在基於客戶與伺服器的通信模型中,加入一個代理機構,這個代理機構就像一個防洪閘,對客戶和伺服器之間互動的信息做安全評估和處理,及時發現安全隱患或攻擊,保障客戶和伺服器之間的通信安全。
基本介紹
- 中文名:安全代理
作用,套用,
作用
在網路購物時的付款方式,是買方先將貨款支付給一個有信用的、安全的中間平台,買方確認收到貨物後,再通知中間平台將貨款支付給賣方。在這個過程中,中間平台就起到了“安全代理”的作用。
類似地,在網路安全技術中也有安全代理的概念。“客戶/伺服器”模式是常用的通信互動模式,例如我們訪問某個網站時,個人電腦是客戶端,網站伺服器就是提供各種套用功能的伺服器端。為了避免在“客戶/伺服器”模式下雙方互動的信息被泄露、欺騙和篡改,通常在客戶與伺服器之間加入一個代理機構。這個代理機構就像一個防洪閘,對客戶和伺服器之間互動的信息做安全評估和處理,及時發現安全隱患或攻擊,保障客戶和伺服器之間的通信安全。
通信中的安全代理所處的位置如圖所示。
用戶可能無法感知到安全代理的存在,但是它卻是網路安全強有力的衛士,隨著軟硬體技術的提高和不同形態代理系統的出現,保衛網路安全的這面盾牌也越加堅實。
套用
最為常見的一種安全代理就是防火牆。防火牆在內部網路和外部網路之間構築起了一道安全螢幕障,限制外部對內部網路的非法訪問並限制內部非法信息向外泄露,只有那些經過安全策略允許的流量才能通過防火牆。除防火牆外,路由器也是常見的網路代理設備。
防火牆和路由器是一種硬體形式的安全代理,其實完成安全代理功能的也可以是一套運行在伺服器上的軟體集合。安全代理系統上運行了多種代理技術,主要完成以下功能:
- 訪問網路資格審核
安全代理就像閘刀一樣,對流經它的流量進行身份認證,只有擁有合法許可權的用戶才能通過安全代理。
- 各類安全策略的監測和執行
根據具體的網路環境和安全要求,網路管理員可以定義豐富的安全策略,安全代理則按照規定好的安全策略來執行。這些安全策略例如有:
- 只允許11:00~13:00時間段,員工能訪問Internet;或只允許個別部門訪問Internet。
- 在員工PC缺少系統安全補丁或沒有更新病毒庫時予以提示。
- 只允許外部人員訪問內部的個別主機等。
- 對通信雙方的連線埠或套用進行隔斷,避免某些套用的使用,例如嚴禁使用QQ、BT類軟體等。
- 入侵檢測和告警
較為高級的安全代理系統,具有入侵檢測功能,能對可疑信息進行收集和分析,從中發現網路或系統中是否有違反?>安全策略的行為和被攻擊的跡象,並及時通知給網路管理員。
- 對數據進行加密和解密
在有些時候,安全代理系統需要對網路中傳輸的敏感信息進行各類加密,避免被竊聽和篡改,例如身份驗證信息、計費信息等。
- 審計用戶的上網行為
監控和記錄用戶的上網行為,可作為事後取證用。