MỤC LỤC
Như trên đã nói, dịch vụ Web proxy của ISA Server sử dụng cơ chế bộ nhớ đệm cho các đối tượng Web và nỗ lực đáp ứng tối đa các yêu cầu từ cache. ISA Server phân tích các luật dẫn đường, cache, cấu hình cache, và các nội dung cache đã có để xác định xem đối tượng có nên lấy từ trong cache ra hay không. Nếu yêu cầu được tạo cho một dãy các máy tính ISA Server, thì giải thuật CARP – Cache Array Routing Protocol sẽ được dùng để xác định nên kiểm tra cache của server nào.
Nếu các thuộc tính của cơ chế cache các luật dẫn đường được cấu hình để trả về một phiên bản của đối tượng, thì ISA Server sẽ lấy ra đối tượng hợp lệ trong cache. • Nếu luật dẫn đường được cấu hình để dẫn request, thì ISA Server sẽ xác định xem có dẫn đường cho request đến server cấp trên hay không, hay đến Web server được yêu cầu. • Nếu Web server không thể truy nhập được thì ISA Server sẽ kiểm tra xem server có được cấu hình để trả về đối tượng hết hạn từ cache hay không.
• Nếu Web server đáp ứng được, ISA Server sẽ xác định đối tượng có thể được cache hay không và các thuộc tính cache của luật dẫn đường có được lưu response hay không.
• Vì CARP xác định đường tìm kiếm tối ưu, không có cơ chế truy vấn giữa các proxy server, như khi tìm kiếm với các giao thức cache thông thường. Bằng cách làm này, CARP cung tránh được sự tắc nghẽn do quá nhiều câu truy vấn, điều mà thường xảy ra trong một số lượng lớn các server. Do tìm đường bằng giải thuật băm dẫn đến sự độc lập ngang hàng, CARP trờ nên nhanh hơn và hiệu quả hơn khi nhiều proxy server được thêm vào.
Không như các chuỗi ICP, xử lý truy vấn để tìm vị trí thông tin cache, giảm hiệu quả tiến trình và tăng tải, dẫn đến khả năng kém về tính co dãn – càng nhiều server, càng nhiều truy vấn !. Khi yêu cầu một đối tượng, máy khách hoặc server cấp dưới dùng danh sách thành viên, cùng với hàm băm, CARP tính toán tên của mỗi URL được yêu cầu, để xác định server nào nên phục vụ yêu cầu này. Giải pháp tìm đường không yêu cầu một bảng định vị lớn, trình duyệt chỉ phải chạy cùng một hàm toán học cho một đối tượng để xác định vị trí của nó.
Do các máy ISA Server có thể có phần cứng khác nhau và đôi khi có sự chênh lệch về khả năng, ta có thể cấu hình để phân chia cache hợp lý - cấu hình cho các hàm CARP, chỉ ra nhân tố tải cho server nhất định trong chuỗi.
Chúng ta nên tạo ra các luật về nội dung và luật địa điểm truy cập cần thiết, hoặc luật giao thức mà nó cho phép các truy cập này. Chúng ta có thể tạo ra các bộ lọc gói tin IP để lọc các gói tin dựa trên loại dịch vụ, số hiệu cổng dịch vụ, tên máy nguồn và máy đích. Các bộ lọc gói tin IP là mang tính chất tĩnh – truyền thông thông qua một cổng nào đó sẽ luôn luôn được cho phép hoặc luôn đóng.
Nếu chúng ta không có một bộ lọc gói tin được kích hoạt trên một cổng nào đó, dịch vụ sẽ không thể lắng nghe trên cổng đó trừ khi cổng đó được mở mang tính động (tuỳ biến). Ví dụ, chúng ta có thể tạo ra một bộ lọc cho phép các dòng tin TCP trên cổng 25 giữa các host bên trong và bên ngoài hệ thống, rồi kích hoạt truyền thông SMTP. Sau đó chúng ta có thể giới hạn truy cập, tạo ra một bộ lọc đóng, mà nó sẽ ngăn một tập các host bên ngoài, chẳng hạn những host có khả năng là những kẻ xâm nhập trái phép, gửi những gói tin TCP tới cổng 25 trên máy ISA Server.
Các luật địa chỉ và nội dung truy nhập định nghĩa nội dung và địa chỉ trên Internet mà các máy khách được quản lý bởi ISA Server có thể truy cập đến.
Khi cài đặt ISA Server , chúng lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp cả hai.
Nếu ISA Server không thể truyền yêu cầu từ người dùng không được xác thực, yêu cầu sẽ bị từ chối, bởi lẽ ISA Server sẽ không yêu cầu xác thực. Một luật địa điểm và nội dung truy cập mà nó cho phép mọi người truy cập tới tất cả các site. Luật thứ ba sẽ từ chối tất cả các yêu cầu từ phía người dùng John, chỉ khi ISA Server yêu cầu John xác thực bản thân anh ta.
Yêu cầu của John sẽ bị từ chối bởi vì dịch vụ ISA Server Firewall yêu cầu xác thực; Và luật thứ ba sẽ được thực thi. John yêu cầu một nội dung HTTP, yêu cầu của John sẽ được cho phép bởi lẽ ISA Server không yêu cầu xác thực; và do đó luật thứ ba không được thực thi. Yêu cầu của John sẽ được cho phép bởi vì ISA Server không yêu cầu xác thực ; và như vậy luật thứ ba sẽ không được thực thi.
Để luật thứ ba được áp dụng cho tất cả các yêu cầu Web, chúng ta phải đặt tuỳ chọn array để yêu cầu định danh người dùng đối với những người dùng chưa được xác thực.
Nếu chứng nhận client là phương thức xác thực được lựa chọn, khi ISA Server yêu cầu một chứng nhận client từ phía client trước khi cho thông qua một yêu cầu nào đó. Tuy nhiên, ISA Server sẽ yêu cầu một chứng nhận từ phía client, chứng nhận này đã được gửi tới ISA Server từ trước. Chứng nhận client cần phải được lưu trong kho lưu trữ chứng nhận Microsoft Web Proxy Service lưu trên máy ISA Server.
Khi một client yêu cầu một đối tượng SSL từ một server, nó sẽ yêu cầu server đó xác thực bản thân nó. Chúng ta phải đặt và định ra chứng nhận phía server để xử dụng khi xác thực ISA Server với client. Chứng nhận server phải được cài đặt ở kho chứng nhận máy tính địa phương lưu trên máy tính ISA Server.
Tên chứng nhận phải là duy nhất đối với tên của ISA Server (đối với nhứng yêu cầu Web ra bên ngoài) và đối với tên của các Web server đã được kích hoạt (đối với các yêu cầu Web đi vào hệ thống).
Dịch vụ ISA Firewall sẽ làm cho các ứng dụng Telnet, e-mail, tin tức, Microsoft NetShow, RealNetwork RealAudio, Internet Relay Chat (IRC), và các ứng dụng tương thích Winsock khác chạy như là chúng kết nối trực tiếp tới Internet. Dịch vụ ISA Firewall sẽ tái định hướng các hàm cần thiết tới máy ISA Server, khi đó, nó sẽ tạo ra một kênh giao tiếp từ ứng dụng bên trong hệ thống tới ứng dụng Internet thông qua máy ISA Server. Các vào ra đan xen (Overlapped I/O) trên WSARecvFrom – Hàm Winsock API ở đây vẫn hoạt động, thế nhưng với một socket ở xa, địa chỉ from mà ứng dụng sẽ nhận được là địa chỉ của socket nội tại của dịch vụ firewall.
Các hàm dịch vụ tên Winsock sẽ bị giới hạn – WSALookupService(Begin/Next/End) được thực thi, nhưng nó chi thực hiện những yêu cầu mà sẽ dịch bằng các hàm gethostbyname, gethostbyaddr, getservbyport, hoặc getservbyname. Không như Microsoft Proxy Server 2.0, mà nó thực hiện Web proxy như một bộ lọc Web (ISAPI) được tải bởi các IIS Web server địa phương, Web proxy ở đây chạy như một tiến trình của Windows 2000 (W3proxy.exe). Chúng ta có thể sử dụng chức năng quảng bá Web an toàn của ISA cùng với IIS hoặc với khác Web server khác để quảng bá tới Internet mà không cần phải thoả hiệp về an nình của hệ thống mạng bên trong của chúng ta.
Bằng cách sử dụng Internet Server API, ISA Server hỗ trợ mô hình khả năng có thể mở rộng bộ lọc Web, nó tạo khả năng cho các nhà phát triển trung gian có thể kiểm tra và thay đổi dòng yêu cầu và trả lời HTTP. Không như Microsoft Proxy Server 2.0, thực thi dịch vụ Web proxy như một bộ lọc ISAPI được tải bởi các IIS Web server địa phương, dịch vụ Web proxy chạy như một dịch vụ Windows 2000 có tên là W3proxy. Nếu IIS Server được cài đặt trên máy ISA Server, nó phải được đặt cấu hình để không sử dụng các cổng mà ISA Server sử dụng cho các yêu cầu Web đi ra hệ thống (mặc định là 8080) và các yêu cầu Web đi vào hệ thống (mặc định là 80).
7 Cấu trúc các trường của log file của Web proxy và. cache-info) Thông tin về trạng thái cache của đối tượng 24 Rule #1 (rule#1) Luật thứ nhất được dùng. Member Trả về từ thành phần thành viên khác NotModified Đối tượng không bị thay đổi. NVCache Nguồn đã được cache, đối tượng không thể xác nhận được nguồn Upstream Đối tượng được trả về từ upstream proxy cache.
Vcache Nguồn đã được cache, đối tượng có thể xác nhận được nguồn và không bị thay đổi. VFInet Nguồn từ Internet, đối tượng có thể xác nhận được nguồn và bị thay đổi.