更新时间:2023-03-15 17:51
应用代理(Application Proxy)技术是指在web服务器上或某一台单独主机上运行代理服务器软件,对网络上的信息进行监听和检测,并对访问内网的数据进行过滤,从而起到隔断内网与外网的直接通信的作用,保护内网不受破坏。在代理方式下,内部网络的数据包不能直接进入外部网络,内网用户对外网的访问变成代理对外网的访问。同样,外部网络的数据也不能直接进入内网,而是要经过代理的处理之后才能到达内部网络。所有通信都必须经应用层代理软件转发,应用层的协议会话过程必须符合代理的安全策略要求,因此在代理上就可以实现访问控制、网络地址转换(NAT)等功能。
应用代理技术又称代理服务器(Proxy Service)技术,代理服务器的实质就是代理网络用户去取得网络信息。形象地说,它是网络信息的中转站。
代理服务器系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机,与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。
由于内部网络和外部网络在网络层是断开的,所以要实现内外网络之间的应用通信就必须在应用层之上。代理服务器系统工作在应用层,是客户机和真实服务器之间的中介,代理系统完全控制客户机和真实服务器之间的流量,并对流量情况加以记录。
在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,是直接联系到目的站点服务器,然后由目的站点服务器把信息传它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。大部分代理服务器都具有缓冲的功能,就好像一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率。
应用代理实现如下功能:
1.检查包内容。
2.根据IP地址、时间、服务类型允许或否定连接。
3.监视FTP、HTTP等服务的方向。
4.记录所有的会话数据。
5.提供自动地址隐藏。
应用代理,尽管是高效的,它对某些IP级或网络级的攻击仍是软弱的。当实现VPN时,基于这种结构的防火墙也应包括某种包过滤的机制以防止从已暴露IP地址的VPN通道发起的攻击。
(1)应用代理易于配置。因为代理是一个软件,所以比过滤路由器容易配置。如果代理实现得好,可以对配置协议要求较低,从而避免了配置错误。
(2)应用代理能生成各项记录。因代理在应用层检查各项数据,所以可以按一定准则让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。
(3)应用代理能灵活、完全地控制进出信息。通过采取一定的措施,按照一定的规则,可以借助代理实现一整套的安全策略,控制进出信息。
(4)应用代理能过滤数据内容。可以把一些过滤规则应用于代理,让它在应用层实现过滤功能。
(1)应用代理速度比路由器慢。路由器只是简单查看包头信息,不作详细分析、记录:而代理作作于应用层,要检查数据包的内容,按特定的应用协议对数据包内容进行审查、扫描,并转发清求或响应,故其速度比路由器慢。
(2)应用代理对用户不透明。许多代理要求客户端作相应改动或定制,因而增加了不透明度。为内部网络的每一台主机安装和配置特定的客户端软件既耗费时间,又容易出错。
(3)对于每项服务,应用代理可能要求不同的服务器。因此可能需要为每项协议设置一个不同的代理服务器,挑选、安装和配置所有这些不同的服务器是一项繁重的工作。
(4)应用代理服务通常要求对客户或过程进行限制。除了一些为代理而设置的服务外,代理服务器要求对客户或过程进行限制,每一种限制都有不足之处,人们无法按他们自己的步骤工作。由于这些限制,代理应用就不能像非代理应用那样灵活运用。
(5)应用代理服务受协议弱点的限制。每个应用层协议,都或多或少存在一些安全隐患,对于一个代理服务器来说,要彻底避免这些安全隐患几乎是不可能的,除非关掉这些服务。
(6)应用代理不能改进底层协议的安全性。