[an error occurred while processing this directive]
Сегодня Internet/Intranet устойчиво ассоциируется с Web: каждая страница и графическое изображение поступают с какого-либо Web-сервера. Внимание публики приковано к Web-броузерам, в частности NetscapeNavigator и MicrosoftInternetExplorer, но без Web-серверов не было бы ни "Всемирной паутины", ни корпоративных интрасетей.
2.2.1. Основные функции Web-серверов
Web была создана для распространения гипертекстовых документов в привлекательном графическом формате, но теперь всеобщей заботой стало расширение ее функциональных возможностей. Пользователи стремятся персонифицировать содержимое страниц. Многие компании хотят, чтобы страницы Web могли извлекать информацию из баз данных и составлять отчеты в задаваемой пользователем форме.
Что собой представляют Web-серверы?
Функции, выполняемые Web-серверами, в сущности очень просты:
Web-броузеры общаются с Web-серверами через протокол передачи гипертекстовых сообщений (HypertextTransferProtocol, HTTP), простой протокол запросов и ответов для пересылки информации с использованием TCP/IP. Web-сервер получает запрос, находит файл, посылает его броузеру и потом разрывает соединение. Имеющаяся на странице графика обрабатывается точно так же. Затем настает очередь броузера вывести на экран загруженный из сети HTML-документ.
Хотя обычно Web-серверы содержат HTML-страницы и графику, на них могут храниться любые файлы, в том числе текстовые, документы текстовых процессоров, видео- и аудиоинформация. Сегодня, если не считать анкет, заполняемых пользователем, основная часть трафика Web передается в одном направлении - броузеры читают файлы с Web-сервера, - но положение изменится после повсеместного принятия описанного в проекте HTTP 1.1 метода put, позволяющего записывать файлы на Web-сервер. Сегодня метод put используется в основном создателями страниц Web, но в перспективе он может пригодиться и конечным пользователям для обратной связи с информационными узлами.
На Web-сервере выполняются также прикладные программы, наибольшее распространение среди которых получили процессоры поиска и средства связи с базами данных. Для их разработки применяются такие стандарты, как общий шлюзовой интерфейс (CommonGatewayInterface, CGI), языки сценариев, подобные JavaScript, а также полноценные языки программирования, как, например, Java и VisualBasic. Помимо CGI несколько поставщиков Web-серверов разработали интерфейсы прикладного программирования (API) - как, например, NetscapeServerAPI и InternetServerAPI, созданные фирмами Microsoft и ProcessSoftware, - которые позволяют разработчикам непосредственно обращаться к конкретным функциям Web-сервера. Некоторые серверы располагают связующими средствами (middleware) для подключения к базам данных, использование которых может потребовать хороших знаний в программировании.
Базовые процессоры поиска помогают пользователям отсортировывать нужную им информацию, а программы связи с базами данных обеспечивают пользователям Web-броузеров доступ к информации.
Со временем автономные программы Web-серверов могут изжить себя, слившись с операционными системами и другими серверными программами.
2.2.2. Обзор Web-серверов
Критериями выбора Web-серверов могут служить различные характеристики: установка, настройка конфигурации, управление сервером, администрирование, управление содержательным материалом, защита информации, контроль доступа, функции разработки приложений и производительность.
Большинство Web-серверов инсталлируется быстро и легко.
Наиболее сложная часть процесса инсталляции - конфигурирование нескольких имен доменов на одном физическом устройстве - иными словами организация виртуальных серверов.
Web-серверы включают средства управления информационным узлом, которые характеризуют общую организацию узла Web, и инструменты проверки правильности внутренних и внешних гипертекстовых связей. Пакет LiveWire фирмы Netscape, поставляемый вместе с EnterpriseServer и факультативно предлагаемый с сервером FastTrack, располагает утилитой управления узлом, которая составляет список всех связей выбранной страницы; она также выдает общий перечень всех обнаруженных некорректных связей. Программа WebView фирмы O'Reilly делает то же самое, выводя на экран обширное дерево файлов, где некорректные связи выделены красным цветом.
Имеются и более простые средства управления содержательным материалом. Администраторы Web должны решить, где хранить файлы и каким образом будет осуществляться доступ к ним со стороны пользователей, обратившихся на ваш сервер. Для этого необходимо устанавливать соответствие между логическими URL и физическими каталогами. Каждый продукт выполняет эту операцию тем или иным уникальным способом.
По мере того, как Web-серверы находят все более широкое применение в интрасетях и становится все заметнее коммерческая активность в Internet, возрастает важность защиты информации. Зачастую системы обеспечения безопасности Web-сервера оказываются или избыточными, или недостаточными для сегодняшних интрасетей. Если вам нужно ограничить доступ к страницам внутри компании, то у вас есть выбор между использованием незашифрованных паролей, передаваемых по каналам связи, и применением SSL, сложного и медленного метода, используемого для шифровки паролей и данных.
Для организации работы отдельных пользователей и их групп могут использоваться внутренние средства сервера или функции операционной системы. В пакете MicrosoftIIS предусмотрено применение средств базовой сетевой ОС WindowsNT. Пакет NetWareWebServer полностью интегрирован со службами адресных каталогов (NetWareDirectoryServices, NDS) фирмы Novell. Хотя организовать работу пользователей из единого центра удобно, это несет в себе потенциальную угрозу безопасности. Пароли передаются по каналам связи в незашифрованном виде, если они будут перехвачены, то риску подвергнется не только ваш Web-сервер, но и безопасность сетевой операционной системы в целом.
Создание прикладных программ - одна из самых важных функций Web-сервера, одновременно самая незаметная. Среда разработки программ и инструменты подключения к базам данных критически важны для расширения возможностей Web-сервера. Этим характеристикам нелегко дать оценку, так как они зависят от абстрактных и отличающихся своеобразными деталями API, особенностей языков сценариев и личных предпочтений программистов.
Web-серверы обслуживают любые системы от небольшой интрасети подразделения до крупных информационных центров Web, рассылающих HTML-страницы миллионам пользователей.
Для подразделенческих интрасетей, лучше других подойдет пакет MicrosoftInternetInformationServer. IIS отличается простотой инсталляции и настройки конфигурации; он хорошо интегрирован со средствами управления доступом, программой контроля функционирования PerformanceMonitor и утилитой просмотра журнала событий EventViewer, имеющейся в ОС WindowsNT; для динамической передачи информации из баз данных в ней предлагается ряд инструментов. IIS характеризуется весьма высоким быстродействием.
Инструменты управления содержательным материалом поставляются вместе с несколькими Web-серверами, чтобы облегчить создание информационных центров Web. Помимо HTML-редакторов и преобразователей форматов документов одними из самых полезных являются средства контроля URL, гарантирующие действительность всех гипертекстовых связей вашего Web-узла.
Рассмотрим подробнее возможности, предоставляемые Web-серверами фирм Microsoft, NetscapeCommunications и Novell.
2.2.3. MicrosoftInternetInformationServer
Продукт MicrosoftInternetInformationServer (IIS) отличается превосходной процедурой установки и тесной интеграцией с WindowsNT - а его цена просто недостижима для конкурентов. IIS можно бесплатно получить с Web-сервера фирмы Microsoft, хотя для того, чтобы воспользоваться пакетом, вам придется приобрести WindowsNTServer. В отличие от фирмы Netscape, предлагающей серверы для самых разнообразных платформ, IIS функционирует только в среде WindowsNTServer. Однако IIS показывает в целом очень хорошие результаты на тестах производительности, незначительно опережая обе версии серверов для WindowsNT фирмы Netscape.
В IIS предусмотрены средства управления на базе Web-броузера и программа MicrosoftFrontPage - набор авторских инструментальных средств Web и средств управления информационными узлами.
Сервер IIS очень тесно интегрирован с WindowsNTServer. Процедура инсталляции с помощью "мастеров" протекает безболезненно, занимая всего несколько минут. IIS создает на сервере WindowsNT обобщенную регистрационную запись (формуляр) пользователя, дающую право читать (но не записывать) файлы в каталоге IIS сервера. Если вы собираетесь организовать общедоступный Web-сервер, то надо просто поместить файлы с содержательным материалом в соответствующий каталог.
В дополнение к HTTP-серверу пакет IIS содержит серверы Gopher и FTP. "Мастер" инсталляции по умолчанию устанавливает все три сервера, которые функционируют в качестве служб WindowsNT. ServiceManager, диспетчер служб Internet, входящий в комплект IIS - простая программа типа "Панели управления", позволяет запускать, останавливать работу и настраивать конфигурацию каждой из трех служб. Вы можете установить его на любом подключенном к локальной сети ПК с WindowsNT и использовать для управления любым из этих серверов.
InternetServiceManager дает возможность контролировать доступ, указывать на конкретные каталоги сервера и задавать параметры для регистрации. В IIS предусмотрен журнал регистрации пользователей, который можно сохранить как текстовый файл или записать напрямую в базу данных ODBC, однако сервер не формирует усложненные статистические отчеты, подобные выводимым программой NetscapeEnterpriseServer.
В IIS предусмотрены хорошие средства безопасности, тесно интегрированные с WindowsNT. Существует возможность настроить IIS таким образом, чтобы программа требовала ввести имя пользователя и пароль для доступа к Web-серверу либо к любой странице или каталогу на сервере. Также можно разрешать или запрещать доступ пользователям с IP-адресами, лежащими в определенном диапазоне, или пользователям с конкретными IP-адресами. IIS использует пользовательскую базу данных WindowsNT, а это означает, что управлять списком пользователей Web-сервера можно с помощью инструментов, имеющихся на сервере NT. Необходимость в ведении отдельной базы данных пользователей Web-сервера при этом отпадает.
Для пользователей с более строгими требованиями к безопасности в IIS предусмотрены средства защищенных коммуникаций SSL 2.0. Можно хранить зашифрованные и незашифрованные страницы вперемешку на одном сервере. Для упрощения процесса получения сертификата аутентификации фирма Microsoft предлагает программу генерации SSL-ключа.
С помощью диспетчера InternetServiceManager можно назначить конкретным каталогам NT-сервера различные IP-адреса. Эта функция позволяет организовать несколько виртуальных серверов на одном физическом. Пользователи воспринимают виртуальные узлы Web так, как будто они расположены на разных компьютерах, и каждый Web-сервер может иметь уникальное имя узла и(или) домена. Такая возможность, имеющаяся и у некоторых других серверов, рассматриваемых в данном обзоре, должна понравиться поставщикам услуг Internet и пригодится любой другой организации, которой требуется разместить несколько серверов на одной машине.
Сервер IIS совместим не только со сценариями CGI и Perl для разработки простых прикладных программ, но и с интерфейсом InternetServerAPI (ISAPI), мощным API, разработанным фирмами Microsoft и ProcessSoftware и позволяющим программистам создавать сложные прикладные программы Web.
Microsoft предоставляет также InternetDatabaseConnector (IDC), программу на базе ISAPI, обеспечивающую доступ к MicrosoftAccess, MicrosoftSQLServer, Oracle, Sybase, Informix и другим ODBC-совместимым базам данных. IIS не предусмотрены какие бы то ни было инструменты для управления содержательными материалами, но сервер хорошо работает с программой MicrosoftFrontPage.
2.2.4. NetWareWebServer
Пакет NetWareWebServer фирмы Novell может стать естественным выбором для пользователей, имеющих сети с установленной в них ОС NetWare и желающих построить надежный сервер интрасети масштаба предприятия. Он показывает превосходную производительность на тестах, слегка опережая самые быстродействующие продукты для WindowsNTServer. Однако NetWareWebServer имеет ограниченные возможности контроля доступа, не рассчитан на работу с SSL, виртуальными серверами и использование виртуальных путей и не располагает средствами управления информационным узлом, хотя компания Novell и утверждает, что все эти функции будут реализованы в следующей версии. Пробную версию текущего продукта можно загрузить из сети бесплатно.
NetWareWebServer представляет собой набор модулей NLM, работающих на сервере NetWare 4.x. В состав пакета входит исполнимая версия NetWare 4.1. Чтобы запустить WebServer, необходимо также инсталлировать модуль TCP/IP, входящий в рабочую конфигурацию NetWare.
Функции администрирования очень просты. Для управления сервером применяется утилита WebManager, которую программа NetWareWebServer заносит в каталог Public на сервере, чтобы ее можно было вызывать с любого Windows-компьютера в сети. Прикладной модуль NLM позволяет вести журнал текущего контроля и протоколировать отчеты, но они не отличаются подробностью.
Для обеспечения безопасности сервера используется адресная база данных NetWare (NetWareDirectoryServices, NDS). С помощью WebManager вы можете предоставлять пользователям или их группам права доступа к каталогам, но не к отдельным файлам; вы также можете разрешать или запрещать доступ по IP-адресу или имени домена (но не имени узла). WebManager, однако, не позволяет исключать конкретных пользователей или адреса. Например, если вы хотите предоставить права всем пользователям сети, за исключением одного временного, то вам придется занести в список также всех пользователей, которым доступ разрешен.
Во всем, что не касается администрирования, NetWareWebServer наделен вполне добротными возможностями. В дополнение к стандартным средствам работы со сценариями CGI и Perl предусмотрен интерпретатор Бейсика NetBasic, который исполняет встроенные в текст HTML прикладные сценарии и совместим с фирменным локальным интерфейсом LCGI (LocalCommonGatewayInterface) компании Novell. В отличие от стандартного интерфейса CGI, работающего через гнезда TCP/IP, LCGI действует через модуль STREAMS.NLM. С помощью LCGI можно составлять прикладные программы, которые взаимодействуют с другими NLM на сервере, такими, как базы данных. В пакет NetWareWebServer входит NDS-броузер, который позволяет любому клиенту исследовать NDS-объекты и методы, и который написан с использованием LCGI.
К сожалению, NetWareWebServer не предусматривает прямого соединения с отличными от NetWare, базами данных. Пользователь должен либо подготовить свою программу LCGI, либо ждать выхода следующей версии NetWareWebServer, в которой по обещаниям Novell будут иметься некоторые средства для подключения к базам данных. Руководство программиста, поставляемое фирмой Novell вместе с продуктом, дает хорошее представление об LCGI, а также о других средствах разработки, использование которых предусматривает NetWareWebServer. В руководстве приводятся многочисленные примеры программ и сценариев, созданных с помощью CGI, Perl, NetBasic и LCGI.
2.2.5. NetscapeEnterpriseServer, NetscapeFastTrackServer
Пакеты NetscapeEnterpriseServer и NetscapeFastTrackServer фирмы NetscapeCommunications призваны заменить собой ставшие популярными на рынке продукты CommunicationsServer и CommerceServer этой же фирмы. Программа FastTrack, позволит быстро организовать и запустить в работу собственный Web-узел. Пользоваться пакетом MicrosoftInternetInformation несколько легче, но усовершенствованные средства контроля доступа, совместимость с требованиями спецификации SSL 3.0 и высокое быстродействие при умеренной цене, делают FastTrack выгодным приобретением - даже с учетом того, что пакет MicrosoftIIS поставляется бесплатно и станет частью WindowsNTServer 4.0.
NetscapeEnterpriseServer построен на надежном фундаменте FastTrack. Программа EnterpriseServer располагает некоторыми дополнительными функциональными средствами, предназначенными для крупных предприятий, в которых несколько человек или структурных подразделений совместно несут ответственность за создание Web-страниц и управление ими. К их числу относятся:
Оба пакета рассчитаны на применение в среде WindowsNT и множества различных вариантов UNIX, в том числе HP-UX, IBMAIX, SGIIrix и SunSolaris. Все серверы Netscape поставляются в комплекте с программой NetscapeNavigatorGold 2.0 и дают возможность использовать метод put из HTTP 1.1, позволяющий авторам HTML просматривать существующие страницы, вносить в них изменения и сохранять страницы на сервере.
В обоих продуктах предусмотрены возможности использования языков Java и JavaScript, а также интерфейса NetscapeServerAPI (NSAPI), позволяющего разработчикам создавать специализированные программы, пересылающие в ответ на HTTP-запросы динамически изменяющуюся информацию.
Показатели быстродействия Web-серверов в среде WindowsNT превосходные и мало отличаются друг от друга.
Производительность, которая была получена для пакетов в среде Solaris при малом числе клиентов, не была столь же впечатляющей. Но UNIX-серверы, работающие на тестовой машине SunNetra, продемонстрировали значительно лучшие возможности масштабирования, чем их аналоги для платформы Intel. Производительность Netscape-серверов Solaris стабильно повышалась по мере увеличения числа клиентов до 44, тогда как результаты Netscape-серверов на базе Intel начали падать после достижения максимума при 6 и 12 клиентах.
Инсталляция обоих пакетов была несложной. Для установки сервера на базе WindowsNT нужно было щелкнуть на единственном исполнимом файле, который запустит простую программу инсталляции; задав несколько основных вопросов, она автоматически установила наш Web-сервер. В случае с продуктами Solaris понадобилось распаковать единственный архивированный файл, в котором хранилась программа установки нескольких других файлов.
После того как пакет установлен, процесс настройки конфигурации Web-сервера одинаков на всех платформах: конфигурирование как FastTrack, так и EnterpriseServer происходит из Web-броузера NetscapeNavigator с помощью программы-администратора NetscapeServerManager (NSM). Благодаря этому вам не приходится иметь дело с деталями настройки конфигурации конкретной операционной системы, и вы получаете возможность дистанционного управления всеми своими Web-серверами: достаточно знать URL и пароль Web-сервера, которым вы собираетесь управлять.
Например, формировать учетные записи для пользователей и групп пользователей легко, но для ограничения доступа к каталогам потребуется прибегнуть к сложной и продолжительной процедуре. Кроме того, ни в одном из пакетов Netscape не предусмотрено обращение к информации WindowsNT или Solaris о пользователях и группах, поэтому, если вы применяете любой из этих серверов для внутренних нужд, вам придется вести раздельные списки пользователей и паролей.
В остальном программа NetscapeServerManager дает вам исчерпывающий контроль над конфигурацией Web-сервера. NSM позволяет устанавливать виртуальные серверы, которые допускают размещение локальных страниц на одном сервере в отдельных доменах. Программа NSM - единственная, дающая возможность создать общий нижний колонтитул для всех принадлежащих вам страниц Web. Можно настроить свой Web-сервер для управления несколькими процессами и потоками входящих запросов. У вас есть возможность заблокировать или разрешить доступ к серверу и отдельным страницам на основании их IP-адресов или имени узлового компьютера, а также предоставить пользователям права доступа к индивидуальным каталогам только для чтения или для чтения/записи.
Имеющиеся в FastTrack средства регистрации следует признать достаточными. Сервер формирует стандартные журналы доступа и журналы регистрации ошибок в виде отдельных файлов. Можно просматривать содержимое этих журналов из программы-администратора, используя Navigator, что особенно удобно. Однако в отличие от таких пакетов, как WebSite, FastTrack не позволяет регистрировать события типа исполнения программ CGI, прием полей заголовков HTTP и сетевые операции ввода-вывода. Но в пакете EnterpriseServer предусмотрено ведение журнала событий CGI и иные действия при помощи методов расширенного настраиваемого протоколирования.
Помимо стандартных сценариев CGI (и WinCGI в среде Windows NT) FastTrack и EnterpriseServer позволяют программистам, работающим на С, непосредственно использовать интерфейс NetscapeServerAPI. Вдобавок оба продукта обеспечивают исполнение Java-программ и поставляются вместе с NetscapeNavigatorGold, WYSIWYG-редактором HTML-страниц, объединенным со стандартным броузером Navigator.
В состав пакета EnterpriseServer входит программа NetscapeLiveWire (поставляется с пакетом FastTrack), служащая для расширения возможностей Web-сервера. С помощью FastTrack и LiveWire разработчики могут создавать компилируемые прикладные программы, используя JavaScript. LiveWire содержит превосходные средства управления информационным узлом (отсутствующие в FastTrack), например способна выявлять разорванные связи с внешними узлами Web.
EnterpriseServer входит в состав пакета SuiteSpot (Netscape) наряду с серверами Mail, News, Proxy и Catalog. В SuiteSpot содержится также модуль для разработчиков LiveWirePro (LiveWire поставляется вместе с сервером InformixOnlineWorkgroupServer).
EnterpriseServer явно выделяется на фоне остальных программ. В тех организациях, где подготовкой информационного наполнения занимаются несколько подразделений, сотрудники могут воспользоваться процессором MKSIntegrityEngine - составной частью EnterpriseServer - для контроля прохождения HTML-документов. "Прописав" документ у себя, пользователь не позволяет остальным видоизменить его прежде, чем документ не "выписан". Кроме того, MKS позволяет сохранять на сервере все предыдущие версии документа. Авторы информационного наполнения могут просмотреть список версий, в котором указаны имена создавших их лиц, и даже отредактировать ранние версии документа для их дальнейшего использования. Поисковый процессор Verity дает пользователям возможность проводить полнотекстовый поиск в узле Web, используя простые логические операторы. Он допускает работу как с HTML, так и с простыми текстовыми документами. Можно воспользоваться процессором поиска "как есть", подготовить специализированный модуль CGI или HTML, создав свой собственный интерфейс с процессором поиска, или встроить процессор в какую-либо страницу HTML. Функция AutoCatalog ведет учет всей имеющейся на сервере информации, предоставляя пользователям возможности отыскивать документы по названию, автору, времени последнего изменения и частоте обращений.
Благодаря возможности сертификации клиента и средствам поиска и управления документами, пакет EnterpriseServer представляет собой мощное решение для Internet и интрасетей масштаба предприятия. FastTrack - отлично подходит для быстрой организации узлов Web среднего и малого размеров.
2.2.6. Специализированные Web-серверы
Существуют специализированные или гибридные - Web-серверы, которые сочетают обслуживание транспортного протокола HTTP с более совершенными вспомогательными средствами обработки информации. Например, семейство Web-серверов Domino фирмы LotusDevelopment дает разработчикам возможность предоставить любому клиенту с Web-броузером доступ к средствам и программируемым функциям пакета LotusNotes и тем самым создавать Intranet-приложения для коллективного пользования. Имеется целый ряд специализированных Web-серверов для организации доступа к БД. Для примера можно назвать OracleWebServer, который обеспечивает доступ через CGI к SQL-серверу Oracle и с помощью дополнительных утилит формирует HTML-отчет для динамической публикации. Другим примером служит сервер приложений BaikonurWebApplicationServer для доступа к базам данных в корпоративных сетях Internet/Intranet.
Помимо серверного ПО для Web-серверов поставляются так называемые "готовые" Web-серверы - аппаратно-программные комплексы ( см. таблицу 2.4).
Таблица 2.4. "Готовые" Web-серверы
Для обеспечения безопасности защиты информации Web-серверы предоставляют следующие возможности:
Кроме того, возможно дополнительно использовать механизмы защиты файл-серверов в сети.
2.3.1. Виртуальные Web-серверы
Механизм виртуальных серверов позволяет иметь несколько имен доменов или адресов на одном физическом устройстве. Это удобно для поставщиков услуг Internet, обслуживающих информационные центры Web более, чем одной компании, и для тех, кто обслуживает несколько подразделенческих узлов в интрасети.
Обычно серверу назначается несколько IP-адресов, по одному для каждого домена, а затем каждому домену ставят в соответствие собственный каталог документов. Такой возможностью располагают все рассмотренные продукты, за исключением NetWareWebServer и InternetConnectionSecureServer фирмы IBM. Компания Netscape предлагает так называемые "программные виртуальные серверы" (softwarevirtualservers), где информация из заголовка запроса HTTP, используется для отыскания каталога с нужными содержательными материалами.
Различают два типа виртуальных серверов: software-серверы и hardware-серверы. В первом случае для данного сервера определяется несколько доменных имен в описании прямой зоны домена. Эти имена закрепляются за различными деревьями документов, для которых устанавливаются свои правила организации доступа. Доменное имя необходимо в обязательном порядке прописать в базе данных сервера доменных имен, который поддерживает текущую зону. Если этого не сделать, то никакие виртуальные серверы работать не будут. Головной сервер в этом случае будет обращаться к своей корневой странице. При этом, однако, администрации сервера не удастся скрыть тот факт, что реально несколько Website поддерживаются одним и тем же сервером.
Для того, чтобы иллюзия была полной, кроме доменного имени необходимо назначить серверу еще и уникальный IP-адрес. Для этой цели служит механизм построения hardware-серверов. В этом случае запускается механизм, который для назначения нескольких IP-адресов использует команду ifconfig. Для каждого из этих адресов устанавливается доменное имя. После этого данное доменное имя можно использовать в директивах VirtualHost.
2.3.2. Санкционирование доступа к серверам
Самый распространенный метод обеспечения безопасности называется базовой аутентификацией (basicauthentication). Страницы с ограничением доступа защищаются пользовательскими именами и паролями. Клиентские адреса TCP/IP или имена узлов также могут использоваться для ограничения доступа.
Управление доступом осуществляется в той секции файлов настроек сервера, где прописываются режимы работы с директориями. Если в файле управления доступом указать разрешение доступа только для определенных пользователей, то сервер будет запрашивать идентификатор и пароль пользователя. Данный процесс аутентификации может быть построен на различных механизмах: стандартной системе шифрования пароля, ведения базы данных паролей в различных базах данных.
2.3.3. Защищенный протокол SSL
Средства SecureSocketsLayer (SSL) обеспечивают более высокий уровень защиты, чем базовая аутентификация.
Разработанная фирмой Netscape спецификация SSL 2.0 призвана обеспечить безопасность каналов связи между клиентами и серверами с помощью шифрования данных. К другим достоинствам SSL относятся гарантированная сохранность сообщений и опознавание сервера. В настоящее время для того, чтобы использовать SSL, вы должны заплатить за сертификат сервера, выдаваемый такой уполномоченной организацией, как VeriSign. Это разумная мера для узлов Internet, где требуется высокая надежность, но для интрасетей - это стрельба из пушек по воробьям. В ближайшем будущем появятся продукты, которые дадут возможность выпускать внутренние сертификаты.
Все известные Web-серверы, за исключением изделия фирмы Novell, удовлетворяют требованиям SSL 2.0. В версии SSL 3.0 фирма Netscape упорядочила спецификацию SSL и добавила средства опознавания клиента. С помощью SSL 3.0 серверы получат возможность идентифицировать клиента, пытающегося получить доступ к ресурсам. В настоящее время только программа NetscapeEnterpriseServer полностью соответствует требованиям SSL 3.0.
Пакет NetscapeEnterpriseServer рассчитан для большого коммерческого предприятия и предполагает, что несколько человек или подразделений будут совместно создавать страницы Web и управлять ими. Эта программа, функционирующая в среде WindowsNTServer, показала отличные результаты на тестах производительности, располагает всеми функциями и характеристиками, необходимыми для создания и обслуживания крупного информационного центра Web. В их числе - средства защиты SSL 3.0 с возможностью проверки подлинности сертификата клиента, встроенный процессор поиска фирмы Verity, возможность работы с протоколом SNMP, усовершенствованные средства управления содержательными материалами узла Web и великолепные инструментальные средства для подключения к базам данных.
С помощью процессора MKSIntegrityEngine пакета EnterpriseServer можно организовать систему регистрации и контроля использования файлов, которая гарантирует, что сотрудники, привлеченные к созданию содержательного материала, не уничтожат Web-страницы своих коллег. MKS также сохраняет на сервере все предварительные версии Web-документов, позволяя легко найти их при необходимости. И наконец, EnterpriseServer может функционировать на множестве платформ, в том числе в среде различных версий UNIX и WindowsNT.
2.3.4. Использование комплексов защиты сетей
Всего несколько месяцев назад типичная программа-брандмауэр представляла собой не очень тщательно отделанное UNIX-приложение, основанное на использовании какой-то одной довольно простой технологии. При его разработке удобство пользования стояло в списке приоритетов явно ближе к концу, чем к началу.
Нынешнее поколение брандмауэров демонстрирует, насколько значителен прогресс в данной области и насколько быстро он достигнут. Лучшие из современных продуктов предлагают сложные настраиваемые схемы управления доступом, позволяющие очень подробно расписать, кому разрешен доступ в корпоративную сеть и при каких условиях. Многие из них оснащены графическим пользовательским интерфейсом, делающим управление многочисленными параметрами более удобным, благодаря чему сокращается вероятность возникновения ошибок, любая из которых может впоследствии очень дорого обойтись. Растет число продуктов, ориентированных в первую очередь на платформу WindowsNT.
По мере того, как все больше предприятий открывают свои сети для Internet-трафика, брандмауэры приобретают статус ПО первой необходимости. Это один из важнейших "бастионов безопасности", защищающих локальную сеть или интрасеть корпорации от большинства попыток несанкционированного проникновения, хотя ни одна из этих программ не гарантирует той надежности, какой можно было ожидать от ПО с таким названием. Было бы неосторожно полагаться только на брандмауэр, необходимо дополнять его другими средствами обеспечения безопасности.
Место брандмауэра обычно между внутренними локальными и глобальными сетями с одной стороны и внешними сетями, такими как Internet, с другой. Основное его назначение - ограничение доступа. По существу, такая программа представляет собой контрольно-пропускной пункт, где у каждого проверяют документы. Брандмауэру предъявляются имена пользователей, идентификаторы приложений, IP-адреса и другие характеристики проходящей информации. Затем к этим данным применяются правила, заданные администратором системы.
Если раньше в типичном брандмауэре использовалась какая-либо одна технология, то теперь все чаще встречаются гибридные системы, а администратору предоставляется широкий выбор методов обеспечения безопасности. Например, он может разрешить некоторой группе абонентов сети неограниченный доступ, а другой - использовать лишь систему LotusNotes, и то только в установленные часы.
Но расширение возможностей ведет к усложнению работы с системой. К счастью, многие продукты оснащаются графическим пользовательским интерфейсом, что значительно облегчает администратору принятие и реализацию многих решений.
Хотя количество брандмауэров, предназначенных для среды UNIX, остается весьма значительным, все большую популярность приобретает платформа WindowsNT, а некоторые продукты позволяют осуществлять и с рабочих станций "легкой весовой категории", функционирующих под управлением Windows 95.
Еще недавно брандмауэры в зависимости от применяемого метода управления доступом делили на четыре большие категории: фильтры пакетов, шлюзы уровня приложения, шлюзы низкого уровня и серверы-посредники (proxy). Большинство же современных продуктов - это гибриды, не укладывающиеся ни в одну из названных категорий.
Метод фильтрации пакетов состоит в том, что все поступающие в маршрутизатор пакеты проверяются на соответствие адресов отправления/назначения и запрашиваемых/предо-ставляемых сервисов тем или иным условиям. Этот метод - самый простой в администрировании, зато построенную на его основе защиту и преодолеть легче. Процесс задания правил, на основе которых предоставляется или не предоставляется доступ, отнимает много времени и чреват ошибками. Необходимо перечислить все типы пакетов, пропуск которых не разрешен. Каждая ошибка - это серьезная пробоина в вашем оборонительном щите.
Шлюзы уровня приложения представляют собой специализированные программы, ограничивающие трафик, связанный с определенным приложением, например, с системой электронной почты или с LotusNotes. В этих системах применяются особые коды для каждого приложения, а не для сетевого трафика в целом. Такие шлюзы считаются надежными благодаря тому, что администратору, формулирующему правила доступа, приходится учитывать значительно меньшее количество вариантов. У средств этой группы хорошая репутация.
Шлюзы низкого уровня предназначены для соединения внешнего TCP/IP-порта с каким-либо внутренним устройством, например, с сетевым принтером. Эти шлюзы функционируют как интеллектуальные фильтры, определяющие допустимость сеансов связи по протоколу TCP или UDP. Конкретное приложение, участвующее в обмене, не идентифицируется.
Серверы-посредники образуют отдельный класс продуктов, но могут выполнять, в частности, и функции брандмауэра. На таком сервере обычно хранят тиражируемые копии некоторых Web-страниц, чтобы упростить доступ к ним отдельных категорий пользователей. Так, можно разместить на нем информацию, предназначенную для свободного доступа, а конфиденциальную упрятать в недра корпоративной сети подальше от точки входа.
Современные системы являются, как правило, гибридными. Даже если основной продукт основан на технологии одного типа, к нему обычно предлагаются факультативные компоненты. Такие гибриды позволяют более гибко задавать ограничения доступа.
Помимо перечисленных выше, существует еще одна технология, называемая контролем отклонений, используя ее, выявляют характеристики содержимого пакетов при нормальной работе с системой и на этой основе формируют правила для проверки. Указанная технология реализована в пакете FireWall-1, где различные наборы правил создаются в зависимости от контекста обмена: источника и пункта назначения. Например, правило, сформированное на основе собранной информации о характеристиках взаимодействия с некоторым приложением благонадежного клиента, может затем применяться для контроля за работой с тем же приложением других клиентов. При таком подходе пакет работает на самом нижнем уровне протокола OSI, так что контроль проходящих сообщений осуществляется прежде, чем они успеют вступить во взаимодействие с операционной системой.
Еще одна важная административная функция - регистрация. Эффективная стратегия обеспечения безопасности требует регистрировать все попытки проникновения через брандмауэр, включая и неудавшиеся. Зная источник опасности, администратор сможет своевременно принять соответствующие меры по укреплению "обороны". Немедленное уведомление администратора о происходящем очень важно. Некоторые продукты используют для этого телефонную связь, другие - пейджинговую или систему электронной почты. Но у электронной почты есть один недостаток - сообщение остается непрочитанным, пока адресат не заглянет в свой почтовый ящик. Пейджеру обычно удается быстрее привлечь внимание.
Web-сервер может быть отрезан от сети, когда какой-то злоумышленник, используя архитектуру протокола TCP/IP, посылает запрос с фальшивым IP-адресом. В результате Web-сервер не в состоянии установить соединение, так как приемник сообщения не может получить подтверждения от отправителя, которого не существует. Дело в том, что согласно протоколу TCP/IP, при подключении конечного пользователя к Internet его компьютер обменивается сообщениями с хост-машиной на другом конце связи. Если пользователь присваивает своему компьютеру фальшивый IP-адрес, то хост-машина некоторое время сохраняет связь и тщетно ждет подтверждения. Если число таких обращений достаточно велико, хост-машина будет заниматься только их обработкой и не сможет реагировать на нормальные запросы.
Однако поставщики брандмауэров, защищающих интрасети от вторжений извне, не дремлют. Они выпускают для своих продуктов дополнительные модули, которые предохраняют Web-серверы от фальшивых запросов. В различных продуктах данная проблема решается по-разному. Например, программа SYNDefender компании CheckPoint проверяет все запросы на соединение до того, как они поступят в хост-машину.
Продукт N.O.A.H (NoAttackHere) фирмы LivermoreSoftwareLaboratories выявляет повторяющиеся запросы на связь, сокращает время, в течение которого хост-машина ждет подтверждения от инициатора запроса, исключает все предыдущие записи в очереди на подключение и сообщает системному администратору о проблеме.
Брандмауэр Guardian компании LanOptics проверяет каждый поступающий пакет на всех семи уровнях сетевого протокола, чтобы обнаружить какие-либо отклонения от нормы.
Однако, по мнению некоторых экспертов, полностью обезопасить Web-серверы практически невозможно. Можно только максимально затруднить злоумышленнику путь к успеху, защитив ядро системы и тщательно выполняя ее мониторинг. Пользователи должны внимательно отнестись к этой проблеме, так как, с одной стороны угроза атаки вполне реальна, а с другой - средства для ее решения уже существуют.
Назад | Содержание | Вперед
[an error occurred while processing this directive]