一、概述
本文针对园区网尤其是校园网存在的RPOXY代理问题,进行了详细的技术说明,并针对不同的应用情况提出了多种解决方案。
其实,PROXY问题存在于两个方面: 一是利用PROXY发表反动言论,二是利用PROXY逃避计费。利用PROXY发表反动言论是一个应用层的问题,可以采用对于FTTP、FTP、URL等内容过滤的方式实现对非法言论的控制和追踪,对于目前的应用,该问题可以得到有效解决。而利用PROXY逃避计费的方式是一个相当复杂的技术问题,需要从用户认证、访问控制、过滤、安全扫描、计费、防黑客、日志追踪分析等多个方面全面考虑。业界也有厂家如华为等有系列相关产品提供防PROXY代理的解决方案。
此外,安全问题不仅仅是一个技术问题,更多的是一个管理和制度约束问题,这涉及到计算机和网络信息安全,甚至是黑客攻击、机密泄漏、非法信息发布等问题,这在世界各国包括国内已经有若干法规制度进行约束。
对于采用PROXY进行的网络活动,一些制度也明文规定:通过PROXY进行的一切网络活动,都应该由PROXY的拥有者担负责任,甚至是连带责任——这也是Internet上比较通行的一个原则:即通过跳板发起的攻击,是由跳板的拥有者,而不是攻击者负责任。以前国内相当多的免费SMTP服务器被国外服务器所攻占利用作为再次攻击的跳板,就是按照这一原则行事的;现在WEB上也有很多私人代理服务器只对信任用户开放,也是基于对安全责任的考虑。
二、采用PROXY应用技术原理
采用PROXY应用的技术主要有以下三种方式,包括采用实体物理双网卡的形式和虚拟双网卡的方式,当然采用拨号上网+物理网卡PROXY的形式也属于虚拟双网卡。
●双网卡方式的PROXY,即:
|Web Server|------|Router|----Card A----|PROXY server|----Card B------|client|
|-------外网---------- -- -- -- ----|------------内网--------- --|
内网完全可以做到对外网的隐藏的,外网的所有设备只能看得到PROXY server是一个标准的、只有一块Card A的PC机。因为PROXY完全是一个应用层的中继,在外网的表现和普通web server客户端没有任何区别。
●双网卡方式的NAT,即:
|Web Server|------|Router|----Card A----|NAT|----Card B------|client|
|-------外网--------------------------|-------- -内网-----|
外网可以通过对流的监控检测出NAT行为来,因为通过NAT转换的报文中,往往还会带有内网的IP地址,通过对内网地址的统计性分析,可以找到NAT服务器。
对一般用户来说,建NAT比建PROXY技术要求要高,所以学生群体等不一定会用这种方式进行内外网互连。
●如果采用的是单网卡方式的Porxy,即
|Web Server|------|Router|----Card A----|PROXY server|
|client|
这种情况下,PROXY server开放的代理端口就必须会暴露到外网上,可以通过扫描工具很容易的从外网进行PROXY的扫描从而发现;我们可以把这种扫描工具集成到网管系统上,每天定时启动、工作
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
