代理服务器与网络安全.docx
《代理服务器与网络安全.docx》由会员分享,可在线阅读,更多相关《代理服务器与网络安全.docx(54页珍藏版)》请在冰豆网上搜索。
代理服务器与网络安全
代理服务器与网络安全
本表需在指导教师和有关领导审查批准的情形下,要求学生认真填写。
讲明课题的来源(自拟题目或指导教师承担的科研任务)、课题研究的目的和意义、课题在国内外研究现状和进展趋势。
若课题因故变动时,应向指导教师提出申请,提交题目变动论证报告。
课题来源:
指导老师制定的科研任务
课题研究的目的和意义:
国内外同类课题研究现状及进展趋势:
随着运算机技术的广泛应用,企业内部网络(Intranet)进展专门迅速。
企业内部网络是采纳TCP/IP网络体系建立的支持企业内部业务流程和信息交换的一种综合信息系统,为确保内部网络的安全,可通过防火墙技术将内部网络与互联网进行逻辑隔离。
防火墙是一组在受爱护内部网络与互联网指尖强制执行企业安全策略的系统,由软件或硬件设备组合而成、通过处于企业内部网络与互联网之间、对两个网络之间的通信进行操纵。
课题研究的要紧内容和方法,研究过程中的要紧咨询题和解决方法:
要紧内容为代理服务器的差不多概念,包括代理服务器的原理,代理服务器阵列,代理服务器的功能及网络治理员面临的咨询题;常用的代理服务器软件:
WinGate、MSProxyServer、NetscapeProxyServer,把握其安装方法和差不多的功能配置;代理服务器应用实例:
代理服务器的应用:
局域网共享拨号连接、基于校园网络的应用;了解网络安全和防火墙技术的差不多概念,网络完全性规划和配置,Internet服务器的安全防范,基于WindowsNT的安全技术;防火墙技术,防火墙的要紧功能,IP通道(IPTunnels),防火墙存在的要紧咨询题以及防火墙存在咨询题的解决方案;防火墙软件:
ConsealPCFirewall,网络级防火墙的访咨询操纵规则实例。
文献法并采纳规范分析对全文进行构思。
课题研究起止时刻和进度安排:
起止时刻:
2012年1月——2012年5月
2011-12-29——2012-3-1确定论文题目,查找资料,撰写开题报告
2012-3-2——2012-3-20查找资料,进一步分析题目研究内容
2012-3-21——2012-4-10并交予老师批阅,听取老师的意见,进行修改。
2012-4-11——2012-5-4交予老师批阅并定稿。
2012-5-5交论文,答辩
课题研究所需要紧设备、仪器及药品:
运算机等
外出调研要紧单位,访咨询学者姓名:
指导教师审查意见:
指导教师(签字)
年月
教研室(研究室)评审意见:
____________教研室(研究室)主任(签字)
年月
院(系)审查意见:
____________院(系)主任(签字)
年月
摘要:
代理型防火墙也能够被称为代理服务器,它的安全性要高于包过滤型产品,并差不多开始向应用层进展。
代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。
从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。
当客户机需要使用服务器上的数据时,第一将数据要求发给代理服务器,代理服务器再按照这一要求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
由于外部系统与内部服务器之间没有直截了当的数据通道,外部的恶意侵害也就专门难损害到企业内部网络系统。
代理型防火墙的优点是安全性较高,能够针对应用层进行侦测和扫描,应付基于应用层的侵入和病毒都十分有效。
其缺点是对系统的整体性能有较大的阻碍,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统治理的复杂性。
关键词:
代理服务器;网络安全;防火墙
Abstract:
....................................................................46
第一章引言
随着运算机网络技术的广泛应用,企业内部网络(Intranet)进展专门迅速,企业内部网络采纳TCP/IP网络体系建立的支持企业内部业务流程和信息交换的一种综合信息系统,为确保内部网络的安全,可通过防火墙技术将内部网络与互联网进行逻辑隔离,防火墙是一组在受爱护内部网络与互联网之间强制执行企业安全策略的系统,由软件或硬件设备组合而成,通过处于企业内部网络与互联网之间,对两个网络之间的通信进行操纵,通过强制实施统一的安全策略,限制互联网用户对企业内部网络的访咨询以及治理企业内部网络用户访咨询外界的权限,防止对重要信息资源的存取和访咨询,达到爱护系统安全的目的。
防火墙分为包过滤防火墙、代理服务器、状态检测防火墙等3个类不,代理服务器是第二代防火墙,可提供网络服务级的操纵,当互联网向受爱护的内部网络申请服务时,进行中间转接,能够有效地防止对内部网络的直截了当攻击,安全性较高。
1.1课题背景
一般的因特网访咨询是一种典型的客户机与服务器结构,而代理服务器将运行于客户机与服务器之间,它作为Internet/Intranet上常用的一种服务器,通常配置在Intranet连接Internet的出口处,要紧实现代理传输服务。
能够如此认为,代理是双向的。
即关于内部网上的用户来讲,代理服务器可看作是一个外部网的代理;关于外部网络来讲,代理服务器能够看作一个要访咨询外部网的客户。
正是由于代理服务器的这种操纵方式,能够使用它提升客户访咨询外网的效率、节约网络带宽,增强网络安全性以及减少网络投资等。
代理服务器从提出到现在,持续的经历着内容更进和技术的革新,各种代理服务器产品更是层出不穷。
不难看出,代理服务器在我们信息时代的生活中扮演着越来越重要的作用。
1.2本课题研究的意义
第二章代理服务器
2.1代理服务器的差不多概念
代理服务器的英文全称是ProxyServer,其功能确实是代理网络用户去取得网络信息。
形象的讲:
它是网络信息的中转站。
专门多人不知不觉中就在用代理服务器共享上网,例如sygate,wingate,isa,ccproxy,NT系统自带的网络共享等,它们能够提供企业级的文件缓存,复制和地址过滤等服务。
在一样情形下,我们使用网络扫瞄器直截了当去连接其他Internet站点取得网络信息时,须送出Request信号来得到回答,然后对方再把信息以bit方式传送回来。
代理服务器是介于扫瞄器和Web服务器之间的一台服务器,有了它之后,扫瞄器不是直截了当到Web服务器去取回网页而是向代理服务器发出要求,Request信号会先送到代理服务器,由代理服务器来取回扫瞄器所需要的信息并传送给你的扫瞄器。
而且,大部分代理服务器都具有缓冲的功能,就看起来一个大的Cache,它有专门大的储备空间,它持续将新取得数据储存到它本机的储备器上,如果扫瞄器所要求的数据在它本机的储备器上差不多存在而且是最新的,那么它就不重新从Web服务器取数据,而直截了当将储备器上的数据传送给用户的扫瞄器,如此就能明显提升扫瞄速度和效率。
更重要的是:
ProxyServer(代理服务器)是Internet链路级网关所提供的一种重要的安全功能,它的工作要紧在开放系统互联(OSI)模型的对话层。
代理服务器有许多种,大体来讲有HTTP,FTP,SOCKS代理三种,其中又分透亮代理和不透亮代理。
其中透亮代理一样是网关,是硬件,因此不讨论透亮代理。
当机器通过代理服务器上网时。
通讯是分两次的,先是机器和代理服务器通讯,再是代理服务器和目的地址通讯。
机器和代理服务器通讯时,目的IP是代理服务器的IP。
代理服务器和目的地址通讯时,源IP是代理服务器的IP,因此外部的数据也是一样的。
在内网中,显现的IP数据,全是内网和代理服务器的IP。
因此,从IP包头是看不出任何与不处通讯的信息的。
只有从数据中才能看到。
2.2目前的代理服务技术
代理服务技术是在一台PC机上安装一套代理软件,要紧用于用户对Internet资源的访咨询。
ICS即Internet连接共享(InternetConnectionSharing)的英文简称,是Windows系统针对家庭网络或小型的Intranet网络提供的一种Internet连接共享服务。
它实际上相当于一种网络地址转换器,所谓网络地址转换器确实是当数据包向前传递的过程中,能够转换数据包中的IP地址和TCP/UCP端口等地址信息。
有了网络地址转换器,家庭网络或小型的办公网络中的电脑就能够使用私有地址,同时通过网络地址转换器将私有地址转换成ISP分配的单一的公用IP地址从而实现对Internet的连接。
ICS方式也称之为Internet转换连接。
例如有软件:
Wingate,Winproxy等。
NAT即网络地址转换(NetworkAddressTranslator),从广义上讲,ICS也是使用了一种NAT技术,只是我们那个地点讨论的NAT是指将运行Windows2000Server的运算机作为IP路由器,通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。
NAT方式也称之为Internet的路由连接。
网络地址转换NAT通过将专用内部地址转换为公共外部地址,对外隐藏了内部治理的IP地址。
如此,通过在内部使用非注册的IP地址,并将它们转换为一小部格外部注册的IP地址,从而减少了IP地址注册的费用。
同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
例如有软件:
WinRoute,Sygate。
2.3代理服务器的原理
2.3.1网关与代理服务器
网关是一种网络互连设备,可将网络之间的应用连接起来。
在C/S模式中,网关是指运行在特定服务的客户端和提供此特定服务的服务器之间的中间进程。
在该模式中,从客户端角度看,网关像是服务器;从服务器端看,网关又像是客户。
网关能够运行在应用层和传输层,运行在应用层的网关成为应用层网关或代理服务器。
代理服务器适用于特定的互联网服务,使连接到本地主机的运算机能够访咨询本地的主机所能访咨询的网络,可将内部网络通过装有代理服务器的主机连接到互联网,使得网络治理员能够实现比包过滤路由器更加严格的安全策略,具有更强的身份验证与日志功能。
2.3.2代理服务器工作流程
通过在一台Web主机上运行代理服务器软件,监测与侦听来自网络上各种信息,过滤访咨询内部网络的数据,爱护内部网络不受破坏。
在代理方式下,内部网络的数据包不能直截了当进入互联网,而互联网的数据包也不可直截了当进入内部网络,均要通过代理服务器的处理,通过网关复制传递数据,因此代理服务器能够进行访咨询操纵和地址转换,如图2.1所示。
外部网络内部网络
客户代理连接代理服务器连接
外部客户机内部客户机
图2.1代理服务器
当代理服务器接收到用户对某站点的访咨询要求后将检查该要求是否符合规定,若承诺用户访咨询该站点,代理服务器便以客户的身份去该站点取出信息转发给用户。
代理服务器通常具有一个高速缓存,该高速缓存储备了用户经常访咨询的站点信息,若下一位用户需要访咨询同一站点信息是,代理服务器不需要重新从站点猎取信息,可直截了当将高速缓存中的内容发出饥渴,如此能够提升网络速度,同时使得网络资源能够高效地被利用。
代理服务器封装并爱护了内部网络资源,互联网用户不能直截了当访咨询。
代理服务器进行网络传输的过程如下:
(1)内部网络主机若要访咨询远程服务器上的一个网页,先生成一个要求并将要求信息传送给与网络间接的网关,即代理服务器;
(2)代理服务器接收到要求后,先识不内部主机试图访咨询的类型,若是Web网页,则代理服务器将要求传送到只处理HTTP会话的应用程序;(3)当HTTP应用程序收到要求时,需验证ACL是否承诺此类传输,若承诺,则代理服务器将产生一个新要求发送给远程服务器;(4)新要求被送到远程服务器,远程服务器向代理服务器发出回复信息,代理服务器收到回复信息后,再次将回复信息传送给HTTP应用程序;(5)HTTP应用程序接着详细查看远程服务器发送的信息有无专门情形,若能够同意,则将申城一个新的分组,并把信息发送给内部主机。
即简单的讲,当位于内部局域网上的运算机要求访咨询Internet时,先通过局域网将访
咨询要求提交给充当代理服务器的运算机,在由这台运算机转发到Internet上去。
当代理服务器从Internet上收到用户所需的信息时,代理服务器软件(有时也简称为代理服务器)能够识不这是局域网中哪台运算机要求的内容,并将它正确地传送给该运算机
2.4缓存
缓存机制是各种代理服务器的差不多功能,是代理服务器能够有效提升多个用户访咨询效率和节约经费的关键配置。
代理服务器通常将从Internet上代理用户接收的内容,复制储存在缓存区中。
如此,当一个用户要求访咨询的内容在代理服务器的缓存区中能够找到时,代理服务器就将缓存下来的内容直截了当传送给那个用户,幸免了已有内容的重复要求和传送。
由于一个机构内工作人员业务性质的类似性,各个用户向Internet发出的访咨询要求常常相同,通过代理服务器的缓存功能,不但能够提升用户端在访咨询重复信息时的响应速度,还能够有效地节约网络通信费用。
代理服务器缓存区在存满内容以后,将按照网络治理员配置的某种策略进行更新,通常先剔除那些重复使用率低的内容。
能够设置代理服务器的缓存按照被动方式工作或按照主动方式工作。
在被动工作模式下,所有通过代理服务器从Internet上获得的内容,只要能够被存入缓存区的,都被缓存。
代理服务器为缓存区中的内容运算时效期。
一旦超过了失效期,下一次对该内同的用户访咨询要求就被送到Internet上去,而不是用缓存中的内容提供给用户。
在主动工作模式下,用户经常访咨询内容的更新得到了及时保证。
在不需要客户发出信息查询要求的情形下,只要被缓存的内容到达或接近失效期,缓存区就会主动到Internet上猎取更新信息。
内容是否被主动缓存,与它的被调阅频度和更新频度有关。
有的代理服务器还引入了与服务器负载有关的算法,以便尽量在其与Internet通信负载较轻的期间处理访咨询要求。
关于一个由多个局域网连接成的大规模企业内部网来讲,往往需要设置多个代理服务器协同工作。
按照这些代理服务器的相连关系,代理服务器的缓存区类型也从独立型向分布式进展。
分布式缓存要紧有层次、阵列和组合等类型。
2.5代理服务器的分布式缓存
按照需要,设置多个代理服务器协同工作从代理服务器的互联关系,能够分成以下类型:
–阵列型缓存
–层次型缓存
–组合型缓存
2.5.1阵列型缓存
所谓分布式阵列缓存,确实是将一个网络中的多个代理服务器配置成为一个大型的代理服务器缓存阵列。
它在逻辑上是一个单独的缓存,具有专门强的可伸缩性,即阵列成员能够按照需求随时随意增减。
参加阵列的每台代理服务器,都有相同的配置与逻辑缓存,并明白阵列中成员的名单以及它们缓存区中的内容。
如此,当网络中某个用户要求进行Internet访咨询时,如果在向它平常提供代理服务的MSProxyServer的缓存区中找不到所期望得到的内容,然而那个内容存在于阵列中的其它代理服务器中,就能够迅速得到它,而不用逐台查询或到Internet上猎取。
分布式阵列缓存适用于以下环境:
一个机构有许多分支部门。
这些部门需要通过机构的网络中心连接和访咨询Internet。
联合体性质的Internet服务供应商:
将地理上分布于各个不同地点的服务器连接到一个中心服务器后接入Internet。
代理服务型防火墙后面的代理服务器合作运行环境。
业务量专门大的公司或Internet服务供应商。
由于一个Internet连接不能够满足要。
2.5.2层次型缓存
层次型缓存是由独立的代理服务器连接组成的。
例如,关于一个分支机构遍布各地的大型或者跨地区企业,能够先将位于同一地区各个部门的代理服务器通过一个代理服务器连接起来,建立地区代理服务器,然后再把这些地区代理服务器通过一个代理服务器连接起来,建立整个机构的代理服务器。
来自客户端的信息访咨询要求,将沿着代理服务器间的连接向上传递,明白找到所需要的内容。
层次型缓存的连接成员能够是独立的代理服务器,也能够是阵列缓存。
层次型缓存方案同样是分担缓存负载和提升容错能力的有效方法。
现在,层次型缓存还支持安全套接层SSL(SecureSocketsLayer)功能。
实际网络中,层次型缓存代理服务器一样不超过两层。
2.5.3组合型缓存
所谓组合型缓存,是组合了阵列型缓存和层次型缓存形成的一个阵列。
2.6代理服务器的要紧功能
更重要的是:
ProxyServer(代理服务器)是Internet链路级网关所提供的一种重要的安全功能,它的工作要紧在开放系统互联(OSI)模型的对话层。
除了对访咨询权限操纵和信息流量计费治理和对访咨询内容进行操纵的差不多功能外,其要紧的功能有:
1、连接Internet与Intranet充当防火墙:
因为所有内部网的用户通过代理服务器访咨询外界时,只映射为一个IP地址,因此外界不能直截了当访咨询到内部网;同时能够设置IP地址过滤,限制内部网对外部的访咨询权限;另外,两个没有互联的内部网,也能够通过第三方的代理服务器进行互联来交换信息。
2、节约IP开销:
前面所讲,所有用户对外只占用一个IP,因此不必租用过多的IP地址,降低网络的爱护成本。
如此,局域局内没有与外网相连的众多机器就能够通过内网的一台代理服务器连接到外网,大大减少费用。
因此也有它不利的一面,如许多网络黑客通过这种方法隐藏自己的真实IP地址,而逃过监视。
3、提升访咨询速度:
本身带宽较小,通过带宽较大的proxy与目标主机连接。
而且通常代理服务器都设置一个较大的硬盘缓冲区,当有外界的信息通过时,同时也将其储存到缓冲区中,当其他用户再访咨询相同的信息时,则直截了当由缓冲区中取出信息,传给用户,从而达到提升访咨询速度的目的。
4、防止攻击:
隐藏自己的真实地址信息,还可隐藏自己的IP,防止被黑客攻击。
通过分析指定IP地址,能够查询到网络用户的目前所在地。
例如,大伙儿在一些论坛上看到,论坛中明确标出了发帖用户目前所在地,这确实是按照论坛会员登录时的IP地址解析的。
还有平日里我们最为常用的显IP版QQ,在“发送消息”窗口中,能够查看对方的IP及解析出的地理位置。
而当我们使用相应协议的代理服务器后,就能够达到隐藏自己当前所在地地址的目的了。
7、降低网络通信资费:
通过缓存区的使用降低网络通信费用。
缓存机制是各种代理服务器的差不多功能,是代理服务器能够提升多个用户访咨询效率和节约经费的关键配置。
起到幸免以后内容的重复要求和传送。
2.7Internet访咨询治理面临的咨询题
随着Internet在全世界的普及,越来越多的用户正在将自己的个人运算机连入那个人类有史依靠制造的最庞大的网络中。
连入Internet要紧通过两种方式:
专线连入和电话拨号接入。
采纳前者的要紧是一些中型以上的用户群体,如一个机构建立了的广域网或局域网用户;后者则要紧应用于小型用户群或家庭用户。
在具备专线连接条件的局域网中,要求访咨询Internet信息资源的用户日益增多;在电话拨号中,期望多台运算机通过一条电话线同时入网访咨询Internet的需求也在持续增加。
然而,Internet访咨询范畴的扩大,关于网络治理者来讲,是一个必须在经济上投入,在经费上操纵,在网络上安全防护,在内容上治理的综合性决策,在实施Internet访咨询服务范畴扩大之前,网络治理员通常要面临以下一系列咨询题:
如何解决多台联网运算机同时访咨询Internet的最差不多条件:
具备足够的有效IP地址;
如何对用户使用Internet的情形进行信息流量统计和计费,以便进行访咨询自费核算;
如何对所有用户访咨询Internet进行总体经费操纵和治理;
如何按照国家的法规和业务范畴,治理用户的访咨询内容;
如何在不牺牲内部网安全性能的情形下进行Internet信息公布;
如何实现对用户访咨询内容的监察与审计;
如何阻止局域网内非授权用户或运算机对Internet的访咨询;
如何阻止Internet上非授权用户对局域网资源的非法访咨询。
通过代理服务器软件ProxySerner,便能够解决这些咨询题。
代理服务器实质是一个假设
在内部网络用户群体与Internet之间的桥梁,用以实现内部网络用户对Internet的访咨询。
第三章常用代理服务器软件
常用的代理服务器软件有以下三种:
WinGate
MicrosoftProxyServer
SyGate
3.1常用代理服务器软件——WinGate
WinGate代理服务器(以下简称WinGate)由Qbik新西兰有限公司(QbikNewZealandLtd.)开发,是一个被评判为适用于中小型局域网的优秀代理服务器和防火墙产品。
WinGate在支持TCP/IP的网络环境中运行。
采纳WinGate之后,不但能够为用户访咨询Internet节约一笔可观的网络通信费用,还能够提升局域网络的安全性和治理操纵的灵活性。
WinGate支持多协议代理服务,能够在Windows95、Window98、WindowsNT工作站和WindowsNT服务器等多种平台上运行。
使用WinGate,通过一提哦啊Internet连接线路,便能够实现多个用户Internet的同时访咨询。
关于拨号入网用户,这意味着一组运算接不再需要各自通过自己专用的调制解调器分不连入Internet,而能够共用一条电话线和一台调制解调器同时入网;关于专线连接的用户,这意味着一组运算机能够共用一个有效的IP地址入网。
WinGate服务器软件运行时,并不需要独占一台运算机。
运行WinGate的运算接在向其他用户提供联网服务的同时,仍旧能够作为一台一般运算机和服务器正常使用。
按照用户购买的版权及得到密码(LicenceKey)的不同,可供使用的WinGate要紧有三种版本:
WinGate专业版(WinGatePro)、WinGate标准版(WinGatestandard)和WinGate家庭版(WinGateHome)。
WinGate专业版提供全功能的代理服务;WinGate标准版提供除用户数据库外的WinGate专业版的全部功能;WinGate家庭版要紧面向家庭用户,提供标准的代理服务功能,然而不承诺用户修改和删除这些功能。
目前WinGate的正式版本为3.0版。
WinGate在连入Internet方式上,支持调制解调器拨号入网、ISDN连接和局域网直截了当接入Internet。
对内部网,WinGate支持静态IP地址和动态IP地址。
如果用户决定在内部网使用动态分配IP地址的方式治理入网运算机,还能够通过WinGate提供的DHCP功能自动配置IP地址。
WinGate服务器实际上由两个部分构成:
一个是运行于系统后台的代理服务程序,或称为WinGate引擎(WinGateengine)。
用户尽管看不见它的运行,然而与Internet的连接和对用户的信息服务,世界上是由它完成的。
另一个是WinGate的用户服务界面,称为GateKeeper的远程治理功能。
任何一台支持TCP/IP协议的入网运算接,只要它能够访咨询运行WinGate引擎的服务器,就能够安装GateKeeper,实现对代理服务器的远程治理和监控。
另外,WinGate还提供一个称为WGIC的WinGate客户软件(WinGateInternetClient),在网络的客户端运行,提供Winsock重定向访咨询能力。
3.2WinGate的要紧功能
3.2.1WinGate专业版独有的功能
1.远端治理(RemoteAdministration)
系统治理员能够通过称为GateKeeper
升级会员 