防火墙系列连载之七—代理服务的技术

核心提示：代理只允许单个主机或供此类服务，代理服务的条的主机的代理，防火墙系列连载之七—代理服务的技术，这样使得一少数主机提供因特网访问服务,件是:具有访问因特网能力的主些不能访问因特网的主机也可以它不允许所有的主机均能为用户提机才可以作为那些无权访问因特网完成访问因特网的工作，代理服务是在双重宿主与用户交谈的主机同样也可替直接

代理只允许单个主机或 供此类服务。代理服务的条 的主机的代理，这样使得一

少数主机提供因特网访问服务, 件是:具有访问因特网能力的主 些不能访问因特网的主机也可以

它不允许所有的主机均能为用户提 机才可以作为那些无权访问因特网 完成访问因特网的工作。

代理服务是在双重宿主 与用户交谈的主机同样也可 替直接与外部因特网中的服 哪些请求允许传送而哪些应 务器进行交谈，并将从客户

主机或堡垒主机上可以运行具有 以与外界交谈，这些用户的客户 务器的“真正的”交谈。代理服 被拒绝。当某个请求被允许时， 端来的请求传送给真实服务器，

一个特殊协议或一组协议。一些能 程序可以与该代理服务器交谈来代 务器判断从客户端来的请求并决定 代理服务器就代表客户与真正的服 将真实服务器的回答传送给客户。

对用户来说，与代理服 ，它是在与运行代理服务器

务器交谈就好象与真实的服务器 的主机上的用户在交谈，而并不

交谈一样，而对真实的服务器来说 知道用户的真实所在。

作为代理服务不需任何特殊硬件，但对于大多数服务来说要求专门的软件。

代理服务只是在客户和服务器之间限 重宿主主机。如果在客户与真实服务器之 。

制IP通信的时候才起作用的，如一个屏蔽路由器或双 间存在IP级连通的话，那么客户就可以绕过代理系统

对于代理服务，我们重点讨论以下四点内容：

（1） 为什么要代理；

（2） 代理的优缺点；

（3） 代理是如何工作的；

（4） 代理服务器的使用。

一、 为什么要进行代理

如果你的用户不能访问Internet，那 所有主机都能自由的访问Internet，则在 现在已经提出一些方案来解决这个问题。

么与其连接就没有意义。另一方面，若你的系统中的 与Inernet网连接时将没有安全感。对于这种情况，

最为有效的办法是为你 案），因为这些主机对用户 不得不在双重宿主主机上登 种多步处理方法要使用户进

所有的用户提供一台主机与因特 来说是不透明的，那些想访问因 录，并从那里访问因特网，然后 行多次传送并且离开他们所熟悉

网连接（但这并不是令人满意的方 特网的用户将无法直接访问，他们 将结果送回到它们自己的主机，这 的环境。

对于一个具有多操作系统的站点来说 你的双重宿主主机是UNIX系统，而UNIX系 系统中的工具与你在自己的主机上使用的

情况将更糟糕，如果你的本地系统是Macintosh，而 统可能太陌生了。这样你将受到各种限制，因为UNIX 工具可能完全不同。

没有配置代理系统的双 所获得的效益。另外，它一 的主机。

重宿主主机对于利用它来访问因 般难以提供足够的安全机制来保

特网的用户来说，会大大降低他们 护系统，特别是对于要与外界连接

代理系统不会受到双重 来解决安全问题。代理系统 机上进行。由于用户很少与 认为自己是在直接访问因特

宿主主机不安全机制的影响，它 要求用户在后台与双重宿主主机 双重宿主主机进行交谈，所以用 网服务器。图1显示了代理系统

们通过与双重宿主主机的相互作用 进行交谈而不能直接在双重宿主主 户根本感觉不到代理的存在，他们 的实现过程。

代理系统通过避免用户 因为代理软件的运行不需要 得到了安全。人们无法不安

在双重宿主主机上登录和强迫通 用户登录到双重宿主主机，它所 装控制软件而访问因特网，代理

过控制软件连接来解决安全问题。 运行的主机由于没有随意地登录而 就是这样一个控制系统。

二、 代理服务的优点

1、代理服务有两个优点：

（1） 代理服务允许用户“直接”访问因特网。

采用双重宿主主机的方案，用户需要 不方便，有些用户就可能寻找其他方法来 接访问因特网。

登录到主机上才能访问因特网，这样会使用户感到很 通过防火墙。而采用代理服务，用户会认为他们是直

当然这需要在后台运行一些程序，但 们自己的系统访问因特网，但不允许数据 接的，或通过双重宿主主机，或通过一个

这对用户来讲是透明的。代理服务系统允许用户从他 包在用户系统和因特网之间直接传送。传送只能是间 堡垒主机和屏蔽路由器系统。

（2） 代理服务适合于做日志。

因为代理服务懂得优先 个FTP代理服务器只记录发 产生的日志就会小而有用。

协议，它们允许日志服务以一种 出的命令和服务器接收的回答，

特殊且有效的方式来进行。比如一 来代替记录所有的数据传输，这样

2、 代理服务的缺点

代理服务也有一些缺点，主要表现为：

（1） 代理服务落后于非代理服务

尽管代理软件已广泛应 某些新而少的服务使用的可 般会有一个较为明显的延迟 一个站点在提供一个新的服 能不放在防火墙内，这样一

用于一些老而旧的服务，如Teln 靠软件是很困难的。在一个服务 ，这个延迟时间的长短是依赖于 务时无法立刻提供代理服务，在 来就有安全漏洞产生。

et和FTP 等，但是要找到一些为了 出现和它的代理服务的出现之间一 为代理而设计的服务器的。这使得 可以使用代理服务之前，该服务只

（2） 每个代理服务要求不同的服务器

用户可能需要为每个协议配置不同的 许什么和不允许什么，并且要扮演一个角 服务器。因此选择、安装和配置这些不同

代理服务器，因为代理服务器需要按照协议来决定允 色，它对真实服务器来说是客户，对客户来说是真实 的代理服务器是一项复杂的工作。

软件产品和软件包在配 一个软件上就非常难。例如 配置是因为对如何使用它们 不合适的。

置的难易程度上是完全不同的， ，那些特别容易配置的服务器通 作了各种假定，这些假定对于你

在一个软件上很容易做的可能在另 常灵活性要差一些，它们能容易地 的站点来说可以是合适的也可以是

（3） 代理服务一般要求对客户或程序进行修改

除了一些专门为代理而 改都有其不足之处，人们无 没有非代理应用运行得那样 器要比非代理服务缺乏灵活

设计的服务外，代理服务器要求 法总是用正常的方式来进行工作 好，同时对于协议的理解也可能 性。

对客户或程序进行修改，每一种修 。因为这些修改，代理应用就可能 有偏差，并且一些客户程序和服务

（4） 代理服务对某些服务来说是不合适的

代理服务能否实现取决于能否在客户 交谈有相对的直接性。一个象talk这样复

和真实服务器之间插入代理服务器，这要求两者间的 杂的交谈可能永远无法进行代理。

（5） 代理服务不能保护你不受协议本身缺点的限制

作为一个确保安全的方 协议都能方便地作到这一点 这些不安全的操作系统就不

案，代理首先要判断对协议中哪 ，如X Window系统协议中就存在 能正常地运转了。

些操作是安全的，但并不是所有的 许多不安全的操作，并且假如禁止