Proxy zefektivňují web

Systémy proxy jsou již dlouho současně přáteli i nepřáteli webových serverů. Na straně jedné poskytují ochranu, c...


Systémy proxy jsou již dlouho současně přáteli i nepřáteli webových serverů. Na
straně jedné poskytují ochranu, cachování, SSL akceleraci, kompresi či
autentizaci. Nevýhodou však je, že mnoho webů a aplikací s proxy nespolupracuje.
Mapování webových zdrojů, nová technologie zabudovaná v proxy, které jsou
používany např. v SSL VPN řešeních, dynamicky přepisuje URL adresy, takže IT
manažeři nepotřebují upravovat aplikace, aby pracovaly venku za hradbami
firewallů.
Když web posílá uživateli stránku, ta typicky zahrnuje nejrůznější reference na
další objekty webu. Jestliže jsou odkazy relativní, což znamená, že v sobě
nezahrnují jméno serveru (/obsah .html), a nikoliv absolutní (http:
//www.priklad.com/obsah.html), nepředstavují žádný problém. Nicméně většina
webů používá právě absolutní odkazy.
Zde vyvstávají dva problémy. První z nich se často objevuje v situacích, kdy
proxy současně provádí SSL akceleraci. Když odkazy začleněné do dokumentu
obsahují prefix "http" namísto "https", kliknutí uživatelů směřují na
nezašifrované stránky, kde jsou URL adresy občas doručovány bez dotazu nebo
zkrátka nefungují.
Druhý problém nastává, když je jméno domény proxy odlišné od jména samotného
serveru např. server se jménem server.pri klad.com a proxy nazývaná www.pri
klad.com. Aplikace, které se dívají na jméno hostitele, pak mohou vytvářet
odkazy jako http://ser ver.priklad.com/obsah.html, když by měly uvádět
http://www.pri klad.com/obsah.html.
Přítomnost JavaScriptu a HTTP cookies problém často ještě zhoršuje. Stránky
ovládané JavaScriptem nezřídka dynamicky sestavují URL na straně klienta a HTTP
cookies jsou posílány ze serveru tak, že je klient pouze pošle zpět, když
komunikuje se serverem, a nikoliv přes proxy.

Řešení mapováním
Ve většině případů síťoví administrátoři nemají dostatek času, peněz ani
zdrojů, aby prováděli změny v aplikacích a takové problémy vyřešili. Namísto
toho je tedy třeba mapování/převedení chybných URL na správný tvar. Mapování
musí být provedeno pro odkazy posílané ze serveru ke klientovi a pro HTTP
požadavky z klienta na server.
Mapování webových zdrojů spočívá v dynamickém přepisu URL adres začleněných v
HTML, DHTML, XHTML, CSS (Cascading Style Sheets), JavaScriptu, HTTP cookies a
ve Flashi. To způsobuje, že odkazy, které se dosud vyskytovaly ve formě http:
//intranet.firma.com/obsah. html, se objevují jako https://proxy.firma
.com/prx/000/http/intranet.firma. com/obsah.html.
Ačkoliv se může zdát, že jde o jednoduchý případ typu "vyhledej a nahraď", jde
o poněkud komplexnější úlohu, neboť HTML standardy jsou jen zřídka dodržovány a
JavaScript nemůže být změněn ad hoc. Obzvláště JavaScript pak představuje tvrdý
oříšek, neboť kód musí zůstat syntakticky a sémanticky správně.
Další klíčovou rolí technologií pro mapování webových zdrojů je "vnutit" SSL i
aplikacím, které jej jinak nepodporují, nebo tak učinit alespoň částečně. Toho
je dosaženo přepsáním každého odkazu tak, že musí používat SSL pro všechny
transakce (tj. začátek všech odkazů má tvar "https" namísto "http").
V ideálním případě je mapování webových zdrojů prováděno přímo v proxy serveru
umístěném mezi klientem a serverem. Proxy může být jednoduše posazena před
aplikaci i webové servery a přenášet jejich požadavky. Když proxy obdrží HTTP
požadavek, provede rozbor modifikovaného URL, přepíše jej, aby souhlasilo s
tím, co očekává původní server, a nakonec jej předá zpět serveru, takže server
nezaznamená, že byl obsah jakýmkoliv způsobem modifikován. Bez ohledu na to,
který server posílá obsah, všechny požadavky se vracejí přes proxy. A jestliže
proxy používá SSL pro všechny odkazy, je zaručeno, že bude tok dat bezpečný.

Co je SSL VPN?
Řešení SSL VPN (Secure Socket Layer Virtual Private Networks) poskytují funkci
brány na úrovni aplikací pro vzdálený přístup přes internet k aplikacím
podporujícím webové technologie. Na rozdíl od IPsec VPN systémů, které
poskytují přístup na úrovni síťové vrstvy, SSL VPN umožňují vzdálenému
uživateli přístup k aplikacím s použitím webového browseru. V některých
případech se při práci s určitými aplikacemi neobejdou bez plug-inů v podobě
Java nebo ActiveX komponent. Tím se liší od svých protějšků v podobě IPsec VPN,
které typicky vyžadují instalaci (a následně samozřejmě i správu) speciálního
klientského softwaru. Díky tomu se SSL VPN vyhýbají i problémy s výkonem.
Nevýhodou však může být nemožnost přístupu k aplikacím typu klient/server a
dalším, které nepodporují webové rozhraní browseru. Obvykle také není možný
přímý přístup ke sdíleným souborům.
Mnohá řešení obsahují také např. vestavěné funkce webových proxy (s možností
dynamického přepisu webových adres či maskování interních adres) nebo
transakčních proxy (překládajících HTTP pro použití s FTP, SMTP atd.) i další
možnosti.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.