KNOW INTUIT, Лекция, Прокси сървъри

Прокси сървър (известен също като шлюз за приложения) е приложение, което действа като посредник за трафик между надеждна мрежа и ненадеждна мрежа. Това не премахва необходимостта от защитна стена за контрол на трафика на IP слоя, за да не се осигури защитна стена на приложния слой.

5.1 Дефиниция на прокси

Думата "прокси", подобно на много други английски думи, които са станали популярни компютърни термини, може да е загубила първоначалното си значение за някои от нас. Според речника прокси е някой (или нещо), упълномощен да действа от името на своя клиент и да „доставя“ определени артикули на клиента.

Можете да мислите за медиатора като за пълномощник или посланик, който е назначен да бъде някъде, където неговият клиент не може (или предпочита да не) да присъства директно поради причини за неудобство или сигурност. Посланиците обикновено знаят местния език и обичаи, могат да преобразуват несъвършената заявка на клиента във форма, която е местно приемлива в друга зона, и разбира се могат да преведат обратно отговора, който получават. От компютърна гледна точка такъв „посланик“ може да получава https заявки на порт 443 и да ги превежда в http заявки на порт 80.

Прокситата, в по-ежедневни, практически компютърни термини, са процеси, изпълнявани на компютри, на които обикновено се предоставя достъп (чрез защитна стена) до повече от една зона. Именно тази способност ги прави полезни. Обикновено проксито просто ще работи от името на своя потребител на мястото на припокриването на зоната (в изображението на приложението), като прави и получава нещо от зона, която иначе не би имала право да се свързва или да иска нещо от индивидпроцеси и потребители от друга зона.

От друга страна, пълномощниците могат да се разглеждат от гледна точка на „човека по средата“. Както видяхме в предишни лекции, една от основните концепции на глобалната сигурност (не само в криптографията) е концепцията за атака "(лош) човек по средата", която се състои в прихващане и препредаване на информация, предавана между две страни от трета, неканена, "лоша" страна.

Прокситата могат да се възприемат като „добри“ приемници (слушатели) на информация или като „хора по средата“. Това означава, че те прихващат информация, предават я по-нататък, но с някаква предварително определена и полезна цел за мрежовата инфраструктура.

5.2 Процес на мрежово посредничество

Обикновено компютърният прокси е основният сървърен процес. Този сървърен процес е слушател, който "слуша" конкретен порт (наричан още bind), чакайки заявки по конкретен протокол. Когато се установи връзка с клиент и се получи валидна заявка, той ще „опита отново“ тази заявка към друг сървър от името на клиента, както е определено в неговите правила за този тип заявка. Когато се получи отговор от сървъра, проксито предава този отговор обратно на потребителския или клиентския процес, който преди това е направил заявката, като прилага всички необходими трансформации.

Казано просто, проксита всъщност съществуват в много различни продукти. Например, повечето портални технологии, които са лесно достъпни днес, изискват съдържание от името на потребителя и го сглобяват в отделен „портален изглед“. Друг пример за прокси е "преминаването" на Notes, което съществува в Lotus Notes от няколко години и позволява отдалечен достъп до среди на Notes напрез ранните години на интернет. По-късно в този раздел обаче ще се съсредоточим върху проксита като самостоятелни продукти, тъй като най-често използваната най-добра практика днес е използването на самостоятелни прокси услуги.

5.3 Типове прокси

Този раздел дефинира различните видове проксита на пазара, които се използват в общи инфраструктури. Както беше посочено по-рано, често хардуерът, предоставен за проксииране, действително изпълнява или поддържа много видове прокси услуги. Например, прокси сървърът може да осигури възможности за кеширане и удостоверяване в допълнение към основната функция за предоставяне на мрежово посредничество на приложения. Ние обаче ще третираме тези ключови прокси функции като отделни типове прокси за улеснение на по-нататъшното обсъждане.

Ключовите типове проксита, които дефинираме и обсъждаме в този раздел, са:

  • проксита за пренасочване (проксита за пренасочване);
  • прозрачни проксита (прозрачни проксита);
  • кеширане на проксита;
  • проксита за сигурност;
  • обратни проксита ( обратни проксита ).
5.3.1 Препращане на проксита

Проксито за препращане е прокси, което помага на потребителите в една зона за сигурност да правят заявки за съдържание от „следващата“ зона, следвайки посока, която обикновено (но не непременно) е изходяща (което означава, че клиентът е вътре, а сървърът е някъде в отворения Интернет).

От гледна точка на сигурността, простият прокси има за цел да осигури сигурност, като скрие името (от гледна точка на топологията на вътрешната мрежа) на работната станция или процеса на искащия потребител. Може също да се прилагаза да скриете някои други атрибути на потребителска сесия.

Типичен пример за този тип са корпоративните проксита, които обслужват вътрешни потребители, като им позволяват достъп до външни сайтове за сърфиране в мрежата или друг вид взаимодействие с интернет.

От топологична гледна точка (както в общ смисъл, така и по отношение на честотната лента), препращащите прокси сървъри винаги са относително ограничени по отношение на скоростта на мрежата спрямо техните потребители поради по-бавната WAN връзка, която обикновено отделя препращащия прокси сървър от действителното съдържание в Интернет.

5.3.2 Прозрачни проксита

Прозрачните проксита са проксита, които „са тук“, но не казват изрично на потребителите, че са тук. Препращащите проксита обикновено имат Linux/UNIX блокове, които слушат целия трафик по определен протокол за определен мрежов сегмент и прихващат трафика, въпреки че потребителският процес всъщност не е наясно с тяхното съществуване. Всъщност потребителският процес не комуникира с проксито, а комуникира с друг (краен) сайт, а проксито по същество се превръща в „човека по средата“, който „хаква“ връзката.

Можете да имате декларирани, непрозрачни прокси сървъри, които автоматично се декларират, конфигурират или откриват. Независимо как са декларирани, тези прокси сървъри са видими и известни на искащия потребител или процес. С други думи, няма значение как вие или вашият процес сте разбрали за съществуването на прокси, какви са причините, поради които сте научили за съществуването на прокси и че говорите с прокси.

Самите прозрачни проксита всъщност не са типпрокси, по-скоро всяко прокси е или прозрачно, или декларирано по дизайн.

5.3.3 Кеширане на проксита

Кеширащите проксита, както показва името им, са проксита, които са конфигурирани да използват повторно изображения на кеширано съдържание, когато са налични и е възможно. Когато предварително кеширано съдържание не е налично, то се извлича и използва в съдържанието, но също и с опит за кеширането му.

Най-важният аспект за кеширане на проксита е необходимостта да се гарантира, че кеширащите проксита кешират само това, което действително може да бъде кеширано. Динамичното, редовно променящо се съдържание не е добър избор за кеширане, тъй като може да повлияе на стабилността на приложение, базирано на това съдържание. В случай на HTTP съдържание, HTTP заглавките отразяват възможността за кеширане на съдържанието чрез "кеш" указатели.

В повечето случаи препращащите прокси сървъри също са конфигурирани да действат като кеширащи прокси сървъри. Това явление се използва толкова често, че IBM го включи в името на компонент на своя Edge Server: IBM Caching Proxy. На фиг. Фигура 5.1 показва типичен прокси сървър за пренасочване и кеширане.

know

5.3.4 Прокси за сигурност

Има много различни продукти и предложения и много топологии, от които да избирате, но по отношение на изпълнението на прокси функции, сигурността е допълнителна функция, която проксито може да изпълнява.

В повечето случаи функционалността за защита може да бъде добавена към стандартен прокси сървър като добавка (например добавката IBM Tivoli WebSeal за IBM WebSphere Edge Server). Също така имасамостоятелни продукти, като IBM Tivoli Access Manager за e-Business, които служат само като прокси за сигурност.

Повече информация за тези проксита за сигурност може да се намери в Раздел 4.1.6, Системи за удостоверяване на предприятието и контрол на достъпа.