Выпустив новые версии своих Web-серверов, корпорации Microsoft и Netscape Communications фактически вынуждают вас стрелять из пушек по воробьям.
Серверы Netscape Proxy Server 3.5 и Microsoft Proxy Server 2.0 вполне справляются с выполнением основных функций proxy-серверов: они доставляют копии часто запрашиваемых документов из кэш-памяти, позволяя не загружать их каждый раз из Internet, аутентифицируют доступ в Internet и отфильтровывают некоторые нежелательные элементы содержимого, например Java-аплеты. Однако включив в эти продукты ряд дополнительных функций, производители вывели их за рамки фундаментальных требований. Как правило, это рассматривается как положительный факт, хотя в данном случае многие из дополнительных функций не дают почти никаких преимуществ и лишь усложняют конфигурирование proxy-серверов и управление ими.
Включив в свой продукт ряд функций брандмауэра, в том числе усовершенствованные фильтры пакетов и шлюз IPX-IP, компания Microsoft пошла дальше, чем Netscape, став первым кандидатом на награду за "самый неправильно называемый" продукт года. Было бы лучше, если бы Microsoft упростила управление своим proxy-сервером, повысила качество документации и предоставила пользователям возможность получать более подробные отчеты. Что же касается Netscape, в Proxy Server 3.5 использованы технологии упреждающего и распределенного кэширования, из-за чего нагрузка на администратора и стоимость сети могут возрасти сверх необходимого минимума. В остальном продукт этой компании можно считать более основательным, зрелым и легче управляемым.
Основные различия
Различия между двумя продуктами, хотя и незначительные, проявляются уже при знакомстве с их структурой. Продукт компании Microsoft должен работать на той же машине, что и сервер Internet Information Server (IIS). В результате, Proxy Server 2.0 действует только под управлением Windows NT Server 4.0 и наследует все дефекты и проблемы защиты, присущие NT Server и IIS. Продукт компании Netscape способен работать на автономном сервере под управлением различных ОС, а соответственно, более гибок.
Кроме того, proxy-сервер Microsoft привязывает вас к базе аутентификационных данных, находящейся в сервере в NT Server, тогда как продукт Netscape может использовать свою собственную базу данных (реализованную в виде "плоских" файлов) или подключаться по протоколу Lightweight Directory Access Protocol (LDAP) к корпоративному каталогу. Если учесть, что система аутентификации сервера NT Server масштабируется не очень хорошо, а поддержка LDAP в продукте Netscape позволяет подключаться к различным каталогам, то становится ясно: здесь продукт Netscape имеет явное преимущество.
Производителя избрали различные способы включения дополнительных функций в свои продукты. Интенсивно рекламируемая функция Web-кэширования компании Microsoft позволяет серверу Proxy Server 2.0 анализировать тенденции использования, предсказывать, какие Web-страницы будут чаще запрашиваться и в какие дни, и осуществляет упреждающую загрузку этих страниц. Netscape также пытается добиться заблаговременного введения страниц в кэш-память, но с помощью кэширования по команде. При этом вы вынуждены вручную загружать адреса URL таких страниц.
С нашей точки зрения, обе функции дают мало преимуществ. За то время, которое займут настройка этих функций и загрузка страниц, proxy-сервер с тем же успехом загрузит их в свою кэш-память самостоятельно. В конце концов, от предварительного вызова страницы выиграет только тот пользователь, который ее первоначально затребовал, но даже у него экономия составит всего несколько секунд, если он использует сеть T-1 или высокоскоростной доступ в Internet.
Оба производителя гордятся тем, что могут поддерживать большой массив proxy-серверов, которые взаимно проверяют содержимое кэш-памяти друг друга в поисках запрашиваемых страниц, прежде чем передают запросы на них в Internet. Но наш анализ показывает, что внедрение массивов proxy-серверов требует неадекватных (по сравнению с получаемыми преимуществами) затрат и создает проблемы текущего администрирования. Содержимое всей кэш-памяти приходится синхронизировать только ради поиска нескольких страниц во внутренней сети, а не в сети Internet, - в подавляющем большинстве случаев оно того не стоит.
Netscape вырывается вперед
Как только мы выходили за рамки базовых функций, в продукте Microsoft начинали проявляться дефекты. Первые из них обнаружились при тестировании функции автоконфигурирования обоих продуктов, которая, как было задумано, призвана облегчить изменение опций proxy-сервера на всех установленных браузерах. Proxy-сервер, снабженный функцией автоконфигурирования, создает и хранит файл, в котором перечислены все proxy-серверы в сети, поддерживаемые ими протоколы и различные правила, определяющие, что и когда должен выполнять proxy-сервер.
Proxy-сервер генерирует для этого файла адрес URL, который вы должны ввести (только один раз) во все свои браузеры. При каждом запуске браузера он использует URL для проверки файла на proxy-сервере и загружает новую копию, если она была изменена.
Хотя proxy-серверы обоих производителей создают собственные автоконфигурационные файлы и присваивают им адреса URL, продукт Microsoft не доставляет свои файлы браузерам. Это связано с проблемой взаимодействия proxy-сервера компании Microsoft и IIS. При доставке файлов на браузер (и любых кэшированных файлов) proxy-сервер использует функции IIS.
Результаты испытаний proxy-серверов | ||
Показатель | Netscape Proxy Server 3.5 | Microsoft Proxy Server 2.0 |
Интерфейс управления (25%) | 8 = 2,00 | 5 = 1,25 |
Простота использования (20%) | 8 = 1,60 | 7 = 1,40 |
Защита (20%) | 7 = 1,40 | 9 = 1,80 |
Документация (15%) | 8 = 1,20 | 6 = 0,90 |
Цена (10%) | 5 = 0,50 | 7 = 0,70 |
Поддержка платформ (10%) | 8 = 0,80 | 5 = 0,50 |
Итоговая оценка | 7,5 | 6,55 |
Примечания. Оценки выставлялись по 10-балльной шкале. Проценты в скобках указывают относительную значимость каждого критерия, которая учитывалась при выведении итоговой оценки. |
Мы направили запрос службе технической поддержки Microsoft, но не получили ответа до выхода статьи в печать. В результате, нам пришлось вручную конфигурировать свои браузеры.
Функция автоконфигурирования продукта компании Netscape заработала с первого раза, причем proxy-сервер не использовал сложных и слишком длинных адресов URL, как у продукта Microsoft. Нам понадобилось лишь набрать короткий адрес URL автоконфигурационного файла в браузерах, все остальное сделал proxy-сервер.
Что касается защиты, Proxy Server 2.0 компании Microsoft обладает функциями, которые можно найти в брандмауэре, однако странным образом в нем отсутствуют функции, ожидаемые от proxy-сервера. Proxy-сервер как минимум должен требовать аутентификации пользователя, прежде чем он получит разрешение путешествовать по Internet. Необходимо также, чтобы с его помощью ограничивался или блокировался доступ к конкретным узлам, отфильтровывалось содержимое определенного типа, например Java-аплеты, и производилось сканирование на наличие вирусов.
Продукты обеих компаний обладают функциями аутентификации с примерно одинаковым уровнем детализации. Однако функции ограничения доступа продукта Netscape оказались более гибкими. Мы, например, смогли предоставить конкретным пользователям доступ к одним Web-узлам, блокировав доступ к другим. Кроме того, можно создать собственный файл контроля за доступом Access Control List (ACL), и хотя это достаточно кропотливая работа, она позволяет вам блокировать доступ к определенным узлам.
Продукт компании Microsoft не поддерживает файлы ACL. Вместо этого он предлагает загружать списки узлов с ограниченным доступом, входящих в продукты других фирм (таких как пакет Cyber Patrol компании Microsystems Software). Продукт компании Netscape тоже может считывать списки таких узлов. Однако оба производителя не поддерживают ограничения по времени суток, которые дали бы возможность посещать узлы с ограниченным доступом в нерабочее время.
Компания Netscape включила в свой продукт все необходимое для фильтрации определенных частей сообщений электронной почты формата Multi-purpose Internet Mail Extension (MIME) и HTML-объектов, таких как Java-аплеты, страницы ActiveX и процедуры JavaScript. Netscape Proxy Server 3.5 также может фильтровать исходящий трафик на основе информации заголовка пакета и передавать входящие файлы на подключаемый (plug-in) модуль сторонней фирмы для сканирования на наличие вируса.
Продукт же компании Microsoft требует для фильтрации MIME-компонентов, Java-аплетов и страниц ActiveX инсталляции продуктов сторонних фирм. Он также перекладывает процедуру вирусного сканирования на другие модули, приобретаемые за дополнительную плату. Однако этот продукт облегчает пользователям подключаемой службы подписки загрузку продуктов сторонних фирм через "горячие" связи, встроенные в Proxy Server 2.0.
Хотя компания Microsoft действительно обошла Netscape в области функций брандмауэра, мы сомневаемся, что вы захотите иметь в одном продукте сочетание функций proxy-сервера и брандмауэра, особенно такое, которое присуще продукту Microsoft. Действительно, не так-то просто создать "серьезный" брандмауэр поверх NT - особенно если учесть наличие проблем в стеке протоколов TCP/IP в NT. При размещении функций брандмауэра и proxy-сервера на одном и том же компьютере придется также согласовывать политику внутреннего и внешнего доступа, что может привести к определенным проблемам. Например, защищая свою сеть от вторжений извне, вы не сумеете обеспечить тот уровень производительности, который хотят иметь внутренние пользователи.
Тем не менее как двойной хост, имеющий отдельные интерфейсы для локальной сети и Internet, сервер Microsoft Proxy Server 2.0 может осуществлять Web-кэширование и интеллектуальную фильтрацию пакетов, передачу полномочий на уровне приложений, действовать как proxy-сервер SOCKS 4 или WinSock и служить шлюзом для передачи IPX-трафика в Internet.
Достоинства и недостатки proxy-серверов | ||
Netscape Proxy Server 3.5 фирмы Netscape Communications, www.netscape.com/comprod/server_central/roduct/proxy/index.html | Microsoft Proxy Server 2.0 фирмы Microsoft, www.microsoft.com/proxy/ | |
Достоинства | Просто
инсталлировать,
конфигурировать, управлять и
использовать Предоставляет отчеты, удобные для настройки производительности кэша |
Поддерживает
некоторые функции брандмауэра Легко подключать модули сторонних фирм |
Недостатки | Отсутствует
автоматическое управление
настройкой производительности
и выдачей предупредительных
сообщений Функции редактирования списка управления доступом нуждаются в усовершенствовании |
Неадекватная
документация Неудобный пользовательский интерфейс Трудно использовать в сочетании с брандмауэром Сложен в управлении |
Стоимость, дол. | 525 на 50 пользователей, 5 за каждого дополнительного пользователя (максимум 1000 пользователей на сервер); бесплатно для учебных учреждений | 995 для неограниченного количества пользователей; 595 для учебных учреждений |
Microsoft и Netscape снабдили свои продукты пошаговыми инструкциями, но документация Netscape проработана более глубоко. Например, одна из ключевых проблем конфигурирования proxy-сервера заключается в определении необходимого объема кэш-памяти. Компания Netscape предоставляет руководство по вопросам кэширования, производительности кэша и его объема, позволяющее вам оптимизировать свой кэш и повысить производительность. Microsoft оставляет вас ни с чем, не произнося ни слова относительно оптимизации кэш-памяти.
Продукт Netscape обладает более стабильным интерфейсом управления на основе браузера, с помощью которого вы легко сможете восстановить частоту обращения к кэшу, измерить время реакции, определить характеристики трафика и уровень использования. Благодаря этому, а также удобной системе помощи proxy-сервер Netscape легче настраивать, чем продукт Microsoft.
Приложения для управления proxy-сервером компании Microsoft также имеют недостатки. Нам пришлось бороться с отказами, когда Internet Explorer считывал файлы системы помощи, а пытаясь перезапустить после этого консоль Microsoft Management Console на основе Windows NT, мы попали в тупиковую ситуацию. Кроме того, возникли затруднения при попытках проникнуть в Performance Monitor ОС NT для просмотра показателей производительности. Во время работы приложений ситуация была не лучше. Например, было непросто выяснить, какова частота обращений к кэш-памяти или данные какого типа кэшируются.
Итак, если вы хотите иметь более надежный и простой в управлении продукт, воспользуйтесь Netscape Proxy Server 3.5. Однако имейте в виду: оба продукта имеют намного больше функций, чем может вам понадобиться, и в обоих случаях управление ими окажется достаточно сложным и дорогим.
Джоэл Снайдер (Joel Snyder) - старший партнер компании Opus One (Таксон, шт. Аризона). Он специализируется в области сетей и систем связи. Его адрес электронной почты jms@opus1.com.
Как проводилось тестирование
Мы запускали оба proxy-сервера на Microsoft Windows NT Server 4.0 с установленным комплектом Service Pack 3 и оценивали их по критериям простоты использования, возможностей управления и контроля, защиты, документации и составления отчетов. Сконфигурировав оба продукта по аналогичным правилам защиты, мы на одну неделю установили их в нашей тестовой лаборатории и использовали для поддержки нашей работы в Web. В середине периода тестирования мы дополнительно проверили предоставляемые этими продуктами отчеты об управлении и статистике трафика, чтобы настроить их кэш-память для получения более высокой производительности.