Можливості веб кешування брандмауера ISA - все про IT та програмування

Written on 20 Січня 2009 . Posted in Адміністрація Windows

ISA може працювати як брандмауер, як брандмауер і сервер веб-кешування (кращий варіант), або як виділений сервер веб-кешування. Можна встановити сервер ISA як сервер прямого кешування (forward caching server) або сервер зворотного кешування (reverse caching server). Веб-проксі фільтр є механізмом, який ISA використовує для застосування функції кешування.

Нотатка: Якщо налаштувати ISA лише як сервер кешування, він втратить більшість своїх функцій брандмауера, і вам потрібно встановлювати інший брандмауер для захисту вашої мережі.

ISA підтримує пряме кешування (для вихідних запитів) та зворотне кешування (для вхідних запитів). Брандмауер ISA також може одночасно виконувати пряме та зворотне кешування.

При прямому кешуванні брандмауер ISA розташовується між внутрішнім клієнтом та веб-серверами інтернету. Коли внутрішній клієнт надсилає запит на веб-об'єкт (веб-сторінку, графіку або інший веб-файл), він повинен пройти через брандмауер ISA. Замість того, щоб направити запит на інтернет веб-сервер, брандмауер ISA перевіряє свій кеш, щоб визначити, чи існує там копія необхідного об'єкта (оскільки хтось у внутрішній мережі вже запитував такий об'єкт з інтернет веб-сервера).

Якщо об'єкт є у КЕШі, брандмауер ISA відправляє цей об'єкт із КЕШу, внаслідок чого відсутня необхідність відправляти трафік до інтернету. Отримання об'єкта з КЕШу брандмауера ISA по локальній мережі відбувається швидше, ніж його завантаження з Інтернету веб-сервера, тому внутрішні користувачі бачать підвищення продуктивності.

Якщо об'єкт відсутній у кеше брандмауера ISA, то ISA відправляє запит на нього на веб сервер. Коли об'єкт повертається, брандмауер ISA зберігає його в КЕШі, щоб наступного разу, коли він буде запитаний, цей запит виконувався з КЕШу.

При зворотному кешуванні брандмауер ISA діє посередником між зовнішнім користувачем і веб серверами компанії. Коли запит на об'єкт на веб-сервер компанії надходить від користувача з інтернету, брандмауер ISA перевіряє кеш на наявність цього об'єкта. Якщо об'єкт там, то ISA виконує роль внутрішнього веб-сервера і виконує запит зовнішнього користувача, не звертаючись до веб-сервера. Це знижує обсяг трафіку у внутрішній мережі.

У будь-якому випадку, кеш являє собою область на жорсткому диску брандмауера ISA, яка використовується для зберігання веб-об'єктів, що запитуються. Можна контролювати обсяг місця на диску, який виділяється під кеш (і тим самим максимальний розмір кешу). Можна також контролювати максимальний розмір об'єктів, що записуються в кеш, не дозволяючи цим двом об'єктам великих розмірів заповнити весь кеш.

Кешування також використовує системну пам'ять. Об'єкти записуються в RAM, як і, як і диск. Об'єкти, записані в RAM, можна отримати швидше, ніж записані на диск. ISA дозволяє визначати, який відсоток оперативної пам'яті можна використовувати для кешування (за умовчанням ISA використовує 10% пам'яті RAM, а решта об'єктів записує кеш на диску). Можна встановити відсоток використання пам'яті від 1 до 100%. Виділення оперативної пам'яті визначається, коли запускається служба брандмауера. Якщо ви хочете змінити обсяг оперативної пам'яті, вам потрібно зупинити і перезапустити службу брандмауера.

Така можливість контролювати обсягпам'яті, виділеної під кешування, не дозволяє споживати всі ресурси комп'ютера ISA Server на кешування.

Примітка: Приділяючи особливу увагу безпеці та функціям брандмауера, кешування не включено за замовчуванням, коли ви встановлюєте брандмауер ISA. Перш ніж можна буде скористатися цією функцією, необхідно включити його.

Використання функції кешування

Налаштування розділу під кеш включає пряме та зворотне кешування на вашому брандмауері ISA. Є кілька вимог і рекомендацій щодо того, який розділ можна використовувати як розділ для кешування:

Нотатка: Можна використовувати утилітуconvert.exe для перетворення FAT або FAT32 розділу в NTFS без втрати даних.

Файл, у якому зберігаються об'єкти КЕШу, називаєтьсяdir1.cdat. Він розташований у папціurlcache на диску, який ви налаштували для кешування. Цей файл зазвичай називається файлом вмісту КЕШ (cache content file). Якщо файл досягає максимального розміру, більш старі об'єкти видаляються з КЕШу для звільнення місця новим об'єктам.

Файл вмісту КЕШу не може бути більшим за 64ГБ (звісно, ​​можна задавати менший розмір). Якщо ви хочете використовувати більше 64ГБ для кешу, вам необхідно налаштувати кілька дисків для кешування та розподілити кеш на кілька файлів.

Не можна намагатися редагувати або видаляти файл вмісту КЕШу.

Правила кешування брандмауера ISA

ISA використовує правила кешування, що дозволяють вам налаштовувати, які типи контенту зберігатимуться в КЕШі, а також що відбуватиметься з цим вмістом, коли надходить запит на об'єкт, що зберігається в КЕШі.

Можна створювати правила для керування терміном, протягом якого кешовані об'єкти будутьвважатися дійсними (не дозволяючи об'єктам, що зберігаються в КЕШі, безнадійно застаріти), ви також можете налаштувати, що відбуватиметься з кешованими об'єктами після закінчення терміну придатності.

ISA надає вам гнучкість у застосуванні правил кешування для всіх сайтів або лише певних сайтів. Потім правило можна налаштувати застосування до всіх типів контенту або лише до зазначених.

Правила кешування для визначення типів контенту, які можуть кешуватися

Правило кешування дозволяє вказувати, які з наступних типів контенту будуть записуватися в кеш:

Можна також встановитиМаксимальний розмір об'єкта. Використовуючи цю опцію, можна визначати межі розміру веб-об'єктів, які кешуватимуться за певним правилом.

Використання правила кешування для визначення того, як об'єкти будуть отримуватися та подаватися з сервера

Крім керування типом вмісту та розмірами об'єктів, правило кешування контролює, як ISA будуть працювати з отриманням та обслуговуванням об'єктів із КЕШу. Це стосується дійсності об'єктів. Реальність об'єкта визначається тим, чи вийшов термін його дії (Time to Live – TTL). Закінчення термінів визначається властивостями кешування HTTP або FTP або властивостями об'єкта. Тут включені такі опції:

  • Налаштування ISA на отримання тільки дійсних об'єктів з КЕШу (тих, термін дії яких не минув). Якщо термін об'єкта минув, брандмауер ISA відправить запит на веб-сервер, на якому зберігається об'єкт, і отримає його звідти.
  • Налаштування ISA на отримання запитаних об'єктів з КЕШу, навіть якщо вони недійсні. Іншими словами, якщо об'єкт існує в КЕШі, ISA отримає та доставить його звідти, навіть якщо минув його термін. Якщо вКЕШ відсутня версія об'єкта, ISA відправить запит на веб-сервер і отримає його звідти.
  • Налаштування ISA, щоб він не маршрутизував запити. У цьому випадку ISA покладається виключно на кеш для отримання об'єктів. Об'єкти повертатимуться з КЕШу незалежно від того чи дійсні вони чи ні. Якщо версія об'єкта відсутня в КЕШ, ISA поверне звіт про помилку. Він не надсилатиме запит на веб-сервер.
  • Налаштування ISA, щоб він ніколи не зберігав об'єкти в КЕШі. Якщо ви налаштуєте правила так, то об'єкти, що запитуються, ніколи не будуть зберігатися в КЕШі.

Нотатка: Стандартне TTL для FTP об'єктів становить один день. TTL межі для кешованих HTTP об'єктів (які задаються у правилі кешування) складаються з відсотка віку вмісту, ґрунтуючись на тому, коли він був створений або востаннє змінений.

Можна контролювати, чи HTTP і FTP вміст кешуватиметься в спеціальному місці призначення, а також задавати політики закінчення терміну для HTTP і FTP об'єктів. Можна також контролювати увімкнення та вимкнення кешування для SSL контенту.

Оскільки вміст SSL часто містить вразливі дані (саме тому вони захищені за допомогою SSL), з метою більш високого рівня безпеки краще не включати кешування для такого типу контенту.

Якщо у вас є кілька правил кешування, вони будуть представлені в порядку від першого до останнього, при цьому стандартне правило оброблятиметься після всіх користувачів. Стандартне правило створюється автоматично під час інсталяції ISA. Воно налаштоване на отримання тільки дійсних об'єктів з КЕШу, і на отримання об'єктів з інтернету, якщо в КЕШ відсутні об'єкти, що запитуються.

Функція завантаження вмісту

Функція завантаження вмісту використовується для планування ISA на завантаження нового вмісту з інтернету в установлений час, щоб, коли веб-проксі клієнти запитують ці об'єкти, їх оновлені версії знаходилися в КЕШі. Це підвищує продуктивність і дозволяє клієнтам отримувати найсвіжіший вміст швидше.

Щоб скористатися цією функцією, необхідно увімкнути групу конфігурації системної політики для задач запланованого завантаження контенту (Scheduled Content Download Jobs), а потім налаштувати завдання завантаження вмісту.

Коли ви включаєте групу конфігурації системної політики дляSchedule Content Download Jobs, це змушує ISA блокувати неавтентифікований HTTP трафік із локального хоста (сервера ISA) ‘ навіть якщо у вас налаштовано інше правило, яке дозволяє такий трафік. Є прийом, що дозволяє дозволити такий трафік і одночасно використовувати завдання завантаження контенту. Він включає створення правила для дозволу HTTP доступу для всіх мереж і дозволяє бути впевненим у тому, що інше правило, що має більш високий пріоритет, налаштоване на дозвіл HTTP доступу з локального вузла.

Керування кешуванням за допомогою HTTP заголовків

Існує два різні фактори, що впливають на те, як кешується HTTP (веб) контент. Конфігурація сервера кешування є одним фактором, однак веб-майстри можуть також поміщати інформацію у вміст та заголовки, яка говорить про те, як їх сайти та об'єкти повинні кешуватися.

Мета теги являють собою команди в HTML коді документа, що вказують на закінчення терміну HTTP або статус неможливості кешування, але вони обробляються тільки кешами оглядачів, а не проксі кешами. Однак HTTP заголовки обробляються проксі КЕШами та КЕШами оглядачів. Вони невписуються у HTML код; вони налаштовуються на веб-сервері і відправляються веб-сервером до того, як відправляється вміст HTML.

  • Максимальний вік (максимальна кількість часу, протягом якого об'єкт вважається дійсним, ґрунтуючись на часі запиту)
  • Можливість кешування
  • Вимоги поновлення статусу дійсності (Revalidation requirements)

ETags і Last-Modified заголовки генеруються веб-сервером і використовуються для підтвердження того, чи є об'єкт свіжим.

У Microsoft Internet Information Services заголовки відповідей керування КЕШом налаштовуються у вкладці HTTP Headers сторінок властивостей веб-сайтів або веб-сторінок.

ISA не кешує відповіді запити, що містять певні HTTP заголовки. Сюди входять:

Висновок

У цій статті ми розглянули частину брандмауера ISA, про яку небагато сказано функція веб-кешування в брандмауері. Можна використовувати брандмауер ISA як спільний пристрій веб-кешування та брандмауер, або навіть використовувати брандмауер виключно як пристрій веб-кешування. Незалежно від того, як ви вирішите встановлювати брандмауер, ваш брандмауер ISA може кешувати веб-вміст для збільшення та прискорення продуктивності інтернету для ваших кінцевих користувачів.