套用代理(Application Proxy)技術是指在web伺服器上或某一台單獨主機上運行代理伺服器軟體,對網路上的信息進行監聽和檢測,並對訪問區域網路的數據進行過濾,從而起到隔斷區域網路與外網的直接通信的作用,保護區域網路不受破壞。在代理方式下,內部網路的數據包不能直接進入外部網路,區域網路用戶對外網的訪問變成代理對外網的訪問。同樣,外部網路的數據也不能直接進入區域網路,而是要經過代理的處理之後才能到達內部網路。所有通信都必須經套用層代理軟體轉發,套用層的協定會話過程必須符合代理的安全策略要求,因此在代理上就可以實現訪問控制、網路地址轉換(NAT)等功能。
| 中文名稱 | 套用代理 |
| 英文名稱 | application proxy |
| 定 義 | 通過對每種套用服務編制專門的代理程式,實現對套用層通信流的監視和控制的技術。 |
| 套用學科 | 通信科技(一級學科),網路安全(二級學科) |
基本介紹
- 中文名:套用代理
- 外文名:Application Proxy
簡述,功能,優點,缺點,
簡述
套用代理技術又稱代理伺服器(Proxy Service)技術,代理伺服器的實質就是代理網路用戶去取得網路信息。形象地說,它是網路信息的中轉站。
代理伺服器系統一般安裝並運行在雙宿主機上。雙宿主機是一個被取消路由功能的主機,與雙宿主機相連的外部網路與內部網路之間在網路層是被斷開的。這樣做的目的是使外部網路無法了解內部網路的拓撲。
由於內部網路和外部網路在網路層是斷開的,所以要實現內外網路之間的套用通信就必須在套用層之上。代理伺服器系統工作在套用層,是客戶機和真實伺服器之間的中介,代理系統完全控制客戶機和真實伺服器之間的流量,並對流量情況加以記錄。
在一般情況下,我們使用網路瀏覽器直接去連線其他Internet站點取得網路信息時,是直接聯繫到目的站點伺服器,然後由目的站點伺服器把信息傳它之後,瀏覽器不是直接到Web伺服器去取回網頁而是向代理伺服器發出請求,信號會先送到代理伺服器,由代理伺服器來取回瀏覽器所需要的信息並傳送給你的瀏覽器。大部分代理伺服器都具有緩衝的功能,就好像一個大的Cache,它有很大的存儲空間,它不斷將新取得數據儲存到它本機的存儲器上,如果瀏覽器所請求的數據在它本機的存儲器上已經存在而且是最新的,那么它就不重新從Web伺服器取數據,而直接將存儲器上的數據傳送給用戶的瀏覽器,這樣就能顯著提高瀏覽速度和效率。
功能
套用代理實現如下功能:
1.檢查包內容。
2.根據IP位址、時間、服務類型允許或否定連線。
3.監視FTP、HTTP等服務的方向。
4.記錄所有的會話數據。
5.提供自動地址隱藏。
優點
(1)套用代理易於配置。因為代理是一個軟體,所以比過濾路由器容易配置。如果代理實現得好,可以對配置協定要求較低,從而避免了配置錯誤。
(2)套用代理能生成各項記錄。因代理在套用層檢查各項數據,所以可以按一定準則讓代理生成各項日誌、記錄。這些日誌、記錄對於流量分析、安全檢驗是十分重要和寶貴的。
(3)套用代理能靈活、完全地控制進出信息。通過採取一定的措施,按照一定的規則,可以藉助代理實現一整套的安全策略,控制進出信息。
(4)套用代理能過濾數據內容。可以把一些過濾規則套用於代理,讓它在套用層實現過濾功能。
缺點
(1)套用代理速度比路由器慢。路由器只是簡單查看包頭信息,不作詳細分析、記錄:而代理作作於套用層,要檢查數據包的內容,按特定的套用協定對數據包內容進行審查、掃描,並轉發清求或回響,故其速度比路由器慢。
(2)套用代理對用戶不透明。許多代理要求客戶端作相應改動或定製,因而增加了不透明度。為內部網路的每一台主機安裝和配置特定的客戶端軟體既耗費時間,又容易出錯。
(3)對於每項服務,套用代理可能要求不同的伺服器。因此可能需要為每項協定設定一個不同的代理伺服器,挑選、安裝和配置所有這些不同的伺服器是一項繁重的工作。
(4)套用代理服務通常要求對客戶或過程進行限制。除了一些為代理而設定的服務外,代理伺服器要求對客戶或過程進行限制,每一種限制都有不足之處,人們無法按他們自己的步驟工作。由於這些限制,代理套用就不能像非代理套用那樣靈活運用。
(5)套用代理服務受協定弱點的限制。每個套用層協定,都或多或少存在一些安全隱患,對於一個代理伺服器來說,要徹底避免這些安全隱患幾乎是不可能的,除非關掉這些搬務。
(6)套用代理不能改進底層協定的安全性。
