移动安全 安全管理应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用案例 >

上网行为管理走出代理缓存误区

时间:2011-05-02 17:17来源: 点击:
从2004年中国第一台上网行为管理设备面世到现在,这个产品帮助千万的客户解决了质量差和工作质量不高的问题。如何能够正确地选择和利用好也是广大用户很关心的问题。
Tags代理缓存(10)  

  从2004年中国第一台上网行为管理设备面世到现在,这个产品帮助千万的客户解决了质量差和工作质量不高的问题。如何能够正确地选择和利用好也是广大用户很关心的问题。笔者会持续对上网行为管理技术和使用技巧做深度剖析,希望能够使得广大读者更深入地理解上网行为管理,同时避免一些使用误区。

  我们从一份资料开始:

  主角姓名:上网行为管理

  出生时间:2004年

  主要技能:身份确认、网页过滤、应用控制、流量控制、内容审计、数据挖掘

  辅助技能:代理缓存加速、客户端准入等

  工作成绩:省钱(提升工作效率、降低带宽资源浪费)

  省心(减少法律风险、减少信息泄密)

  省力(互联网问题定位缩减到5-10分钟以内)

  从哪里说起也是一个值得思考的事情。正好最近上网行为管理产品附属的代理缓存功能实现上网优化、上网安全的话题比较热门,因此就先从这一点做一些技术原理的较深入剖析,希望能够对广大用户正确地使用好代理缓存有所帮助,同时避免一些使用误区。

  代理缓存技术其实一直是上网行为管理产品的一个子功能,技术实现是在上网行为管理产品中开启一个简单的,对所有80端口的报文进行代理转发(包含可缓存的网页访问,也包含不可缓存的P2P 80端口借用技术),通过把对某个网页第一次访问的内容在设备当中,当以后再有相同的访问请求出现时,就能够直接从设备中读取该页面提供给本地访问者。

  直观看来这样的机理是能够提升网页的访问速度的,但由于代理固有的一些低性能特点,例如TCP端口级代理触发、4层拆包、存储转发等,也导致代理缓存的开启受制于严格的注意事项和特定条件,并不是放之四海而皆准的。

  为了能够让用户更好地利用好上网行为管理产品的缓存功能,特抽取了3个比较有代表性的认知误区进行分析,避免用户在开启代理缓存后达不到预期的效果。

  误区一:代理缓存比透明转发网关性能更高

  不少用户认为,既然代理缓存可以减少网外出请求的访问量,那么相同硬件型号下应该是代理缓存的性能更高、速度更快。

  我们从下图分析一下机理,结果会一目了然。

  可以看出,代理缓存型网关在处理同样数据时的开销比透明转发型网关要大得多。因此相同硬件平台下,代理缓存型网关的性能一定会差。并且由于透明代理的部署是串联在网路中,所有报文都要处理,网络中存在大量无效代理的P2P 80报文,会引起网关性能更加降低。

  因此:如果希望在网络中使用代理缓存型网关就需要在设备选型时比透明转发型网关的型号高1-2等级。这样才有可能避免由于设备开销增加导致的网速降低。

  误区二:在任何情况下代理缓存型网关都可以加速网络

  不少用户觉得既然缓存可以存储网页,那在任何情况下都应该是可以加速网络的。

  从缓存的固有参数看,有效加速依赖两个重要的指标:1、命中率 ;2、设备繁忙程度。

  1、人数少将导致命中率低、难以起到加速效果:如果一个单位的人数少(1000人以下),网页的广度就不可能很大;而由于人数不多,导致访问相同内容的几率也大大降低。从概率论的角度来阐述就是网页访问成离散的分布状态,命中率会很低。有些读者会问,人数虽然不多,但经过长时间的积累应该也可以有很丰富的缓存资源了,但是由于目前网页多采用动态页面,页面变化很快,缓存不能长期存储,生命周期最长也就是1天,甚至更短,因此很难实长期积累效果。这样的环境中很难感受到加速。

  2、串接方式代理多将导致设备繁忙、难以起到加速效果:串接方式下由于大量不可被代理缓存的应用会穿越设备并出发代理功能(例如P2P,股票,游戏,聊天),导致网关的繁忙程度会很高。并且目前的HTTP多采用短连接,也就是每次传送的内容很少,此时即便本地有缓存,很可能访问的速度也不一定比直接访问外部快。

  因此:人数较少的单位(1000人以下)需要谨慎采用缓存代理的方式。即便是1000人以上的单位,为了避免无法代理的大量业务穿越设备,引起设备繁忙,也不建议采用串接的透明代理方式,最好是采用旁路的指定代理部署。这样才不会导致设备因性能而降低网速。

  误区三:开启代理缓存后会更安全

  代理可以带来安全,但不是适合所有环境。透明代理模式下安全性实际得不到提升。

  我们分析一下机理:代理之所以安全是因为网络中的用户根本没有对外直接发送报文的路由。这样可被代理的报文由于代理的断开内外连接的特性实现了安全,不可被代理的风险行为报文由于没有路由外出,也无法引起风险。可以看出代理的安全和内网的组网及路由设定是很有关系的。

  下图阐述了要想通过代理实现安全的网络部署要求:

  因此:代理虽然可以提供安全,但只是在指定代理并且旁路方式部署,同时阻断默认路由的环境才会实现。建议用户要想实现安全应该猜也能够旁路的指定代理模式。

  除此之外,在代理缓存有效工作的情况下,笔者还有3个重要的建议:

  1、 代理开启后必须要正确配置路由,在内外网每次一路由变动后注意调整好代理设备的路由

  2、 用户访问的页面如果不是标准页面,可能产生代理错误,定位方法稍复杂,建议提前和设备提供商咨询清楚出现代理页面错误时应该如何定位。

  3、 由于动态网页更新频度很高,例如首页,缓存可能引起访问失真,建议合理调整好缓存的存在时间。

  2004年以来代理缓存技术就已经是上网行为管理产品的一个进行客户上网优化的附属功能之一。当用户具备大规模人群、更高型号硬件、合理的部署旁路的指定代理后,上网行为管理产品不仅可以管理好您的网络,也可以帮助您实现上网优化。希望本文的内容对您正确使用上网代理缓存的技术有所帮助,让缓存真正地帮助您实络加速和优化。

------分隔线----------------------------

推荐内容