Очевидно, что самой защищенной является сеть, которая вообще не подключена к Internet. Тогда пользователи такой сети не смогут работать в Internet, что само по себя является существенным недостатком.
Выходом из этого положения, видимо, может быть претворение в жизнь следующей идеи: к Internet подключить не всю сеть, а всего один ее компьютер, снабдить этот компьютер защитными средствами и только его использовать для работы с глобальной сетью. Но при этом возникают другие проблемы (большие очереди, замедление работы и пр.). Другим выходом из создавшейся ситуации является наличие на данном компьютере специальной программы, которая позволяла бы остальным компьютерам эмулировать выход в Internet, оставаясь при этом «невидимыми» со стороны глобальной сети. Такой компьютер и называется прокси-сервером (proxy — доверенный). В качестве примера вкратце рассмотрим Microsoft Proxy Server 2.0. Этот продукт, являясь кэширующим сервером (повышает эффективность работы сети — сокращается сетевой трафик), выполняет функции брандмауэра и обеспечивает безопасный доступ в Internet. Серверный компьютер имеет два сетевых адаптера — один соединяет компьютер с сетью, а другой — с Internet. Основной функцией IP-протокола (IP — Internet Protocol) является передача пакетов между сетями. IP-адрес характеризует одно соединение и является основным типом адресов, на основании которых сетевой уровень передает пакеты между сетями (адрес состоит из четырех байт и разбивается на две части: номер сети и номер узла). Символьные имена в IP-сетях называются доменными и строятся по иерархическому принципу (доменные имена также называют DNS-именами). На сетевом уровне не устанавливаются соединения и поэтому нет никаких гарантий, что все пакеты будут доставлены в место назначения целыми, невредимыми и в исходном порядке. Эти задачи (надежная информационная связь между двумя конечными узлами) решает транспортный уровень стека TCP/IP, где функционирует протокол управления передачей TCP (Transmission Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagramm Protocol). TCP обеспечивает надежную передачу сообщений между удаленными прикладными процессами за счет образования логических соединений. Так как локальная сеть «не видна» из Internet, то легальный IP-адрес должен иметь только внешний сетевой интерфейс. IP-адреса внутри сети можно выдавать из пула, зарезервированного для изолированных сетей. Шлюз по умолчанию должен быть указан только для внешнего сетевого интерфейса. Надо установить Microsoft IIP 2.0 и сервис WWW, если нет других намерений по использованию данного компьютера (так как WWW использует Web Proxy для аутентификации пользователей). Для Web Proxy при количестве клиентов до 300 рекомендуется не менее 32 Мбайт оперативной памяти. Кроме того, для кэширования запросов необходимо выделить оперативной памяти 100 Мбайт постоянно и 0.5 Мбайт для каждого клиента. Дополнительно для Web Proxy требуется 10 Мбайт свободного дискового пространства. Если клиентов более 2000, рекомендуется использовать массив прокси-серверов. Естественно, имеются средства для регулирования доступа пользователей к Internet и возможность записи протокола использования сервисов (для учета действий пользователей в Internet). Необходимо сформировать таблицу локальных адресов в соответствии с конфигурацией сети. |