L’ordre des objets Proxy dans les règles


Le proxy parcours les règles ACLs dans l’ordre de placement dans le tableau.

Lorsqu’il exécute une règle, le service proxy cherche le résultat de chaque objet proxy que vous avez ajouté dans la règle de façon séquentielle et dans l’ordre présenté.

Ainsi, chaque objet dont le résultat est positif permet au service proxy de calculer  l’objet suivant.

acl-ordre

Nous pouvons dire peut dire que les objets ajoutés dans les règles sont comme un « ET » : Si l’objet1 correspond et si l’objet2 correspond alors la règle est VRAI.  Si l’un des objets est FAUX alors le proxy passe à la règle suivante.

L’ordre des objets dans les règles est important car il va aussi conditionner la performance de votre proxy.

Il faut toujours évaluer la complexité de l’objet que vous désirez ajouter. Ceci afin de le mettre en dernier.

Prenons un cas:

Nous souhaitons interdire l’accès aux sites de vidéos pour les utilisateurs du groupe Active Directory « teachers »  si ils dépassent une consommation de bande passante de plus de 100MB dans la journée

Pour répondre à ce cas, 3 objets sont en cause:

  1. L’objet « Quota de bande passante » : 100MB/Jour
  2. L’objet « Catégories Artica » : audio-video
  3. L’objet Groupe Active directory : Teachers.

Bien entendu on peut mettre l’ensemble de ces objets dans le désordre. Puisque l’ensemble des objets doit être VRAI avant que la règle ne s’applique.

Pensez toujours à aider le service proxy à rejeter la règle au plus rapide.

Prenons le cas de cet ordre :

  1. L'objet "Quota de bande passante" : 100MB/Jour
  2. L'objet "Catégories Artica" : audio-video
  3. L'objet Groupe Active directory : Teachers.

Dans ce cas de figure, le proxy va d’abord calculer la bande passante de chaque site, puis vérifier la catégorie Artica pour chaque site web et finir par s’assurer que l’utilisateur fait bien partie du groupe « Teacher »

Cet exemple est le plus mauvais exemple car le proxy effectue un travail fastidieux à chaque requête.

Remettons les choses dans l’ordre :

  1. L'objet Groupe Active directory : Teachers.
  2. L'objet "Catégories Artica" : audio-video
  3. L'objet "Quota de bande passante" : 100MB/Jour

Dans ce cas si l’utilisateur ne fait pas partie du groupe « teachers », le proxy ne calcul pas les objets suivants.
Si le site web visité ne fait pas parti des sites classés comme audio-video alors le proxy ne calcul pas le dernier objet.

Cet ordre permet alors de rejeter au plus vite la règle et accélère donc ses performances.

C’est la raison pour laquelle des flèches sont proposées afin que vous puissiez régler l’ordre d’exécution des objets.

17-11-2014 01-30-35

 

 

Laissez un commentaire