte IP completo. Quando o suporte ao SOCKS está ativado, todos os pedidos enviados à Internet são reencaminhados a um servidor SOCKS 5 quando o proxy é usado para armazenamento no cache somente.
Quando o proxy recebe um pedido, ele verifica o respectivo cache. Se o objeto solicitado não estiver no cache, o proxy estabelece uma conexão TCP com o servidor SOCKS e redireciona o pedido da intranet para o servidor SOCKS, permitindo um acesso mais seguro à Internet. O servidor SOCKS se conecta com o servidor de origem e recupera o objeto. O proxy funciona simplesmente como um cliente SOCKS para o servidor SOCKS e é usado para armazenamento no cache somente. A autenticação nula (nenhum nome de usuário ou senha) e a autenticação de nome do usuário/senha são suportadas. O Gateway IP da Novell também pode suportar o proxy como um cliente SOCKS.
Essa versão requer que o servidor proxy e o servidor SOCKS estejam na mesma intranet. Isso é necessário porque, na combinação nome do usuário/senha, a autenticação SOCKS usa texto apagado para enviar a senha.
O proxy genérico é um proxy de passagem no nível do circuito, usado para servir vários protocolos quando um proxy de aplicativo não está disponível. É criado um mapeamento entre o endereço e as portas, gerando um túnel para o host de destino. Quando o servidor proxy genérico recebe um pedido de conexão da intranet, ele reencaminha o pedido para o endereço mapeado, conecta-o e transfere os dados entre as duas conexões.
Por exemplo, para estabelecer uma conexão Telnet com um host interno de casa, um proxy TCP genérico deve estar configurado no servidor proxy. Você também pode definir um proxy UDP genérico. Quando se conecta com o proxy, o usuário está conectado com o host interno. A autenticação está disponível para o proxy TCP genérico --- um usuário deve ser autenticado usando as regras da lista de controle de acesso antes de se conectar com um host remoto. A autenticação não está disponível para o proxy UDP genérico.
Você pode aplicar as regras de controle de acesso ao proxy TCP genérico. O acesso pode ser permitido ou negado com base nos seguintes elementos:
O proxy transparente pode ser implementado usando um dos seguintes recursos:
Se o cliente não estiver configurado para usar um proxy específico ou para usar o recurso proxy transparente HTTP dos Serviços de Proxy, o cliente de Gateway IP da Novell forçará a utilização de um proxy, capturando o pedido do browser e redirecionando-o para um proxy ativo, que o cliente encontra através do NDS. Durante a inicialização, se o proxy transparente de cliente de gateway estiver ativado, o cliente de gateway usa o NDS para encontrar os servidores proxy HTTP ativos e envia o pedido para o primeiro servidor proxy encontrado para o qual o usuário tiver permissão de acesso.
O proxy transparente HTTP permite que os usuários utilizem seus browsers Web sem precisarem reconfigurar especificamente cada browser para apontar para um proxy. Esse recurso é útil se você tiver tempo limitado e não puder reconfigurar de imediato os browsers de todos os usuários. Também é útil quando você deseja reforçar a segurança na rede e garantir que todos os pedidos de clientes passarão através de um proxy.
O proxy transparente HTTP intercepta o tráfego entre o cliente e o servidor Web de origem e o afunila para um servidor proxy. Os URLs relativos são convertidos em URLs absolutos. Somente para o proxy transparente HTTP, o tráfego de uma lista configurável de portas ou endereços IP é interceptado. Apenas as portas ou endereços dessa lista participam do tráfego de reencaminhamento para o proxy.
Para usar o proxy transparente HTTP, todos os pedidos HTTP devem ser enviados através do servidor proxy. Por isso, o servidor proxy deve ser o roteador padrão ou fornecer o único acesso à Internet. Os clientes devem usar o endereço IP privado do proxy como endereço do gateway TCP/IP. O reencaminhamento IP deve estar ativado no servidor.