Возможности веб кэширования брандмауэра ISA

ISA может работать в качестве брандмауэра, в качестве брандмауэра и сервера интернет кэширования (идеальный вариант), либо в качестве выделенного сервера интернет кэширования. Можно установить сервер ISA в качестве сервера прямого кэширования (forward caching server) либо сервера оборотного кэширования (reverse caching server). Интернет прокси фильтр является механизмом, который ISA употребляет для внедрения функции кэширования.

Заметка: Если настроить ISA исключительно в качестве сервера кэширования, он растеряет большая часть из собственных функций брандмауэра, и вам будет нужно устанавливать другой брандмауэр для защиты вашей сети.

ISA поддерживает прямое кэширование (для исходящих запросов) и оборотное кэширование (для входящих запросов). Брандмауэр ISA также может сразу делать прямое и оборотное кэширование.

При прямом кэшировании брандмауэр ISA размещается меж внутренним клиентом и интернет серверами веба. Когда внутренний клиент посылает запрос на интернет объект (интернет страничку, графику либо другой интернет файл), он должен пройти через брандмауэр ISA. Заместо того, чтоб навести запрос на веб интернет сервер, брандмауэр ISA инспектирует собственный кэш, чтоб найти, существует ли там копия требуемого объекта (так как кто-то во внутренней сети уже запрашивал таковой объект с веб интернет сервера).

Если объект имеется в КЭШе, брандмауэр ISA посылает этот объект из КЭШа, в итоге чего отсутствует необходимость отправлять трафик в веб. Получение объекта из КЭШа брандмауэра ISA по локальной сети происходит резвее, чем его загрузка с веб интернет сервера, потому внутренние юзеры лицезреют увеличение производительности.

Если объект отсутствует в КЭШе брандмауэра ISA, то ISA посылает запрос на него на веб интернет сервер. Когда объект ворачивается, брандмауэр ISA хранит его в КЭШе, чтоб в последующий раз, когда он будет запрошен, этот запрос производился из КЭШа.

При оборотном кэшировании брандмауэр ISA действует в качестве посредника меж наружным юзером и интернет серверами компании. Когда запрос на объект на интернет сервер компании приходит от юзера из веба, брандмауэр ISA инспектирует кэш на наличие этого объекта. Если объект там, то ISA играет роль внутреннего интернет сервера и делает запрос наружного юзера, не обращаясь к интернет серверу. Это понижает объем трафика во внутренней сети.

В любом случае, кэш представляет собой область на жестком диске брандмауэра ISA, которая употребляется для хранения запрашиваемых интернет объектов. Можно держать под контролем объем места на диске, выделяемого под кэш (и тем наибольший размер КЭШа). Можно также держать под контролем наибольший размер объектов, записываемых в кэш, не позволяя тем двум объектам огромных размеров заполнить весь кэш.

Кэширование также употребляет системную память. Объекты записываются в RAM, так же, как и на диск. Объекты, записанные в RAM, можно получить резвее, чем те, которые записаны на диск. ISA позволяет определять, какой процент оперативки можно использовать для кэширования (по дефлоту ISA употребляет 10% памяти RAM, а другие объекты записывает в кэш на диске). Можно установить процент использования памяти в границах от 1до 100%. Выделение оперативки задается, когда запускается служба брандмауэра. Если вы желаете поменять объем применяемой оперативки, вам необходимо приостановить и перезапустить службу брандмауэра.

Такая возможность держать под контролем объем памяти, выделенной под кэширование не позволяет потреблять все ресурсы компьютера ISA Server на кэширование.

Заметка: Уделяя повышенное внимание безопасности и функциям брандмауэра, кэширование не включено по дефлоту, когда вы устанавливаете брандмауэр ISA. Нужно включить его, до того как можно будет пользоваться этой функцией.

Внедрение функции кэширования

Настройка раздела под кэш включает прямое и оборотное кэширование на вашем брандмауэре ISA. Есть несколько требований и советов к тому, какой раздел можно использовать в качестве раздела для кэширования:

Раздел под кэш должен быть локальным диском. Нельзя настроить сетевой диск на содержание КЭШа.
Диск КЭШа должен размещаться в разделе с файловой системой NTFS. Нельзя использовать разделы FAT либо FAT32 для диска КЭШа.
Лучше (но не непременно) не использовать тот же диск, на котором установлена ОС и/либо приложение ISA Server. Производительность будет лучше, если содержать кэш на отдельном диске. По сути, для лучшей производительности кэш необходимо расположить не просто на отдельном диске, а на отдельном I/O канале (другими словами, диск КЭШа не должен быть подключен на один канал в качестве слейва (slaved) с диском, на котором содержатся файл страничек, OС либо программные файлы ISA). Более того, если производительность брандмауэра имеет вам значение, запись логов MSDE потребляет больше ресурсов, чем запись текстовых логов. Потому если употребляется запись логов MSDE, привод КЭШа также должен быть на другом диске, а не на том, на котором размещены базы данных MSDE.

Заметка: Можно использовать утилиту convert.exe для преобразования FAT либо FAT32 раздела в NTFS без утраты данных.

Файл, в каком хранятся объекты КЭШа, именуется dir1.cdat. Он размещается в папке urlcache на диске, который вы настроили для кэширования. Этот файл обычно именуется файлом содержимого КЭШа (cache content file). Если файл добивается собственного наибольшего размера, более старенькые объекты удаляются из КЭШа для освобождения места новым объектам.

Файл содержимого КЭШа не может быть больше 64ГБ (естественно, можно задавать наименьший размер). Если вы желаете использовать более 64ГБ для КЭШа, вам нужно настроить несколько дисков для кэширования и распределить кэш на несколько файлов.

Никогда нельзя пробовать редактировать либо удалять файл содержимого КЭШа.

Правила кэширования брандмауэра ISA

ISA употребляет правила кэширования, дозволяющие вам настраивать, какие типы контента будут храниться в КЭШе, также что будет происходить с этим содержимым, когда поступает запрос на объект, лежащий в КЭШе.

Можно создавать правила для управления сроком, в течение которого кэшированные объекты будут считаться действительными (не позволяя хранящимся в КЭШе объектам безвыходно устареть), вы также сможете настроить, что будет происходить с кэшированными объектами по истечении срока годности.

ISA предоставляет вам упругость в применении правил кэширования для всех веб-сайтов либо только для определенных веб-сайтов. Потом правило можно настроить на применение ко всем типам контента либо только к обозначенным.

Правила кэширования для определения типов контента, которые могут кэшироваться

Правило кэширование позволяет вам указывать, какие из последующих типов контента будут записываться в кэш:

Динамическое содержимое (Dynamic content). Это содержимое, которое нередко изменяется, и потому обозначено, как неподлежащее кэшированию. Если избрать кэширование динамического содержимого, приобретенные объекты будут кэшироваться, даже невзирая на то, что они отмечены, как неподлежащие кэшированию.
Содержимое для просмотра в автономном режиме. Чтоб юзеры могли производить просмотр в автономном режиме (когда они отключены от веба), все содержимое должно храниться в КЭШе. Таким макаром, когда вы выбираете эту опцию, ISA будет записывать все содержимое, включая ‘некэшируемое’, в кэш.
Содержимое, требующее для получения аутентификации юзера. Некие веб-сайты требуют, чтоб юзеры аутентифицировались, чтоб получить доступ к содержимому. Если избрать эту опцию, ISA будет кэшировать контент, требующий аутентификации юзера.

Можно также задать Наибольший размер объекта. Используя эту опцию, можно определять пределы размера интернет объектов, которые будут кэшироваться по определенному правилу.

Внедрение правила кэширования для определения того, как объекты будут получаться и подаваться с сервера

Кроме управления типом содержимого и размерами объектов, правило кэширования держит под контролем, как ISA будут работать с получением и обслуживанием объектов из КЭШа. Это относится к реальности объектов. Реальность объекта определяется тем, вышел ли срок его деяния (Time to Live – TTL). Истечение сроков определяется качествами кэширования HTTP либо FTP, или качествами объекта. Тут включены последующие функции:

Настройка ISA на получение только реальных объектов из КЭШа (тех, срок деяния которых не истек). Если срок объекта истек, брандмауэр ISA вышлет запрос на интернет сервер, на котором хранится объект, и получит его оттуда.
Настройка ISA на получение запрошенных объектов из КЭШа, даже если они недействительны. Другими словами, если объект существует в КЭШе, ISA получит и доставит его оттуда, даже если истек его срок. Если в КЭШе отсутствует версия объекта, ISA вышлет запрос на интернет сервер и получит его оттуда.
Настройка ISA, чтоб он не маршрутизировал запросы. В данном случае ISA полагается только на кэш для получения объектов. Объекты будут ворачиваться из КЭШа независимо от того действительны они либо нет. Если версия объекта отсутствует в КЭШе, ISA возвратит отчет об ошибке. Он не будет отправлять запрос на интернет сервер.
Настройка ISA, чтоб он никогда не сохранял объекты в КЭШе. Если вы настроите правила так, то запрашиваемые объекты никогда не будут сохраняться в КЭШе.

Заметка: Стандартное TTL для FTP объектов составляет один денек. TTL пределы для кэшированных HTTP объектов (которые задаются в правиле кэширования) состоят из процента возраста содержимого, основываясь на том, когда оно было сотворено либо в последний раз изменено.

Можно держать под контролем, будет ли HTTP и FTP содержимое кэшироваться в особом месте предназначения, также задавать политики истечения срока для HTTP и FTP объектов. Можно также держать под контролем включение и отключение кэширования для SSL контента.

Так как SSL содержимое часто содержит уязвимые данные (вот поэтому они защищены средством SSL), в целях более высочайшего уровня безопасности лучше не включать кэширование для такового типа контента.

Если у вас есть несколько правил кэширования, они будут представлены в порядке от первого к последнему, при всем этом стандартное правило будет обрабатываться после всех пользовательских. Стандартное правило создается автоматом во время установки ISA. Оно настроено на получение только реальных объектов из КЭШа, и на получение объектов из веба, если в КЭШе отсутствуют запрашиваемые объекты.

Функция загрузки контента

Функция загрузки содержимого употребляется для планирования ISA на загрузку нового содержимого из веба в предустановленное время, чтоб, когда интернет прокси клиенты запрашивают эти объекты, их освеженные версии находились в КЭШе. Это увеличивает производительность и позволяет клиентам получать самое свежее содержимое резвее.

Можно создавать мониторинг доступа в веб и его использования для определения того, какие веб-сайты юзеры посещают более нередко, чтоб знать, какое содержимое будет запрашиваться в дальнейшем. Потом можно настроить задачки планировщика загрузки содержимого подходящим образом. Задачку загрузки контента можно настроить на повторяющуюся загрузку одной странички (URL), нескольких страничек либо всего веб-сайта. Можно также указывать, по скольким ссылкам необходимо перейти при загрузке веб-сайта. Можно настроить ISA на кэширование даже тех объектов, которые помечены в качестве не подлежащих кэшированию в заголовках управления КЭШем. Но задачки планировщика загрузки контента не будут производиться, если интернет сервер, на котором хранится объект, просит клиентской аутентификации.

Чтоб пользоваться этой функцией, нужно включить группу конфигурации системной политики для задач запланированной загрузки контента (Scheduled Content Download Jobs), а потом настроить задачку загрузки содержимого.

Когда вы включаете группу конфигурации системной политики для Schedule Content Download Jobs, это принуждает ISA перекрыть неаутентифицированный HTTP трафик с локального хоста (сервера ISA) ‘ даже если у вас настроено другое правило, позволяющее таковой трафик. Есть прием, позволяющий разрешить таковой трафик и в то же время использовать задачки загрузки контента. Он включает создание правила для разрешения HTTP доступа для Всех сетей и позволяет быть уверенным в том, что другое правило, имеющее более высочайший ценность, настроено на разрешение HTTP доступа с локального узла.

Управление кэшированием средством HTTP заголовков

Существует два разных фактора, влияющих на то, как кэшируется HTTP (интернет) контент. Конфигурация сервера кэширования является одним фактором, но интернет мастера могут также помещать информацию в содержимое и заглавия, которая гласит о том, как их веб-сайты и объекты должны кэшироваться.

Мета теги представляют собой команды в HTML коде документа, указывающие истечение срока HTTP либо статус невозможности кэширования, но они обрабатываются только КЭШами обозревателей, а не прокси КЭШами. Но HTTP заглавия обрабатываются прокси КЭШами и КЭШами обозревателей. Они не вписываются в HTML код; они настраиваются на интернет сервере и отправляются интернет сервером до того, как отчаливает содержимое HTML.

HTTP 1.1 поддерживает категорию заголовков под заглавием заглавия ответов управления КЭШем. Используя эти заглавия, интернет разработчики могут управлять такими вещами как:

Наибольший возраст (наибольшее количество времени, в течение которого объект считается реальным, основываясь на времени запроса)
Возможность кэширования
Требования возобновления статуса реальности (Revalidation requirements)

ETags и Last-Modified заглавия генерируются интернет сервером и употребляются для доказательства того, является ли объект свежайшим.

В службе Microsoft Internet Information Services заглавия ответов управления КЭШем настраиваются во вкладке HTTP Headers страничек параметров интернет веб-сайтов либо интернет страничек.

ISA не кэширует ответы на запросы, содержащие определенные HTTP заглавия. Сюда входят:

Cache-control: no-cache response header (кэш-контроль: заголовок ответа без КЭШа)
Cache-control: private response header (кэш-контроль: заголовок личного ответа)
Pragma: no-cache response header
www-authenticate response header (заголовок ответа аутентификации)
Set-cookie response header (заголовок ответа установки кукисов)
Cache-control: no-store request header (кэш-контроль: заголовок ответа с невыполнимостью хранения)
Заголовок ответа авторизации – Authorization request header (кроме варианта, когда интернет сервер также посылает cache-control: public response header (кэш-контроль: заголовок общественного ответа))

Заключение

В этой статье мы разглядели часть брандмауэра ISA, о которой мало сказано ‘ функция интернет кэширования в брандмауэре. Можно использовать брандмауэр ISA как совместное устройство интернет кэширования и брандмауэр, либо даже использовать брандмауэр только в качестве устройства интернет кэширования. Независимо от того, как вы решите устанавливать брандмауэр, ваш брандмауэр ISA может кэшировать интернет содержимое для роста и ускорения производительности веба для ваших конечных юзеров.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.