Jaka jest różnica między zaporą a serwerem proxy?

Najlepsza odpowiedź

ODWRÓĆ PROXY

Jeśli rozumiesz serwer WWW, rozumiesz serwer proxy REVERSE. To TYLKO SERWER WWW. Z kilkoma dodatkowymi możliwościami – takimi jak przekazywanie adresów URL. Innymi słowy, możesz użyć IIS (lub apache lub swojego ulubionego WEB SERWERA) jako ODWRÓCONEGO serwera proxy. Po co Ci ten dodatkowy serwer WWW – skoro Twój istniejący serwer WWW już wykonuje większość odpowiednich zadań (uwierzytelnianie itp.)?

Istnieje kilka scenariuszy. Np. – jeśli chcesz warunkowo wysłać wszystkie BEZPIECZNE żądania (https) do innego serwera. Potrzebujesz reguły, która wyglądałaby mniej więcej tak (w IIS):

INNE ZASTOSOWANIA ODWROTNYCH ODWROTNYCH

Ponieważ odwrotne serwery proxy są pełnowartościowymi serwerami sieciowymi, MOŻESZ przeprowadzić pełne uwierzytelnianie na przychodzących żądaniach klientów. Np. – chcesz dodać dodatkowy etap uwierzytelniania (np. Open Identity Auth za pomocą Google lub Facebooka) – i chcesz wykonać ten krok ZANIM Twój serwer WWW będzie mógł przetworzyć żądanie. Do wykonania tego zadania idealnie nadaje się zwrotny serwer proxy.

Kluczowym scenariuszem użycia jest tutaj to, że chcesz wykonać określone zadanie serwera WWW BEZ DOTYKANIA lub MODYFIKOWANIA istniejącego serwera internetowego lub aplikacji – i bez pozwolenia klientom wiedzieć, że proxy istnieje. Wpisz Reverse Proxy.

W JAKI SPOSÓB ODWRÓCONY PROXY UTRZYMUJE SWOJĄ TOŻSAMOŚĆ (NIE CHCESZ NIKOGO WIEDZIEĆ, ŻE ISTNIEJE ODWRÓCONY PROXY)?

Klient wysyła żądanie bezpośrednio do serwera pochodzenia. Gdy serwer proxy jest w trybie odwrotnego proxy, przechwytuje żądanie, zanim dotrze do serwera pochodzenia.

Zwykle jest to robione przez skonfigurowanie wpisu DNS dla serwera pochodzenia (tj. Rozgłaszanego serwera pochodzenia nazwa hosta), więc jest tłumaczona na adres IP serwera proxy.

PROXY (FORWARD PROXY)

Forward proxy to w rzeczywistości niewiele różni się od serwerów proxy ODWRÓCONYCH – z jedną kluczową różnicą. Proxy przekazujące działa bezpośrednio w celu OBSŁUGIWANIA przeglądarki klienta (zazwyczaj jest to GRUPA komputerów klienckich w sieci wewnętrznej). Użytkownik klienta zwykle jest ŚWIADOMY o FORWARD proxy (w rzeczywistości musi go zwykle SKONFIGUROWAĆ w swojej przeglądarce klienta, zazwyczaj konfiguruje się to w IE -> Ustawienia internetowe -> Połączenia -> Ustawienia LAN). Ta BEZPOŚREDNIA USŁUGA przeglądarki KLIENTA obejmuje blokowanie żądań przeglądarki klienta – (np. Jeśli przeglądarka pracownika firmy próbuje uzyskać dostęp do Zaloguj się lub Zarejestruj się ) – lub może zablokować adres IP klienta łącznie (np. jeśli komputer kliencki próbuje włamać się na serwer).

Pod wszystkimi innymi względami proxy do przodu jest bardzo podobne do proxy REVERSE – jest to w pełni rozwinięty SERWER WWW – może kontrolować przychodzące żądania – i może przeprowadzać uwierzytelnianie itp.

KLUCZOWA RÓŻNICA MIĘDZY ODWROTNYM I PRZEKAZANYM SERWEREM PROXY

Kluczowa różnica polega na przypadkach użycia – zazwyczaj działa w celu ZABLOKOWANIA dostępu dla maszyny klienta (lub grupy komputerów klienckich). Natomiast REVERSE proxy działa w imieniu serwera WWW – i jest całkowicie NIEWIDOCZNE dla maszyn klienckich. Komputery klienckie nawet nie WIEMY, że uzyskują dostęp do zwrotnego proxy – jeśli o to chodzi, uzyskują dostęp do WEB SERWERA.

FIREWALLS – SIEĆ FIREWALLS VERSUS APPLICATION FIREWALLS

Firewalle mogą istnieć jako pakiety oprogramowania działające na twoim komputerze lub jako sprzętowe zapory ogniowe w routerach sieciowych. W przeciwieństwie do serwerów proxy, zapory sieciowe są zaprojektowane bardziej jako kontrolery ruchu niż jako przekierowujące.

UŻYWAJĄC OBU JAKO CZĘŚCI ROZWIĄZANIA BEZPIECZEŃSTWA

  1. Użyj serwera PROXY, aby kontrolować, kto lub co łączy się z Twoją SIECIĄ.
  2. Używaj zapór ogniowych na komputerach lokalnych, aby kontrolować, co dostaje się NA każdy komputer.

Więcej wskazówek dotyczących sieci i chmury obliczeniowej znajdziesz na moich stronach FB

anuj.pl ; Śledź mnie na twitterze

Cloud Computing dla początkujących, seminarium dotyczące chmury

Odpowiedź

Zapora sieciowa

Serwer proxy na poziomie aplikacji

Zapora to router (komputer, który może przekazywać pakiety między dwiema lub więcej sieciami) z zastosowanymi pewnymi regułami ograniczeń. Większość obecnych routerów może służyć jako łatwa zapora ogniowa (większość routerów umożliwia definiowanie ograniczeń). Dotyczy to na przykład routerów Cisco, systemów Linux … Ale prawdziwy firewall jest bardziej skomplikowany. Implementuje mechanizmy umożliwiające dynamicznie otwierane dziury dla połączeń przychodzących (na przykład dla sesji FTP) i nie tylko.

Serwer proxy aplikacji to komputer, który jest w stanie obsługiwać żądania w niektórych protokołach komunikacyjnych (HTTP, FTP, SOCKS , ..). Dla każdego używanego protokołu musi być włączona odpowiednia usługa proxy.

Zapora działa na poziomie pakietów. Może stosować reguły dotyczące pakietów (sprawdzając źródłowy / docelowy adres IP, źródłowy / docelowy port, …), aby zdecydować, czy pakiet będzie przekazywany, czy odrzucany.

Proxy działa na poziomie protokołu aplikacji. Nie działają na poziomie pakietów, więc nie mogą przekazywać pakietów.

Stacja kliencka musi być skonfigurowana do używania zapory jako bramy domyślnej.

Aplikacje na komputerze klienckim mają należy skonfigurować do korzystania z serwera proxy w celu uzyskania dostępu do serwerów internetowych.

Jeśli wyłączysz zaporę (działa tylko router), wszystkie stacje LAN mają bezpośredni i pełny dostęp do Internetu. Możesz sobie wyobrazić zaporę jako zestaw restrykcyjnych reguł (wszystkie są włączone, gdy te reguły są nieaktywne). Możesz więc wyeliminować / zmienić niektóre reguły, aby na przykładzie utworzyć dziurę (zakres) portu.

Jeśli wyłączysz proxy, nie ma możliwości połączenia się z siecią LAN do serwerów internetowych.

Usługi korzystające z niskopoziomowych protokołów TCP / IP (ping, traceroute, ..) będą działać za zaporą (jeśli nie są wyłączone przez ograniczenia zapory).

Usługi korzystające z niskiego poziomu TCP / Protokoły IP (ping, traceroute, ..) nie będą działać za proxy.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *