套用代理(Application Proxy)技术是指在web伺服器上或某一台单独主机上运行代理伺服器软体,对网路上的信息进行监听和检测,并对访问区域网路的数据进行过滤,从而起到隔断区域网路与外网的直接通信的作用,保护区域网路不受破坏。在代理方式下,内部网路的数据包不能直接进入外部网路,区域网路用户对外网的访问变成代理对外网的访问。同样,外部网路的数据也不能直接进入区域网路,而是要经过代理的处理之后才能到达内部网路。所有通信都必须经套用层代理软体转发,套用层的协定会话过程必须符合代理的安全策略要求,因此在代理上就可以实现访问控制、网路地址转换(NAT)等功能。
| 中文名称 | 套用代理 |
| 英文名称 | application proxy |
| 定 义 | 通过对每种套用服务编制专门的代理程式,实现对套用层通信流的监视和控制的技术。 |
| 套用学科 | 通信科技(一级学科),网路安全(二级学科) |
基本介绍
- 中文名:套用代理
- 外文名:Application Proxy
简述
套用代理技术又称代理伺服器(Proxy Service)技术,代理伺服器的实质就是代理网路用户去取得网路信息。形象地说,它是网路信息的中转站。
代理伺服器系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机,与双宿主机相连的外部网路与内部网路之间在网路层是被断开的。这样做的目的是使外部网路无法了解内部网路的拓扑。
由于内部网路和外部网路在网路层是断开的,所以要实现内外网路之间的套用通信就必须在套用层之上。代理伺服器系统工作在套用层,是客户机和真实伺服器之间的中介,代理系统完全控制客户机和真实伺服器之间的流量,并对流量情况加以记录。
在一般情况下,我们使用网路浏览器直接去连线其他Internet站点取得网路信息时,是直接联繫到目的站点伺服器,然后由目的站点伺服器把信息传它之后,浏览器不是直接到Web伺服器去取回网页而是向代理伺服器发出请求,信号会先送到代理伺服器,由代理伺服器来取回浏览器所需要的信息并传送给你的浏览器。大部分代理伺服器都具有缓冲的功能,就好像一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那幺它就不重新从Web伺服器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显着提高浏览速度和效率。
功能
套用代理实现如下功能:
1.检查包内容。
2.根据IP位址、时间、服务类型允许或否定连线。
3.监视FTP、HTTP等服务的方向。
4.记录所有的会话数据。
5.提供自动地址隐藏。
套用代理,儘管是高效的,它对某些IP级或网路级的攻击仍是软弱的。当实现VPN时,基于这种结构的防火墙也应包括某种包过滤的机制以防止从已暴露IP位址的VPN通道发起的攻击。
优点
(1)套用代理易于配置。因为代理是一个软体,所以比过滤路由器容易配置。如果代理实现得好,可以对配置协定要求较低,从而避免了配置错误。
(2)套用代理能生成各项记录。因代理在套用层检查各项数据,所以可以按一定準则让代理生成各项日誌、记录。这些日誌、记录对于流量分析、安全检验是十分重要和宝贵的。
(3)套用代理能灵活、完全地控制进出信息。通过採取一定的措施,按照一定的规则,可以藉助代理实现一整套的安全策略,控制进出信息。
(4)套用代理能过滤数据内容。可以把一些过滤规则套用于代理,让它在套用层实现过滤功能。
缺点
(1)套用代理速度比路由器慢。路由器只是简单查看包头信息,不作详细分析、记录:而代理作作于套用层,要检查数据包的内容,按特定的套用协定对数据包内容进行审查、扫描,并转发清求或回响,故其速度比路由器慢。
(2)套用代理对用户不透明。许多代理要求客户端作相应改动或定製,因而增加了不透明度。为内部网路的每一台主机安装和配置特定的客户端软体既耗费时间,又容易出错。
(3)对于每项服务,套用代理可能要求不同的伺服器。因此可能需要为每项协定设定一个不同的代理伺服器,挑选、安装和配置所有这些不同的伺服器是一项繁重的工作。
(4)套用代理服务通常要求对客户或过程进行限制。除了一些为代理而设定的服务外,代理伺服器要求对客户或过程进行限制,每一种限制都有不足之处,人们无法按他们自己的步骤工作。由于这些限制,代理套用就不能像非代理套用那样灵活运用。
(5)套用代理服务受协定弱点的限制。每个套用层协定,都或多或少存在一些安全隐患,对于一个代理伺服器来说,要彻底避免这些安全隐患几乎是不可能的,除非关掉这些搬务。
(6)套用代理不能改进底层协定的安全性。
