Основные настройки прокси-сервера

<< Click to Display Table of Contents >>

Navigation:  Прокси-сервер, настройки и возможности >

Основные настройки прокси-сервера

Previous pageReturn to chapter overviewNext page

Основная информация о работе прокси-сервера приводится в разделе Сервисы -> Прокси-сервер консоли администратора. В нем отображается одноименный блок, состоящий из двух вкладок. На вкладке Информация основные данные о работе службы. На вкладке Действия размещены ссылки на некоторые операции с прокси-сервером. Аналогичный блок, только с меньшим количеством отображаемых данных, размещен также в разделе Сервисы консоли администратора.

Для настройки прокси-сервера выполните следующие действия.

  1. Откройте окно свойств прокси-сервера. Сделать это можно из блока Прокси-сервер в одноименном разделе консоли администратора.
  2. На вкладке HTTP прокси включите или выключите принудительное блокирование кэширования браузерами пользователей. Эта функция работает путем добавления ко всему HTTP-трафику атрибута no-cashe, что, согласно спецификациям стандарта, должно предотвратить кэширование информации браузером. Также включите или выключите игнорирование атрибута no-cache в запросах пользователя. Рекомендуется включить эту функцию в том случае, если пользователи используют переключение режимов кэширования с помощью агента.

На этой же вкладке настройте параметры распаковки сжатых данных и формата передачи chunked (подробное описание см. в разделе Особенности преобразования и анализа контента в п. Прокси-сервер, настройки и возможности. Для этого включите или выключите возврат статуса 501, который определяет действия программы в тех случаях, когда формат передаваемого контента не поддерживается. В первом случае такой контент будет прозрачно передаваться пользователю, при этом он не будет кэшироваться, а также проверяться антивирусом. Поэтому, если используется антивирусная проверка, отключать опцию не рекомендуется. Также включите или отключите принудительную поддержку HTTP-компрессии. При включении функции, если браузер пользователя компрессию не поддерживает, то прокси-сервер будет отдавать на него распакованные данные. Если же ее отключить, то с сервера всегда будет запрашиваться контент без компрессии, независимо от того, запрашивает браузер компрессию или нет.

Замечание! Декомпрессия дополнительно нагружает процессор, и отключение этой настройки может иметь смысл в случае нехватки ресурсов процессора. После отключения настройки желательно очистить кэш прокси-сервера, т.к. в нем могут оказаться сжатые данные. А это, в случае отдачи их браузеру, не поддерживающему компрессию, приведет к ошибке отображения данных.

  1. На вкладке HTTP кэш включите или выключите использование кэширования HTTP-трафика. При включении настройте следующие параметры.
    • Выберите способ проверки объектов кэша безусловный или условный. В первом случае все запрашиваемые пользователями объекты, присутствующие в кэше, будут проверяться на веб-сервере на предмет их "свежести" не обновились ли они. Это послужит гарантией того, что пользователь всегда получит правильные данные, но экономия трафика будет минимальной. Во втором случае такая проверка будет выполняться только при выполнении условий, которые определяются прогнозируемым временем жизни объекта в процентах (TTL), а также минимальное (в часах) и максимальное (в днях) время жизни объектов в кэше (подробно логика работы кэширования и перечисленные условия описаны в разделе Особенности реализации кэширования в п. Кэширование и правила кэширования).
    • Включите или выключите кэширование объектов с неизвестным временем создания. В большинстве случаев имеет смысл включить эту функцию, поскольку в Интернете много веб-серверов, которые не передают сведения о времени создания объектов.
    • Включите или выключите кэширование динамических объектов. Под динамическими объектами в данном случае объекты, получаемые с веб-страниц, строка запроса которых содержит параметры после символа "?", или объекты, для которых используется специальный тип HTTP-контента chunked.
    • Включите или выключите возврат ошибки, если по каким-то причинам проверить "свежесть" объекта на веб-сервере не удается (например, веб-сервер недоступен). Если эту функцию включить, то пользователю будет показано сообщение об ошибке. В противном случае будет отображен объект из кэша.
    • Установите максимальный размер кэшируемых объектов (по умолчанию 8192 килобайта).
    • Включите или выключите игнорирование времени жизни объекта, полученного от сервера. По умолчанию данная функция отключена, т.е. если сервер возвращает срок жизни объекта, то прогнозирование TTL не используется, а используются рекомендации сервера. Но они зависят от настроек серверов, которые часто из-за небрежности администраторов или программистов бывают совсем неправильными. При включении функции будет использоваться собственная логика с использованием прогнозирования TTL.
    • Включите или выключите постоянный возврат из кэша всего объекта целиком. В первом случае прокси-сервер всегда возвратит весь объект, даже если браузер запрашивает только обновление объекта при его наличии в своем собственном кэше. Это оптимальный вариант в тех случаях, когда внутреннего трафика никакого значения не имеет (кэш браузера не всегда работает корректно). Если же трафик из кэша для пользователей не бесплатне, то логичнее эту функцию отключить.
  2. На вкладке настройте параметры работы FTP-прокси через HTTP/GET. Для этого укажите таймаут команд (время ожидания отклика от сервера, по истечению которого соединение автоматически закрывается) и таймаут начала передачи данных (время ожидания начала передачи данных после открытия активного режима, для режима FTP через HTTP по истечении этого времени будет предпринята попытка использовать пассивный режим). Здесь же при необходимости включите или выключите принудительное использование пассивного режима (при выключении режим выбирается автоматически) и установите интервал передачи команды NOOP, которая используется для удержания соединения с FTP-сервером.
  3. На вкладке Пользователи настройте параметры автоматического конфигурирования браузеров пользователей для использования прокси-сервера. Механизм автоконфигурирования следующий. Браузер при загрузке запрашивает у прокси-сервера файл автоконфигурирования. Это обычный Java-скрипт с некоторыми стандартными функциями. Браузер на каждом запросе вызывает функцию FindProxyForURL() из этого скрипта, которая выдает ему инструкции, использовать прокси-сервер или работать напрямую и, если использовать, то какой именно. Все современные браузеры это поддерживают.

Для того чтобы браузер запросил скрипт, его URL надо прописать в соответствующих настройках. Прокси-сервер поддерживает выдачу скрипта при запросе имен файлов wpad.dat и config.script. URL запроса скрипта может иметь вид: http://server/config.script или http://server/wpad.dat.

Кроме настроек прокси-сервера, в скрипт также добавляется информация о том, для каких ресурсов прокси-сервер использовать не следует. Это называется LAT (Local Address Table). По умолчанию в LAT всегда заносятся следующие ресурсы:

    • localhost (127.0.0.1) и обращение по коротким именам хостов (считается, что это ресурсы локальной сети);
    • IP-адреса самого сервера и его имя.

Дополнительно в LAT можно вносить следующие ресурсы.

Замечание! Обработка условий в LAT, где описаны IP-адреса и сети, использует DNS для преобразования выделяемых из запросов имен хоста в IP-адрес. Поэтому требуется обязательная правильная настройка DNS у пользователя, иначе загрузка страниц у браузера будет сопровождаться большими задержками. Если в мастере конфигурирования программы был установлен режим "DNS не используется", то IP-адреса и сети в LAT выдаваться не будут (подробнее см. в п. Конфигуратор).

Дополнительно на этой же вкладке настройте следующие параметры автоконфигурирования.

  1. На вкладке Антивирус включите или выключите антивирусную проверку трафика. Антивирусная проверка возможна только в том случае, если установлен один или несколько дополнительных антивирусных модулей (подробнее см. в п. Дополнительные модули). При включении настройте следующие параметры анализа.
    • Укажите максимальный размер проверяемых объектов (по умолчанию 200 мегабайт). Объекты с размером больше этого лимита проверяться не будут. Данное ограничение следует устанавливать в соответствии с имеющимся лимитом свободной физической памяти, а также размером файла подкачки. С точки зрения быстродействия сервера, наилучший вариант наличие в системе свободной физической памяти в двойном размере относительно максимального размера проверяемого файла, и, как минимум, доступной виртуальной памяти.

Замечание! Файлы более 2 гигабайт, независимо от имеющейся памяти, проверяться не могут.

    • Включите или выключите проверку объектов, извлекаемых из кэша прокси-сервера. Включение этой функции, в целом, полезно, так как в кэш может попасть вирус, не известный сканеру на момент записи данных в кэш. Однако если на сервере есть проблемы с системными ресурсами, то ее можно отключить.
    • Включите или отключите проверку основного контента. Под основным контентом в данном случае понимается такой контент, который всегда будет проверяться с полной загрузкой (как правило, текстовый контент, составляющий основное содержимое страниц). При включении можно изменить состав типов данных, относящихся к основному контенту.
    • Включите или отключите проверку дополнительного контента. Под дополнительным контентом в данном случае понимается такой контент, для которого может быть выбран режим проверки по последнему пакету (подробнее о режимах антивирусной проверки см. в разделе Особенности преобразования и анализа контента в п. Прокси-сервер, настройки и возможности). При включении можно изменить состав типов данных, относящихся к дополнительному контенту (включая типы контента, не заданные в файле определения типов контента cntgrp.ini), и указать максимальный размер объектов для предварительной проверки. В этом случае все объекты размером меньше указанного лимита будут проверяться с полной загрузкой, а больше него по последнему пакету.
    • Определите, что будет делать прокси-сервер с неполным контентом (объекты при частичной закачке или докачке) не проверять его или вообще блокировать. В первом случае антивирус такие данные проверять не будет, т.к. не может гарантировать обнаружение в них вирусов, а распаковка фрагмента архива невозможна в принципе. Во втором случае неполный контент будет отфильтровываться.
    • Включите или выключите отправку сообщений с отчетами о найденных вирусах. Письма отправляют адреса электронной почты, описанные в настройках SMTP службы отправки (подробнее см. в п. Служба отправки).
  1. На вкладке Журнал настройте параметры записи в журнал статистики работы прокси-сервера. В первую очередь выберите режим записи, который будет использоваться при работе пользователей по умолчанию. При необходимости для отдельных групп и пользователей можно использовать индивидуальные настройки (подробнее см. в п. Создание и настройка групп и в п. Создание и настройка пользователей).
    • Запись отключена в этом режиме никакие данные с прокси-сервера в журнале не сохраняются. Для анализа посещаемости ресурсов можно использовать только записи сетевой статистики (подробнее см. в п. Управление сетевой статистикой).
    • Нормальный режим режим, используемый по умолчанию. В нем пишется минимальный набор данных, который нужен для формирования отчетов о посещаемых ресурсах. Для минимизации размера базы данных можно задать минимальный размера объектов, данные о которых будут записывать в журнал (по умолчанию 10 килобайт), то есть информация об объектах меньше установленного лимита сохраняться не будет. В этом режиме сохраняются данные только для авторизованных пользователей.
    • Детальный режим при выборе данного режима можно отдельно включить или отключить запись в журнал запросов неавторизованных пользователей (по сути, анонимный трафик, который не привязан к конкретному пользователю программы), заблокированные запросы (может быть полезно для отладки правил, так как в журнал попадут и отфильтрованные запросы) и подробную информацию обо всех запросах (будет записываться дополнительная информация, полезная для отладки фильтрации, тарификации, кэширования и т.д.).
  2. На вкладке Дополнительно настройте следующие параметры работы прокси-сервера.
    • Если при приеме трафика через прокси-сервер с DVB-карты не учитывается входящий трафик, то включите принудительный режим учета трафика на прием Application.
    • Задайте таймаут соединения с прокси-сервером.
    • Включите или выключите авторизацию в фоновом режиме. Эта функция понижает приоритет процессов прокси-сервера до момента авторизации. Можно включить для исключения ситуации перегрузки процессора при обработке большого количества запросов на прокси-сервер (флуде).
    • Укажите размер объектов, при превышении которого будет использоваться буферизация в файле (по умолчанию 1024 килобайта). В этом случае данные будут храниться и обрабатываться не в оперативной памяти, а в виде временного файла. Уменьшение лимита приведет к более экономному использованию оперативной памяти, а увеличение к росту быстродействия. Однако задавать в качестве лимита очень большие значения не рекомендуется, т.к. даже при достаточном объеме оперативной и виртуальной памяти системы имеется лимит виртуальной памяти для процесса 2 гигабайта. И при интенсивной работе прокси-сервера может появиться вероятность появления ошибок по причине нехватки памяти.
    • Включите или выключите асинхронный режим для базы данных индекса кэша прокси-сервера. В обычном режиме при операциях обновления данных кэша программа ждет, пока данные не будут физически записаны на диск. Это гарантирует их целостность при различных сбоях работы операционной системы (например, при отключении питания и т.д.), но несколько замедляет работу. При очень большой нагрузке на кэш прокси-сервера (десятки запросов в секунду и более) для увеличения производительности можно включить асинхронный режим. В этом случае при сбоях в работе операционной системы возможна ситуация повреждения данных кэша, что может привести к полной или частичной потери данных в нем.
  3. Сохраните внесенные изменения.