kebanyakan proxy merupakan web proxy, yang mengizinkan penggunanya untuk mengakses konten di internet. server proxy memiliki banyak jenis sesuai dengan tujuanya, termasuk:
- Untuk menjaga mesin di balik anonim (terutama untuk security).[1]
- meningkatkan akses ke sumber (menggunakan caching). Web proxy biasanya digunakan untuk cache halaman internet dari server web.[2]
- mnerapkan aturan akses terhadap internet atau isinya, e.g. to block undesired sites.
- Untuk penggunaan log / audit, yaitu untuk menyediakan karyawan perusahaan pelaporan penggunaan Internet.
- Untuk melewati kontrol keamanan/ parental.
- memindai perpindahan konten bila terdapat malware sebelumya.
- Untuk memindai konten outbound, misalnya untuk perlindungan data dari kebocoran.
- Untuk menghindari pembatasan regional.
Sebuah server wakil dapat ditempatkan di komputer lokal pengguna atau pada berbagai titik antara pengguna dan server tujuan di Internet.
A reverse proxy adalah (biasanya) Internet-menghadap proxy yang digunakan sebagai front-end untuk mengontrol dan melindungi akses ke server di jaringan pribadi, umumnya juga melakukan tugas-tugas seperti load-balancing, dekripsi otentikasi, atau caching.
Sunting] Tipe proksi[Sunting] proxy TeruskanProxy server untuk menghubungkan Jaringan Lokal Mencari Google Artikel internet.Teruskan proxy yang meneruskan Permintaan bahasa Dari Jaringan Lokal Ke Internet.
Teruskan proxy adalah proxy mana nama klien server server target untuk terhubung ke [3] proxy Teruskan dapat mengambil dari berbagai sumber (dalam banyak kasus di mana saja di Internet)..
Istilah "maju proxy" dan "proxy forwarding" adalah gambaran umum perilaku (lalu lintas forwarding) dan dengan demikian ambigu. Kecuali Reverse proxy, jenis proxy yang dijelaskan pada artikel ini lebih khusus sub-jenis konsep proxy yang umum ke depan.[Sunting] Buka proxyDiagram proxy server terhubung ke Internet.Sebuah permintaan forwarding terbuka proxy dari dan ke mana saja di Internet.! Artikel Utama untuk Bagian tidak Suami adalah: proxy Terbuka
Proxy terbuka adalah server proxy ke depan yang dapat diakses oleh setiap pengguna internet. Gordon Lyon memperkirakan ada "ratusan ribu" proxy terbuka di Internet. [4] Sebuah proxy terbuka anonim memungkinkan pengguna untuk menyembunyikan alamat IP mereka saat browsing Web atau menggunakan layanan Internet lainnya.[Sunting] proxy reverseSebuah server proxy menghubungkan internet ke jaringan internal.Sebuah reverse proxy mengambil permintaan dari internet dan forwarding mereka ke server di jaringan internal. Mereka membuat permintaan koneksi ke proxy dan mungkin tidak menyadari dari jaringan internal.! Artikel Utama untuk Bagian tidak Suami adalah: Reverse proxy
Sebuah reverse proxy adalah server proxy yang muncul untuk klien untuk menjadi server biasa. Permintaan akan diteruskan ke satu atau lebih server asal yang menangani permintaan. Respon dikembalikan seolah-olah datang langsung dari server proxy [3].
Proxy reverse dipasang di sekitar satu atau lebih server web. Semua lalu lintas yang datang dari Internet dan dengan tujuan salah satu server web melewati proxy server. Penggunaan "reverse" berasal dari mitranya "maju proxy" sejak duduk dekat reverse proxy ke server web dan hanya melayani satu set terbatas website.
Ada beberapa alasan untuk menginstal server proxy reverse:
Enkripsi / akselerasi SSL: ketika situs Web aman diciptakan, enkripsi SSL sering tidak dilakukan oleh server web itu sendiri, tetapi oleh reverse proxy yang dilengkapi dengan hardware akselerasi SSL. Lihat Secure Sockets Layer. Selanjutnya, tuan rumah dapat memberikan "proxy SSL" tunggal untuk menyediakan enkripsi SSL untuk sebuah nomor acak semesta alam menghilangkan kebutuhan untuk Sertifikat Server terpisah SSL untuk setiap host, dengan downside bahwa semua host di belakang proxy SSL harus berbagi umum DNS nama atau alamat IP untuk koneksi SSL. Masalah ini sebagian dapat diatasi dengan menggunakan fitur SubjectAltName sertifikat X.509.
Load balancing: reverse proxy dapat mendistribusikan beban ke beberapa web server, setiap server web yang melayani daerah aplikasi sendiri. Dalam kasus seperti itu, reverse proxy mungkin perlu untuk menulis ulang URL dalam setiap halaman web (terjemahan dari URL eksternal diketahui lokasi internal).
Sajikan / cache konten statis: Sebuah proxy balik bisa offload server web dengan caching konten statis seperti gambar dan konten grafis lainnya statis.
Kompresi: proxy server dapat mengoptimalkan dan kompres konten untuk mempercepat waktu buka.
Sendok makan: mengurangi penggunaan sumber daya yang disebabkan oleh klien lambat pada web server dengan cache isi web server yang dikirim dan perlahan-lahan "sendok makan" kepada klien. Hal ini terutama manfaat halaman yang dihasilkan secara dinamis.
Keamanan: proxy server adalah lapisan tambahan pertahanan dan dapat melindungi terhadap beberapa OS dan WebServer serangan tertentu. Namun, tidak memberikan perlindungan apapun terhadap serangan terhadap aplikasi web atau layanan itu sendiri, yang umumnya dianggap sebagai ancaman lebih besar.
Extranet Penerbitan: reverse proxy server menghadap Internet dapat digunakan untuk berkomunikasi dengan server firewall internal untuk organisasi, menyediakan akses extranet untuk beberapa fungsi sekaligus mempertahankan server di belakang firewall. Jika digunakan dengan cara ini, langkah-langkah keamanan harus dipertimbangkan untuk melindungi sisa infrastruktur Anda jika server ini terganggu, sebagai aplikasi web yang terkena serangan dari Internet.
[Sunting] Penggunaan proxy server[Sunting] Filtering! Informasi SIGNIFIKAN: Content-kontrol perangkat lunak
Sebuah konten-filtering proxy server web memberikan kontrol administratif atas isi yang dapat disampaikan melalui proxy. Hal ini umumnya digunakan dalam kedua organisasi komersial dan non komersial (khususnya sekolah) untuk memastikan bahwa penggunaan internet sesuai dengan kebijakan penggunaan diterima. Dalam beberapa kasus pengguna dapat menghindari proxy tersebut, karena ada layanan yang dirancang untuk informasi proxy dari situs web disaring melalui situs non disaring untuk memungkinkan melalui proxy pengguna.
Sebuah konten filtering proxy yang sering akan mendukung otentikasi pengguna, untuk mengendalikan akses web. Hal ini juga biasanya menghasilkan kayu, baik untuk memberikan informasi rinci tentang URL diakses oleh pengguna tertentu, atau untuk memantau statistik penggunaan bandwidth. Hal ini juga dapat berkomunikasi untuk daemon-based dan / atau ICAP berbasis perangkat lunak antivirus untuk menyediakan keamanan terhadap virus dan malware lainnya dengan memindai konten masuk secara real time sebelum memasuki jaringan.
Banyak tempat kerja, sekolah, dan perguruan tinggi membatasi situs web dan layanan online yang tersedia pada bangunan mereka. Hal ini dilakukan baik dengan proxy khusus, disebut filter konten (baik produk komersial dan gratis tersedia), atau dengan menggunakan protokol cache-ekstensi seperti ICAP, yang memungkinkan plug-in ke arsitektur ekstensi caching terbuka.
Beberapa metode umum yang digunakan untuk penyaringan konten meliputi: URL atau blacklist DNS, URL regex penyaringan, penyaringan MIME, atau kata kunci penyaringan konten. Beberapa produk telah dikenal untuk menggunakan teknik analisis isi untuk mencari sifat-sifat umum digunakan oleh beberapa tipe dari penyedia konten.
Permintaan yang dibuat ke internet terbuka pertama harus melewati filter proxy yang keluar. Perusahaan web-filtering menyediakan database pola URL (ekspresi reguler) dengan atribut konten terkait. Database ini diperbarui mingguan melalui situs-lebar langganan, seperti langganan virus filter. Administrator menginstruksikan web filter untuk melarang kelas luas konten (seperti olahraga, pornografi, belanja online, perjudian, atau jaringan sosial). Permintaan yang cocok dengan pola URL dilarang ditolak segera.
Dengan asumsi URL yang diminta diterima, konten ini kemudian diambil oleh proxy. Pada titik ini filter dinamis dapat diterapkan di jalan kembali. Sebagai contoh, file JPEG bisa diblok berdasarkan pertandingan fleshtone, atau filter bahasa dinamis bisa mendeteksi bahasa yang tidak diinginkan. Jika konten ditolak kemudian HTTP mengambil kesalahan dikembalikan dan tidak ada cache.
Sebagian besar perusahaan web filtering menggunakan robot merangkak internet-lebar yang menilai kemungkinan bahwa konten adalah jenis tertentu (misalnya "Konten ini adalah kesempatan 70% dari porno, kesempatan 40% olahraga, dan kesempatan 30% dari berita" bisa menjadi hasil untuk satu halaman web). Database yang dihasilkan kemudian dikoreksi oleh tenaga kerja manual berdasarkan keluhan atau kekurangan dikenal dalam isi-matching algoritma.
Web filtering proxy tidak dapat mengintip ke dalam soket aman transaksi HTTP, dengan asumsi rantai-of-kepercayaan SSL / TLS belum dirusak. Akibatnya, para pemakai yang ingin memotong penyaringan web biasanya akan mencari di internet untuk HTTPS proxy anonim terbuka dan transparan. Mereka kemudian akan program browser mereka untuk proxy semua permintaan melalui saringan web anonymous proxy ini. Mereka permintaan akan dienkripsi dengan https. Filter web tidak dapat membedakan transaksi ini dari, katakanlah, akses yang sah untuk sebuah website keuangan. Dengan demikian, filter konten hanya efektif terhadap pengguna tidak canggih.
Seperti disebutkan di atas, SSL / TLS rantai-of-trust tidak bergantung pada otoritas sertifikat terpercaya akar; dalam pengaturan tempat kerja di mana klien dikelola oleh organisasi, mungkin kepercayaan diberikan kepada sertifikat root yang kunci privat diketahui proxy . Konkretnya, sertifikat akar dihasilkan oleh proxy diinstal ke dalam daftar browser yang CA oleh staff IT. Dalam skenario seperti ini, analisis proxy dari isi suatu transaksi SSL / TLS menjadi mungkin. Proxy secara efektif operasi serangan man-in-the-middle, diizinkan oleh kepercayaan klien sertifikat akar proxy dimilikinya.
Sebuah kasus khusus dari web proxy adalah "proxy CGI". Ini adalah situs web yang memungkinkan pengguna untuk mengakses situs melalui mereka. Mereka umumnya menggunakan PHP atau CGI untuk melaksanakan fungsi proxy. Jenis proxy yang sering digunakan untuk mendapatkan akses ke situs web diblokir oleh proxy perusahaan atau sekolah. Karena mereka juga menyembunyikan alamat IP sendiri pengguna dari situs web mereka mengakses melalui proxy, mereka kadang-kadang juga digunakan untuk mendapatkan tingkat anonimitas, yang disebut "Penghindaran Proxy".[Sunting] Caching
Sebuah server proxy caching mempercepat permintaan layanan dengan mengambil konten disimpan dari permintaan sebelumnya yang dibuat oleh klien yang sama atau bahkan klien lain. Caching proxy menyimpan salinan setempat dari sumber daya sering diminta, memungkinkan organisasi besar untuk secara signifikan mengurangi bandwidth hulu mereka penggunaan dan biaya, sementara secara signifikan meningkatkan kinerja. Sebagian besar ISP dan bisnis besar mempunyai proxy caching. Caching proxy adalah jenis pertama dari proxy server.
Beberapa proxy caching buruk telah diimplementasikan downsides (misalnya, ketidakmampuan untuk menggunakan otentikasi pengguna). Beberapa masalah yang dijelaskan di RFC 3143 (HTTP Dikenal Proxy / Caching Masalah).
Penggunaan lain penting dari server proxy adalah untuk mengurangi biaya hardware. Suatu organisasi mungkin memiliki banyak sistem di jaringan yang sama atau di bawah kendali sebuah server tunggal, melarang kemungkinan individu untuk koneksi Internet untuk setiap sistem. Dalam kasus seperti itu, sistem individu dapat terhubung ke satu server proxy, dan proxy server terhubung ke server utama.[Sunting] filter Melewati dan sensor
Jika server tujuan filter konten berdasarkan asal-usul permintaan, penggunaan proxy dapat menghapus filter ini. Sebagai contoh, sebuah server menggunakan berbasis IP geolocation untuk membatasi layanan ke negara tertentu dapat diakses menggunakan proxy yang terletak di negara itu untuk mengakses layanan tersebut.
Demikian juga, proxy dikonfigurasi dapat menyediakan akses ke jaringan jika tidak terisolasi dari Internet. [4][Sunting] Logging dan menguping
Proxy dapat diinstal untuk menguping pada aliran data antara komputer klien dan web. Semua konten yang dikirim atau diakses - termasuk password diajukan dan cookie yang digunakan - dapat ditangkap dan dianalisis oleh operator proxy. Untuk alasan ini, password untuk layanan online (seperti webmail dan perbankan) harus selalu saling cryptographically melalui sambungan aman, seperti SSL.
Dengan proxy chaining yang tidak mengungkapkan data tentang penanya asli, adalah mungkin untuk mengaburkan kegiatan dari mata tujuan pengguna. Namun, jejak lagi akan ditinggalkan di hop langsung, yang dapat digunakan atau ditawarkan sampai dengan melacak aktivitas pengguna. Jika kebijakan dan administrator dari proxy lain tidak diketahui, pengguna dapat menjadi korban rasa aman yang palsu hanya karena mereka rincian dari pandangan dan pikiran.
Dalam apa yang lebih dari ketidaknyamanan dari risiko, pengguna proxy yang mungkin menemukan diri mereka sedang diblokir dari situs Web tertentu, seperti berbagai forum dan situs Web memblokir alamat IP dari proxy dikenal memiliki spammed atau dikendalikan situs. Memantul proxy dapat digunakan untuk menjaga privasi Anda.
[Sunting] Gateway untuk jaringan pribadi
Proxy server dapat melakukan peran yang mirip dengan switch jaringan dalam menghubungkan dua jaringan.[Sunting] Mengakses layanan anonim! Artikel Utama untuk Bagian tidak Suami adalah: anonymi
Anonymous proxy server (kadang-kadang disebut web proxy) umumnya mencoba untuk anonymize surfing web. Ada berbagai varietas anonymizers. Server tujuan (server yang pada akhirnya memenuhi permintaan web) menerima permintaan dari server proxy anonymi, dan dengan demikian tidak menerima informasi tentang alamat pengguna akhir. Namun, permintaan bukanlah orang yang anonim ke server proxy anonymi, dan tingkat kepercayaan hadir antara server proxy dan pengguna. Banyak dari mereka yang didanai melalui link iklan terus kepada pengguna.
Kendali akses: Beberapa server proxy menerapkan persyaratan logon. Dalam organisasi besar, resmi pengguna harus log on untuk mendapatkan akses ke web. Organisasi dengan demikian dapat melacak penggunaan untuk individu.
Beberapa server proxy anonymi depan mungkin paket data dengan baris header seperti HTTP_VIA, HTTP_X_FORWARDED_FOR, atau HTTP_FORWARDED, yang dapat mengungkapkan alamat IP dari klien. Server proxy lain anonymi, yang dikenal sebagai anonimitas proxy elite atau tinggi, hanya menyertakan header REMOTE_ADDR dengan alamat IP dari server proxy, sehingga tampak bahwa proxy server adalah klien. Sebuah website masih bisa menduga proxy sedang digunakan jika client mengirimkan paket-paket yang termasuk cookie dari kunjungan sebelumnya yang tidak menggunakan server proxy yang anonimitas tinggi. Kliring cookie, dan mungkin cache, akan memecahkan masalah ini.[Sunting] Implementasi dari proxy[Sunting] Web proxy
Sebuah proxy yang berfokus pada lalu lintas World Wide Web disebut "web proxy". Penggunaan paling umum dari web proxy adalah untuk melayani sebagai web cache. Kebanyakan program proxy yang menyediakan sarana untuk menolak akses ke URL tertentu dalam daftar hitam, sehingga memberikan konten filtering. Ini sering digunakan di lingkungan perusahaan, pendidikan, atau perpustakaan, dan tempat lain di mana penyaringan konten yang diinginkan. Web proxy Beberapa web memformat halaman untuk tujuan tertentu atau penonton, seperti untuk ponsel dan PDA.[Sunting] proxy Sufiks
Sebuah server proxy akhiran memungkinkan pengguna untuk mengakses konten web dengan menambahkan nama dari server proxy untuk URL dari konten yang diminta (misalnya "en.wikipedia.org.example.com"). Sufiks proxy server lebih mudah digunakan daripada proxy server biasa.[Sunting] proxy Transparan
Sebuah proxy mencegat (proxy juga paksa atau transparent proxy) menggabungkan server proxy dengan gateway atau router (umumnya dengan kemampuan NAT). Koneksi yang dibuat oleh browser klien melalui gateway dialihkan ke proxy tanpa konfigurasi sisi klien (atau sering pengetahuan). Sambungan juga dapat dialihkan dari SOCKS server atau proxy level sirkuit-. [5]
RFC 2616 (Hypertext Transfer Protocol-HTTP/1.1) menawarkan definisi standar:
"A 'transparent proxy' adalah proxy yang tidak mengubah permintaan atau respon melampaui apa yang diperlukan untuk otentikasi proxy dan identifikasi".
"A 'tidak transparan proxy adalah proxy yang mengubah permintaan atau respon untuk memberikan beberapa layanan ditambahkan ke agen pengguna, seperti layanan penjelasan kelompok, transformasi jenis media, pengurangan protokol, atau anonimitas penyaringan".
Sebuah lubang keamanan dengan cara yang proxy transparan beroperasi diterbitkan oleh Robert Auger pada tahun 2009 [6] dan penasehat oleh Tim Tanggap Darurat Komputer [7] dikeluarkan daftar puluhan transparan terkena dampak, dan mencegat server proxy.[Sunting] Tujuan
Proxy mencegat yang umum digunakan dalam usaha untuk mencegah terjadinya penghindaran kebijakan penggunaan diterima, dan untuk meringankan beban administrasi, karena tidak ada konfigurasi browser klien diperlukan. Ini alasan kedua namun ini diatasi dengan fitur seperti kelompok kebijakan Direktori Aktif, atau DHCP dan deteksi proxy otomatis.
Proxy mencegat juga sering digunakan oleh ISP di beberapa negara untuk menghemat bandwidth hulu dan meningkatkan waktu respon pelanggan dengan caching. Ini adalah lebih umum di negara-negara di mana bandwidth lebih terbatas (misalnya pulau negara) atau harus dibayar.[Sunting] Isu
Pengalihan / intersepsi dari koneksi TCP menciptakan beberapa masalah. Pertama tujuan IP dan port asli entah bagaimana harus dikomunikasikan ke proxy. Hal ini tidak selalu mungkin (misalnya dimana gateway dan proxy berada pada host yang berbeda). Ada kelas serangan lintas situs yang bergantung pada perilaku tertentu mencegat proxy yang tidak memeriksa atau memiliki akses ke informasi tentang tujuan (disadap) asli. Masalah ini dapat diatasi dengan menggunakan paket-tingkat terpadu dan alat tingkat aplikasi atau perangkat lunak yang kemudian dapat berkomunikasi informasi ini antara pengendali paket dan proxy.
Mencegat juga menciptakan masalah bagi otentikasi HTTP, terutama berorientasi koneksi otentikasi seperti NTLM, sejak browser klien percaya itu berbicara ke server bukan proxy. Ini dapat menyebabkan masalah di mana proxy mencegat memerlukan otentikasi, maka pengguna menghubungkan ke situs yang juga memerlukan otentikasi.
Akhirnya koneksi mencegat dapat menyebabkan masalah untuk cache HTTP, karena beberapa permintaan dan tanggapan menjadi uncacheble oleh shared cache.
Oleh karena itu mencegat sambungan umumnya dianjurkan. Namun karena kesederhanaan deploying sistem seperti ini, mereka digunakan secara luas.[Sunting] Metode Pelaksanaan
Intersepsi dapat dilakukan dengan menggunakan Cisco WCCP (Web Cache Control Protocol). Ini protokol khusus berada pada router dan dikonfigurasi dari cache, memungkinkan cache untuk menentukan apa yang pelabuhan dan lalu lintas yang dikirim ke melalui pengalihan transparan dari router. Pengalihan ini dapat terjadi dalam satu dari dua cara: GRE Tunneling (OSI Layer 3) atau MAC Penulisan ulang (OSI Layer 2).
Setelah lalu lintas mencapai mesin proxy itu sendiri intersepsi umumnya dilakukan dengan NAT (Network Address Translation). Setup tersebut terlihat oleh browser klien, tapi tinggalkan terlihat proxy ke server web dan perangkat lain di sisi Internet proxy. Terakhir rilis dari Linux dan beberapa BSD menyediakan TPROXY (Transparent Proxy) yang melakukan IP-level (OSI Layer 3) intersepsi transparan dan spoofing lalu lintas outbound. Menyembunyikan alamat IP proxy dari perangkat jaringan lainnya.[Sunting] Deteksi
Ada beberapa metode yang sering dapat digunakan untuk mendeteksi keberadaan proxy server mencegat:
Dengan membandingkan alamat IP eksternal klien ke alamat dilihat oleh sebuah web server eksternal, atau kadang-kadang dengan memeriksa HTTP header yang diterima oleh server. Sejumlah situs telah dibuat untuk mengatasi masalah ini, dengan melaporkan alamat IP pengguna seperti yang terlihat oleh situs kembali ke pengguna di suatu halaman web [1].
Dengan membandingkan urutan jaringan hop dilaporkan oleh alat seperti traceroute untuk sebuah protokol proxy seperti http (port 80) dengan bahwa untuk protokol proksi tidak seperti SMTP (port 25). [2], [3]
Dengan mencoba membuat sambungan ke alamat IP di mana ada dikenal server tidak ada. Proxy akan menerima koneksi dan kemudian berusaha untuk proxy di. Ketika menemukan proxy server tidak ada untuk menerima koneksi mungkin mengembalikan pesan kesalahan atau hanya menutup koneksi ke klien. Perbedaan dalam perilaku sederhana untuk dideteksi. Sebagai contoh web browser yang paling akan menghasilkan sebuah browser yang diciptakan halaman kesalahan dalam kasus di mana mereka tidak dapat terhubung ke server HTTP tapi akan kembali kesalahan yang berbeda dalam kasus di mana sambungan diterima dan kemudian ditutup. [8
