透明代理

透明代理

透明代理的意思是客戶端根本不需要知道有代理伺服器的存在,它改變你的request fields(報文),並會傳送真實IP,多用於路由器的NAT轉發中。注意,加密的透明代理則是屬於匿名代理,意思是不用設定使用代理了,例如Garden 2程式。

基本介紹

  • 中文名:透明代理
  • 類別:代理伺服器
防火牆的透明模式,代理伺服器,代理伺服器的分類,HTTP代理按匿名功能分類,按請求信息的安全性分類,按代理伺服器的用途分類,

防火牆的透明模式

隨著防火牆技術的發展,安全性高、操作簡便、界面友好的防火牆逐漸成為市場熱點。在這種情況下,可以大大簡化防火牆設定、提高安全性能的透明模式和透明代理就成為衡量產品性能的重要指標。於是在推薦產品的過程中,很多廠商往往會介紹自己的產品實現了透明模式和透明代理。那么究竟什麼是透明模式和透明代理呢?他們之間又有何關係呢?下面我們將做具體分析。 透明模式,顧名思義,首要的特點就是對用戶是透明的(Transparent),即用戶意識不到防火牆的存在。要想實現透明模式,防火牆必須在沒有IP位址的情況下工作,不需要對其設定IP位址,用戶也不知道防火牆的IP位址。
防火牆作為實際存在的物理設備,其本身也起到路由的作用,所以在為用戶安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適套用戶的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無IP方式運行,用戶將不必重新設定和修改路由,防火牆就可以直接安裝和放置到網路中使用,如交換機一樣不需要設定IP位址。
透明模式的防火牆就好象是一台網橋(非透明的防火牆好象一台路由器),網路設備(包括主機、路由器、工作站等)和所有計算機的設定(包括IP位址和網關)無須改變,同時解析所有通過它的數據包,既增加了網路的安全性,又降低了用戶管理的複雜程度。
而與透明模式在稱呼上相似的透明代理,和傳統代理一樣,可以比包過濾更深層次地檢查數據信息,比如FTP包的port命令等。同時它也是一個非常快的代理,從物理上分離了連線,這可以提供更複雜的協定需要,例如帶動態連線埠分配的H.323,或者一個帶有不同命令連線埠和數據連線埠的連線。這樣的通信是包過濾所無法完成的。
防火牆使用透明代理技術,這些代理服務對用戶也是透明的,用戶意識不到防火牆的存在,便可完成內外網路的通訊。當內部用戶需要使用透明代理訪問外部資源時,用戶不需要進行設定,代理伺服器會建立透明的通道,讓用戶直接與外界通信,這樣極大地方便了用戶的使用。
一般使用代理伺服器時,每個用戶需要在客戶端程式中指明要使用代理,自行設定Proxy參數(如在瀏覽器中有專門的設定來指明HTTP或FTP等的代理)。而透明代理服務,用戶不需要任何設定就可以使用代理伺服器,簡化了網路的設定過程。
透明代理的原理如下:假設A為內部網路客戶機,B為外部網路伺服器,C為防火牆。當A對B有連線請求時,TCP連線請求被防火牆截取並加以監控。截取後當發現連線需要使用代理伺服器時,A和C之間首先建立連線,然後防火牆建立相應的代理服務通道與目標B建立連線,由此通過代理伺服器建立A 和目標地址B的數據傳輸途徑。從用戶的角度看,A和B的連線是直接的,而實際上A 是通過代理伺服器C和B建立連線的。反之,當B對A有連線請求時原理相同。由於這些連線過程是自動的,不需要客戶端手工配置代理伺服器,甚至用戶根本不知道代理伺服器的存在,因而對用戶來說是透明的。

代理伺服器

代理伺服器可以做到內外地址的轉換,禁止內部網的細節,使非法分子無法探知內部結構。代理伺服器提供特殊的篩選命令,可以禁止用戶使用容易造成攻擊的不安全的命令,從根本上抵禦攻擊。
防火牆使用透明代理技術,還可以使防火牆的服務連線埠無法探測到,也就無法對防火牆進行攻擊,大大提高了防火牆的安全性與抗攻擊性。透明代理避免了設定或使用中可能出現的錯誤,降低了防火牆使用時固有的安全風險和出錯機率,方便用戶使用。
因此,透明代理與透明模式都可以簡化防火牆的設定,提高系統安全性。但兩者之間也有本質的區別:工作於透明模式的防火牆使用了透明代理的技術,但透明代理並不是透明模式的全部,防火牆在非透明模式中也可以使用透明代理。值得注意的是,雖然國內市場上很多防火牆產品都可提供透明代理訪問機制,但真正實現透明模式的卻不多——有很多廠商都宣稱自己的防火牆產品實現了透明模式,但在實際套用中,他們往往做不到這一點,而只是實現了透明代理。當然,市場上也有很多產品能真正提供透明模式,如Netscreen、東方龍馬、清華紫光等防火牆產品。

代理伺服器的分類

HTTP代理按匿名功能分類

是否具有隱藏IP的功能。
非匿名代理:不具有匿名功能。
匿名代理。使用此種代理時,雖然被訪問的網站不能知道你的IP位址,但仍然可以知道你在使用代理,有些偵測ip的網頁也仍然可以查到你的ip
高度匿名代理:使用此種代理時,被訪問的網站不知道你的IP位址,也不知道你在使用代理進行訪問。此種代理的隱藏。

按請求信息的安全性分類

全匿名代理:不改變你的request fields(報文),使伺服器端看來就像有個真正的客戶瀏覽器在訪問它。當然,你的真實IP是隱藏起來的。伺服器的網管不會認為你使用了代理。
普通匿名代理:能隱藏你的真實IP,但會更改你的request fields,有可能會被認為使用了代理,但僅僅是可能,一般說來是沒問題的。不過不要受它的名字的誤導,其安全性可能比全匿名代理更高,有的代理會剝離你的部分信息(就好比防火牆的stealth mode),使伺服器端探測不到你的作業系統版本和瀏覽器版本。
elite代理,匿名隱藏性更高,可隱藏系統及瀏覽器資料信息等。此種代理安全性特強。
透明代理(簡單代理):透明代理的意思是客戶端根本不需要知道有代理伺服器的存在,它改編你的request fields(報文),並會傳送真實IP。注意,加密的透明代理則是屬於匿名代理,意思是不用設定使用代理了,例如Garden 2程式。

按代理伺服器的用途分類

Http代理:代理客戶機的http訪問,主要代理瀏覽器訪問網頁,它的連線埠一般為80、8080、3128等。
SSL代理:支持最高128位加密強度的http代理,可以作為訪問加密網站的代理。加密網站是指以https://開始的網站。ssl的標準連線埠為443。
HTTP CONNECT代理:允許用戶建立TCP連線到任何連線埠的代理伺服器,這種代理不僅可用於HTTP,還包括FTP、IRC、RM流服務等。
FTP代理:代理客戶機上的ftp軟體訪問ftp伺服器,其連線埠一般為21、2121。
POP3代理:代理客戶機上的郵件軟體用pop3方式收郵件,其連線埠一般為110。
Telnet代理:能夠代理通信機的telnet,用於遠程控制,入侵時經常使用。其連線埠一般為23。
Socks代理:是全能代理,就像有很多跳線的轉接板,它只是簡單地將一端的系統連線到另外一端。支持多種協定,包括http、ftp請求及其它類型的請求。它分socks 4 和socks 5兩種類型,socks 4隻支持TCP協定而socks 5支持TCP/UDP協定,還支持各種身份驗證機制等協定。其標準連線埠為1080。
TUNNEL代理:經HTTPTunnet程式轉換的數據包封裝成http請求(Request)來穿透防火牆,允許利用HTTP伺服器做任何TCP可以做的事情,功能相當於Socks5。
文獻代理:可以用來查詢資料庫的代理,通過這些代理,可以獲得網際網路的相關科研學術的資料庫資源,例如查詢Sciencedirect網站(簡稱SD)、Academic Press、IEEE,SPRINGER等資料庫。
教育網代理:指學術教育機構區域網路通過特定的代理伺服器可使無出國許可權或無訪問某IP段許可權的計算機訪問相關資源。
跳板代理:套用於跳板程式,可以看作一種具有動態加密的特殊socks5代理,也可直接用於PSD軟體。其連線埠一般為1813。
Ssso代理:代理客戶機上的ssso程式訪問遠程網站,具有SSL加密強度的超級代理,支持socks。
Flat代理:代理客戶機上的flatsurfer程式訪問遠程網站,具有高強度加密數據流的特殊代理,支持socks,最大可設定三次級聯,可以設定穿越代理。其連線埠一般為6700。
SoftE代理:代理客戶機上的SoftEther程式訪問遠程網站,套用虛擬集線器HUB和虛擬網卡技術,具備VPN功能及多種認證方式的代理,符合https協定。

相關詞條

熱門詞條

聯絡我們