论文部分内容阅读
摘?要 代理服务器是介于用户浏览器和互联网上WEB服务器中间的一种特殊设备。通过代理服务器可以隐藏用户IP、突破网络中的一些封锁,还可以在跨网访问的情况下加快速度。但是对于企业专网运营而言,代理的存在使得网络变得不可监控,网络安全受到威胁,网络中的资源访问权限变得不可控,这就需要我们就如何防代理服务器进行考虑,本文就企业网中如何防止代理服务器进行探讨。
关键词 代理服务器;防代理;共享上网
中图分类号 TP39 文献标识码 A 文章编号 1673-9671-(2012)052-0129-01
代理服务器是网上提供转接功能的服务器,在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,是直接联系到目的站点服务器,然后由目的站点服务器把信息传送回来。代理服务器是介于客户端和Web服务器之间的另一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。
1 代理服务器的类型
我们常见的代理有HTTP代理和SOCKS代理,其中HTTP代理最简单的一种代理形式,能够代理客户机的HTTP访问,上网浏览网页使用的都是HTTP协议,通常的HTTP代理端口为80、3128或8080端口。SOCKS代理与HTTP等其他类型的代理不同,它只是简单地传递数据包,而并不关心是何种应用协议,既可以是HTTP协议,也可以是FTP协议,或者其他任何协议,所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。
在公网使用代理服务器可以提高访问速度,特别是跨运营商的网络速度,同时上网者也可以通过代理服务器隐藏自己的真实地址信息,还可隐藏自己的IP,不易泄露身份,同时有时候网络供应商会针对性的封掉一些目的网站,协议,游戏,即时通讯软件等,使用代理服务器都可以突破这些限制。
2 代理服务器给网络带来的问题
目前在企业网的宽带网网络建设中,利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍,如Wingate、Sygate、Windows提供的网络共享功能或是使用SOHO路由器实现网络共享。在实际生活中,网络运营商构建网络来对用户提供网络接入服务、并对每个用户收取服务费用,目前使用最多的计费方式是针对时长进行计费(比如包月制)。但是由于代理技术的存在,目前这种现象也非常普遍:即一个用户申请开通宽带业务、使用代理技术让其它用户的PC也可以正常访问网络。这就损害了网络运营商的利益。同时由于代理服务器隐藏了用户的真实IP,遇到非法言论时根本无法追源。再者Proxy技术也让校园、宽带小区、企业园区网的网管员们头痛不已,他们发现有些网络用户用了Proxy以后,网络中的资源访问权限变得不可控,给网络资源带来了安全隐患,所以这就需要我们就如何防代理服务器进行考虑。
3 防代理的手段
防代理的基本技术有几种,它们各有优缺点。
3.1 限速和端口限制
通过限制端口的网络流量的办法来变相限制用户共享宽带。但是随着宽带网络的发展,用户桌面速度要求越来越高,这样做与网络的实际发展不相符合。
在用户交换机上限制TCP/UDP进程数量并配合ACL、NAT等技术,来对访问WEB页面的连接数或FTP连接数等的数量进行限制。但这样有可能影响到正常用户的使用。 上述两种方法都无法彻底避免代理,对于愿意使用服务质量差的PROXY用户无法彻底禁止。
3.2 推出特殊认证客户端
目前主流的认证系统主要有PPPoE和802.1X等等,可借助于装在客户端的认证终端软件内置了对代理服务器软件和双网卡的扫描功能来防止最终用户使用代理。一般有几种方式:1)通过对用户硬件的检查,如禁止使用双网卡等手段控制架设代理服务器,2)监听本机的端口,发觉请求的报文来自临近的局域网,则拒绝本机端口。3)校验客户端的版本,在服务器端设置要求定期升级客户端,避免用户使用被破解的客户端。4)对用户机进程进行监控,自动停用常用的代理软件或服务。
这种方式的优势在于比较容易的防止认证用户使用代理服务,但缺点在于需要维护客户端,加了代理限制功能的客户端软件变得更加复杂,而且随着限制代理种类的增多,需要增加新的功能模块,所以可运营性、可维护性都比较差。并且客户端软件和系统的拨号服务、1394等互联服务容易产生冲突,另外,由于加了防代理功能,对系统的稳定性、硬件兼容性都会产生一定的影响,可用性也大大降低。同时目前网络上有很多破解过的认证客户端,用户使用这类客户端便可以绕过运营商的控制。
3.3 在内网搜索代理软件
通过防代理软件来抓代理软件是一种有效的解决防法。网上应防范代理的需求出现了一些防范代理的软件,比如Proxy Hunter等,其防范代理的原理主要是扫描提供代理服务的端口,比如8080、1888、8888等等。
这种方法的优势在于易于实现,部署容易,缺点扫描的工作量很大,对设备要求高,特别是当端口号更改,用端口扫描的办法就很难发现,尤其是双网卡的代理服务,这种方式很难发现,很容易漏报。小型企业如果一百左右机器还能考虑,大型企业上万用户则很难实施。如果网络主机比较多的话达到几千台,每进行一个深度扫描循环可能会消耗一天左右的时间。
3.4 流量计费
如果是因为PROXY接入的流量影响了运营商的整体收入,可以考虑采用流量计费的方式。通过流量计费的方式,来控制用户上网的数据流量。可以对用户的流量进行限制、采用流量计费的方法,具体实现可以采用单独的流量计费、或时长+流量计费、或流量包月+流量计费等多种方式(超过一定限度的流量进行额外收费)。但在运营管理方面要比以往计费方式如包月、跳档制复杂
这也是新业务开展的新需要。倡导用户服务质量为中心的整体思路、可采取按流量计费的合理消费观念(消费多付账多、消费少付账少)。
3.5 内容扫描过滤的方式
通过对出口流量进行监控,例如采用基于内容或状态的防火墙,或是通过端口镜像分析报文内容,可以定位带有非法内容、非法字段的报文,从而采取相应的措施,如断掉相应的TCP连接或是禁止相应的站点等,这是根治非法言论、非法信息这一问题的最好办法。当然也可以防止通过校外的PROXY发布相应的信息。
这样可充分利用路由器、防火墙设备的报文过滤、状态检测等特性;可利用路由器、交换机、防火墙等设备的日志审计、分析特性,以及网管、认证计费系统等的安全管理特性;倡导安全解决方案思路,提出网络业务与安全融合的整体解决方案。本企业通过在NE80路由器及接入交换机上,启用端口镜像,同时接入入侵检测系统、内容过滤防火墙等配合实现内容过滤;对特定字段模式进行过滤。
4 总结
总之,从技术上来看,对于这一问题,根本没有完美的解决方案。网络的安全是一个攻和防交手的过程,技术不是万能的,要依靠监控、防范、响应、完善等多个阶段周而复始地渐渐提高整个网络设备和业务的安全性,建立完善的网络操作规范,合理的行政制度,并且严格执行才能使网络的资源得到更有效的利用。这一安全问题类似于病毒对计算机网络信息的危害一样,只能不断的检测发现、捕捉特征、完善病毒库、再次检测完善等等。
参考文献
[1]杨云,马立新网络服务器搭建、配置与管理[M].人民邮电出版社,2011m,10.
[2]姚永翘,计算机网络管理与维护技术[M].清华大学出版,2011,5.
关键词 代理服务器;防代理;共享上网
中图分类号 TP39 文献标识码 A 文章编号 1673-9671-(2012)052-0129-01
代理服务器是网上提供转接功能的服务器,在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,是直接联系到目的站点服务器,然后由目的站点服务器把信息传送回来。代理服务器是介于客户端和Web服务器之间的另一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。
1 代理服务器的类型
我们常见的代理有HTTP代理和SOCKS代理,其中HTTP代理最简单的一种代理形式,能够代理客户机的HTTP访问,上网浏览网页使用的都是HTTP协议,通常的HTTP代理端口为80、3128或8080端口。SOCKS代理与HTTP等其他类型的代理不同,它只是简单地传递数据包,而并不关心是何种应用协议,既可以是HTTP协议,也可以是FTP协议,或者其他任何协议,所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。
在公网使用代理服务器可以提高访问速度,特别是跨运营商的网络速度,同时上网者也可以通过代理服务器隐藏自己的真实地址信息,还可隐藏自己的IP,不易泄露身份,同时有时候网络供应商会针对性的封掉一些目的网站,协议,游戏,即时通讯软件等,使用代理服务器都可以突破这些限制。
2 代理服务器给网络带来的问题
目前在企业网的宽带网网络建设中,利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍,如Wingate、Sygate、Windows提供的网络共享功能或是使用SOHO路由器实现网络共享。在实际生活中,网络运营商构建网络来对用户提供网络接入服务、并对每个用户收取服务费用,目前使用最多的计费方式是针对时长进行计费(比如包月制)。但是由于代理技术的存在,目前这种现象也非常普遍:即一个用户申请开通宽带业务、使用代理技术让其它用户的PC也可以正常访问网络。这就损害了网络运营商的利益。同时由于代理服务器隐藏了用户的真实IP,遇到非法言论时根本无法追源。再者Proxy技术也让校园、宽带小区、企业园区网的网管员们头痛不已,他们发现有些网络用户用了Proxy以后,网络中的资源访问权限变得不可控,给网络资源带来了安全隐患,所以这就需要我们就如何防代理服务器进行考虑。
3 防代理的手段
防代理的基本技术有几种,它们各有优缺点。
3.1 限速和端口限制
通过限制端口的网络流量的办法来变相限制用户共享宽带。但是随着宽带网络的发展,用户桌面速度要求越来越高,这样做与网络的实际发展不相符合。
在用户交换机上限制TCP/UDP进程数量并配合ACL、NAT等技术,来对访问WEB页面的连接数或FTP连接数等的数量进行限制。但这样有可能影响到正常用户的使用。 上述两种方法都无法彻底避免代理,对于愿意使用服务质量差的PROXY用户无法彻底禁止。
3.2 推出特殊认证客户端
目前主流的认证系统主要有PPPoE和802.1X等等,可借助于装在客户端的认证终端软件内置了对代理服务器软件和双网卡的扫描功能来防止最终用户使用代理。一般有几种方式:1)通过对用户硬件的检查,如禁止使用双网卡等手段控制架设代理服务器,2)监听本机的端口,发觉请求的报文来自临近的局域网,则拒绝本机端口。3)校验客户端的版本,在服务器端设置要求定期升级客户端,避免用户使用被破解的客户端。4)对用户机进程进行监控,自动停用常用的代理软件或服务。
这种方式的优势在于比较容易的防止认证用户使用代理服务,但缺点在于需要维护客户端,加了代理限制功能的客户端软件变得更加复杂,而且随着限制代理种类的增多,需要增加新的功能模块,所以可运营性、可维护性都比较差。并且客户端软件和系统的拨号服务、1394等互联服务容易产生冲突,另外,由于加了防代理功能,对系统的稳定性、硬件兼容性都会产生一定的影响,可用性也大大降低。同时目前网络上有很多破解过的认证客户端,用户使用这类客户端便可以绕过运营商的控制。
3.3 在内网搜索代理软件
通过防代理软件来抓代理软件是一种有效的解决防法。网上应防范代理的需求出现了一些防范代理的软件,比如Proxy Hunter等,其防范代理的原理主要是扫描提供代理服务的端口,比如8080、1888、8888等等。
这种方法的优势在于易于实现,部署容易,缺点扫描的工作量很大,对设备要求高,特别是当端口号更改,用端口扫描的办法就很难发现,尤其是双网卡的代理服务,这种方式很难发现,很容易漏报。小型企业如果一百左右机器还能考虑,大型企业上万用户则很难实施。如果网络主机比较多的话达到几千台,每进行一个深度扫描循环可能会消耗一天左右的时间。
3.4 流量计费
如果是因为PROXY接入的流量影响了运营商的整体收入,可以考虑采用流量计费的方式。通过流量计费的方式,来控制用户上网的数据流量。可以对用户的流量进行限制、采用流量计费的方法,具体实现可以采用单独的流量计费、或时长+流量计费、或流量包月+流量计费等多种方式(超过一定限度的流量进行额外收费)。但在运营管理方面要比以往计费方式如包月、跳档制复杂
这也是新业务开展的新需要。倡导用户服务质量为中心的整体思路、可采取按流量计费的合理消费观念(消费多付账多、消费少付账少)。
3.5 内容扫描过滤的方式
通过对出口流量进行监控,例如采用基于内容或状态的防火墙,或是通过端口镜像分析报文内容,可以定位带有非法内容、非法字段的报文,从而采取相应的措施,如断掉相应的TCP连接或是禁止相应的站点等,这是根治非法言论、非法信息这一问题的最好办法。当然也可以防止通过校外的PROXY发布相应的信息。
这样可充分利用路由器、防火墙设备的报文过滤、状态检测等特性;可利用路由器、交换机、防火墙等设备的日志审计、分析特性,以及网管、认证计费系统等的安全管理特性;倡导安全解决方案思路,提出网络业务与安全融合的整体解决方案。本企业通过在NE80路由器及接入交换机上,启用端口镜像,同时接入入侵检测系统、内容过滤防火墙等配合实现内容过滤;对特定字段模式进行过滤。
4 总结
总之,从技术上来看,对于这一问题,根本没有完美的解决方案。网络的安全是一个攻和防交手的过程,技术不是万能的,要依靠监控、防范、响应、完善等多个阶段周而复始地渐渐提高整个网络设备和业务的安全性,建立完善的网络操作规范,合理的行政制度,并且严格执行才能使网络的资源得到更有效的利用。这一安全问题类似于病毒对计算机网络信息的危害一样,只能不断的检测发现、捕捉特征、完善病毒库、再次检测完善等等。
参考文献
[1]杨云,马立新网络服务器搭建、配置与管理[M].人民邮电出版社,2011m,10.
[2]姚永翘,计算机网络管理与维护技术[M].清华大学出版,2011,5.