代理服务器
本文约需 2 分钟阅读
代理 (Proxy) 是指位于客户端和服务器之间、中转通信的服务器。正如其表示「代理」的名称所示,它代替客户端发送请求并返回响应。它被用于多种目的,例如企业网络中的访问控制、通过缓存实现加速以及确保匿名性。与防火墙结合使用时,它便成为网络安全的重要组成部分。
正向代理与反向代理
正向代理
部署在客户端一侧,代替用户向外部服务器发送请求。它广泛用于企业的互联网接入,用于记录访问日志、内容过滤以及隐藏 IP 地址。
反向代理
部署在服务器一侧,将来自外部的请求分发到其后端的多台服务器。它用于负载均衡、 SSL 终结、缓存以及 DDoS 防护。 Nginx 和 Cloudflare 是其代表。
通信流程
企业中的应用
在企业网络中,正向代理承担着多种职责。通过内容过滤,它限制对不适合工作的网站的访问。通过记录全部通信的日志,它可用于调查信息泄露和合规审计。通过缓存功能,它加速对相同内容的重复访问并节省带宽。在远程办公的安全这篇文章中,也对来自公司外部的访问控制进行了讲解。
透明代理与显式代理
显式代理是一种在浏览器或应用程序中手动设置代理地址的方式。用户能够意识到代理的存在。另一方面,透明代理 (transparent proxy) 在网络设备层面自动中转通信,因此用户无需设置,也不会意识到代理的存在。在公共 Wi-Fi 或酒店网络中显示使用条款页面的强制门户 (captive portal) ,也是透明代理的一种。
与 VPN 的区别
| 观点 | 代理 | VPN |
|---|---|---|
| 加密 | 通常没有 (HTTPS 代理除外) | 加密全部通信 |
| 覆盖范围 | 特定应用 / 浏览器 | 整个设备的通信 |
| 速度 | 可通过缓存加速 | 存在加密开销 |
| 主要用途 | 过滤、缓存 | 通信保密、远程访问 |
在VPN 的基础与选择方法这篇文章中,详细讲解了 VPN 的工作原理与选型要点。
安全风险
由于代理是通信的中转点,经由恶意代理便存在中间人攻击的风险。在免费的代理服务中,有的会拦截通信内容以插入广告,或窃取认证凭据。如果是 HTTPS 通信,代理无法读取数据的内容,但具备 SSL 检测功能的企业代理会使用自有证书对 HTTPS 通信进行解密和再加密,因此能够检查通信内容。也请参考公共 Wi-Fi 的安全这篇文章。
现场使用案例
“我们在内部网络中部署了 Squid 代理,采集全部 HTTP/HTTPS 通信的日志。它有助于及早检测使用离职员工账户的非法访问,实际上我们检测到了 2 起可疑的对外发送。”
对于希望把握网络安全全貌的人,网络安全解说书 (Amazon)适合系统性学习。
这篇文章对您有帮助吗?