資訊與網路安全技術 第 十章 防火牆  上一頁      下一頁

 

10-11 代理系統

內容:

10-11-1 代理系統簡介

早期『代理系統』(Proxy的使用主要為了提高網路傳輸效應,將較常被連結之網頁儲存於『代理伺服器』(Proxy Server)上,以備其他使用者瀏覽相同網頁時,直接回應給它,以減少網路傳輸的機會。在 Internet 網路未進入電子商務領域之前,代理系統的確在這方面扮演極重要的角色。但近年來,代理伺服器僅為了提高傳輸速率已漸不符環境所需,其主要原因有三:(1) 網路傳輸速率已經提高了許多,客戶端漸漸不需要仰賴代理伺服器來抓取網頁;(2) 電子商務上網路更新非常快速,代理伺服器上的快取網頁可能已經過時;(3) 目前網頁上大多有動態伺服的功能(譬如,Active XASP),無論是否經過代理伺服器轉接,都需要再連結原伺服器端,來做動態伺服的處理。

然而電子商務的風行,各公司行號都期望建立一個固若金湯的防火牆,代理伺服器的轉接功能,剛好能符合防火牆的需求,於是代理系統又熱絡起來。利用代理系統來建設防火牆,又稱為『代理防火牆』(Proxy Firewall,其安全性功能如下:

    • 隱藏內部網路:無論內部使用者存取外部網路上的伺服器(如 HTTPFTPSMTP),或外部使用者存取內部伺服器都透過代理伺服器轉接,如此外部網路就不易窺視內部網路架構,便可達到隱藏內部網路的功能。

    • 網址阻隔:在代理伺服器上可登錄某些網址,當內部使用者欲透過代理伺服器存取這些網址的資料時,代理伺服器可過濾並拒絕服務,如此便可限制內部使用者通往外部網路的範圍。

    • 內容過濾:代理伺服器可依照網頁的內容來過濾拒絕轉送不良網頁,譬如色情圖片、或損傷本公司的文件、甚至病毒網頁。

    • 路由阻絕:透過代理伺服器轉送,完全不需要路由選擇,甚至可以將主機(安裝代理伺服軟體)上的路由選擇功能關閉,因此,外部使用者完全無法透過此主機到達內部網路。

    • 登錄與稽核:所有網頁(或傳輸資料)都必須經過代理伺服器轉送,很自然的,可以在代理伺服器上登錄哪些使用者存取何種網頁(或資料),並可經過統計與分析,趁早揪出內部破壞者或外部入侵者的動向。

以上所介紹是代理伺服器扮演防火牆可以提供哪些安全性的功能,接下來介紹代理伺服器的種類,以及其運作原理。如果以使用者(外部或內部)進出防火牆的方向來觀察,代理伺服器可區分為『聯外代理伺服』與『轉向代理伺服』兩種,以下分述之。

10-11-2 聯外代理伺服

所謂『聯外代理伺服』,係指內部網路透過代理系統轉接到外部伺服器,如圖 10-18 所示。我們以網頁伺服器為範例,當內部使用者欲抓取外部伺服器之網頁時,首先將連結到代理伺服器上(訊號 (1)),代理伺服器檢視網頁位址(一般都檢視 IP 位址)是否允許存取,再稽核使用者存取權限及存取時間,如果允許存取該網頁,則代理伺服器搜尋快取伺服器是否有該網頁,如果有便直接將網頁傳送給使用者(訊號 (1-1));如果快取伺服器上沒有備存網頁,則代理伺服器便發送存取命令向外部伺服器抓取(訊號 (2))。接著,外部伺服器將網頁傳送給代理伺服器,首先代理伺服器檢視網頁內容是否有違反安全政策(譬如色情網頁或不雅圖片),如果違反安全政策便丟棄該網頁而不轉送給使用者;如果沒有,便將其儲存於快取伺服器上,並轉送給客戶端。

10-18 聯外代理伺服器

10-11-3 轉向代理伺服

當外部使用者欲存取內部伺服器時,可經由『轉向代理伺服』轉送到適當的伺服器上。內部網路只公佈轉向代理伺服器的位址,由外部網路來看,根本不曉得真正伺服器的所在位址,所有存取內部網路資源都需要經由代理伺服器轉送,這個行為又稱為『打洞』,而代理伺服器都安裝在『防禦主機』上。圖 10-19 為轉向代理伺服器的運作程序,它的運作程序和聯外代理伺服器大同小異,祇不過方向相反而已。

10-19 轉向代理伺服器

轉向代理伺服器在使用者稽核方面要比聯外代理伺服器不容易達成,聯外代理伺服器對認證使用者身份大多可以仰賴內部的網路作業系統(如 Windows 2000)來達成,但轉向代理的使用者可能來自 Internet 網路的任何角落,因此,對使用者的認證問題就需要一個共通的協定來達成。目前 Internet 網路上最普遍的認證協定是 Kerberos 認證協定,也有許多防火牆採用此協定來實現,譬如 ISA Server SOCKS 5。由另一角度來看,轉向代理也是『私有虛擬網路』(VPN)的最佳利器,遠端使用者可以經由認證程序來存取內部網路,如果再附加資料加密的功能,不失為一個很好的防範措施。

10-20 為轉向代理的防火牆架構,一般在防禦主機上安裝有轉向代理程式,並公佈它的傳輸埠口(一般都使用著名埠口),對外界網路而言,防禦主機上的埠口便是伺服器的所在位址,而防禦主機將所收到的資源請求命令(如 HTTPFTPSMTP),再將其轉送到內部網路的伺服器位址上,如此便可以完全隱藏內部網路。

10-20 轉向代理的防火牆功能

10-20-1 負載平衡

 

主講人:粘添壽博士

 

資訊與網路安全技術