企業(yè)網(wǎng)中代理服務器安全性能研究

摘 要 代理服務器是介于用戶瀏覽器和互聯(lián)網(wǎng)上WEB服務器中間的一種特殊設備。通過代理服務器可以隱藏用戶IP、突破網(wǎng)絡中的一些封鎖，還可以在跨網(wǎng)訪問的情況下加快速度。但是對于企業(yè)專網(wǎng)運營而言，代理的存在使得網(wǎng)絡變得不可監(jiān)控，網(wǎng)絡安全受到威脅，網(wǎng)絡中的資源訪問權(quán)限變得不可控，這就需要我們就如何防代理服務器進行考慮，本文就企業(yè)網(wǎng)中如何防止代理服務器進行探討。

關鍵詞 代理服務器；防代理；共享上網(wǎng)

中圖分類號 TP39 文獻標識碼 A 文章編號 1673-9671-(2012)052-0129-01

代理服務器是網(wǎng)上提供轉(zhuǎn)接功能的服務器，在一般情況下，我們使用網(wǎng)絡瀏覽器直接去連接其他Internet站點取得網(wǎng)絡信息時，是直接聯(lián)系到目的站點服務器，然后由目的站點服務器把信息傳送回來。代理服務器是介于客戶端和Web服務器之間的另一臺服務器，有了它之后，瀏覽器不是直接到Web服務器去取回網(wǎng)頁而是向代理服務器發(fā)出請求，信號會先送到代理服務器，由代理服務器來取回瀏覽器所需要的信息并傳送給你的瀏覽器。

1 代理服務器的類型

我們常見的代理有HTTP代理和SOCKS代理，其中HTTP代理最簡單的一種代理形式，能夠代理客戶機的HTTP訪問，上網(wǎng)瀏覽網(wǎng)頁使用的都是HTTP協(xié)議，通常的HTTP代理端口為80、3128或8080端口。SOCKS代理與HTTP等其他類型的代理不同，它只是簡單地傳遞數(shù)據(jù)包，而并不關心是何種應用協(xié)議，既可以是HTTP協(xié)議，也可以是FTP協(xié)議，或者其他任何協(xié)議，所以SOCKS代理服務器比其他類型的代理服務器速度要快得多。

在公網(wǎng)使用代理服務器可以提高訪問速度，特別是跨運營商的網(wǎng)絡速度，同時上網(wǎng)者也可以通過代理服務器隱藏自己的真實地址信息，還可隱藏自己的IP，不易泄露身份，同時有時候網(wǎng)絡供應商會針對性的封掉一些目的網(wǎng)站，協(xié)議，游戲，即時通訊軟件等，使用代理服務器都可以突破這些限制。

2 代理服務器給網(wǎng)絡帶來的問題

目前在企業(yè)網(wǎng)的寬帶網(wǎng)網(wǎng)絡建設中，利用客戶端所在機器上安裝代理服務器軟件實現(xiàn)多人共用一個賬號上網(wǎng)的現(xiàn)象非常普遍，如Wingate、Sygate、Windows提供的網(wǎng)絡共享功能或是使用SOHO路由器實現(xiàn)網(wǎng)絡共享。在實際生活中，網(wǎng)絡運營商構(gòu)建網(wǎng)絡來對用戶提供網(wǎng)絡接入服務、并對每個用戶收取服務費用，目前使用最多的計費方式是針對時長進行計費（比如包月制）。但是由于代理技術(shù)的存在，目前這種現(xiàn)象也非常普遍：即一個用戶申請開通寬帶業(yè)務、使用代理技術(shù)讓其它用戶的PC也可以正常訪問網(wǎng)絡。這就損害了網(wǎng)絡運營商的利益。同時由于代理服務器隱藏了用戶的真實IP，遇到非法言論時根本無法追源。再者Proxy技術(shù)也讓校園、寬帶小區(qū)、企業(yè)園區(qū)網(wǎng)的網(wǎng)管員們頭痛不已，他們發(fā)現(xiàn)有些網(wǎng)絡用戶用了Proxy以后，網(wǎng)絡中的資源訪問權(quán)限變得不可控，給網(wǎng)絡資源帶來了安全隱患，所以這就需要我們就如何防代理服務器進行考慮。

3 防代理的手段

防代理的基本技術(shù)有幾種，它們各有優(yōu)缺點。

3.1 限速和端口限制

通過限制端口的網(wǎng)絡流量的辦法來變相限制用戶共享寬帶。但是隨著寬帶網(wǎng)絡的發(fā)展，用戶桌面速度要求越來越高，這樣做與網(wǎng)絡的實際發(fā)展不相符合。

在用戶交換機上限制TCP/UDP進程數(shù)量并配合ACL、NAT等技術(shù)，來對訪問WEB頁面的連接數(shù)或FTP連接數(shù)等的數(shù)量進行限制。但這樣有可能影響到正常用戶的使用。 上述兩種方法都無法徹底避免代理，對于愿意使用服務質(zhì)量差的PROXY用戶無法徹底禁止。

3.2 推出特殊認證客戶端

目前主流的認證系統(tǒng)主要有PPPoE和802.1X等等，可借助于裝在客戶端的認證終端軟件內(nèi)置了對代理服務器軟件和雙網(wǎng)卡的掃描功能來防止最終用戶使用代理。一般有幾種方式：1）通過對用戶硬件的檢查，如禁止使用雙網(wǎng)卡等手段控制架設代理服務器，2）監(jiān)聽本機的端口，發(fā)覺請求的報文來自臨近的局域網(wǎng)，則拒絕本機端口。3）校驗客戶端的版本，在服務器端設置要求定期升級客戶端，避免用戶使用被破解的客戶端。4）對用戶機進程進行監(jiān)控，自動停用常用的代理軟件或服務。

這種方式的優(yōu)勢在于比較容易的防止認證用戶使用代理服務，但缺點在于需要維護客戶端，加了代理限制功能的客戶端軟件變得更加復雜，而且隨著限制代理種類的增多，需要增加新的功能模塊，所以可運營性、可維護性都比較差。并且客戶端軟件和系統(tǒng)的撥號服務、1394等互聯(lián)服務容易產(chǎn)生沖突，另外，由于加了防代理功能，對系統(tǒng)的穩(wěn)定性、硬件兼容性都會產(chǎn)生一定的影響，可用性也大大降低。同時目前網(wǎng)絡上有很多破解過的認證客戶端，用戶使用這類客戶端便可以繞過運營商的控制。

3.3 在內(nèi)網(wǎng)搜索代理軟件

通過防代理軟件來抓代理軟件是一種有效的解決防法。網(wǎng)上應防范代理的需求出現(xiàn)了一些防范代理的軟件，比如Proxy Hunter等，其防范代理的原理主要是掃描提供代理服務的端口，比如8080、1888、8888等等。

這種方法的優(yōu)勢在于易于實現(xiàn)，部署容易，缺點掃描的工作量很大，對設備要求高，特別是當端口號更改，用端口掃描的辦法就很難發(fā)現(xiàn)，尤其是雙網(wǎng)卡的代理服務，這種方式很難發(fā)現(xiàn)，很容易漏報。小型企業(yè)如果一百左右機器還能考慮，大型企業(yè)上萬用戶則很難實施。如果網(wǎng)絡主機比較多的話達到幾千臺，每進行一個深度掃描循環(huán)可能會消耗一天左右的時間。

3.4 流量計費

如果是因為PROXY接入的流量影響了運營商的整體收入，可以考慮采用流量計費的方式。通過流量計費的方式，來控制用戶上網(wǎng)的數(shù)據(jù)流量?？梢詫τ脩舻牧髁窟M行限制、采用流量計費的方法，具體實現(xiàn)可以采用單獨的流量計費、或時長+流量計費、或流量包月+流量計費等多種方式（超過一定限度的流量進行額外收費）。但在運營管理方面要比以往計費方式如包月、跳檔制復雜

這也是新業(yè)務開展的新需要。倡導用戶服務質(zhì)量為中心的整體思路、可采取按流量計費的合理消費觀念（消費多付賬多、消費少付賬少）。

3.5 內(nèi)容掃描過濾的方式

通過對出口流量進行監(jiān)控，例如采用基于內(nèi)容或狀態(tài)的防火墻，或是通過端口鏡像分析報文內(nèi)容，可以定位帶有非法內(nèi)容、非法字段的報文，從而采取相應的措施，如斷掉相應的TCP連接或是禁止相應的站點等，這是根治非法言論、非法信息這一問題的最好辦法。當然也可以防止通過校外的PROXY發(fā)布相應的信息。

這樣可充分利用路由器、防火墻設備的報文過濾、狀態(tài)檢測等特性；可利用路由器、交換機、防火墻等設備的日志審計、分析特性，以及網(wǎng)管、認證計費系統(tǒng)等的安全管理特性；倡導安全解決方案思路，提出網(wǎng)絡業(yè)務與安全融合的整體解決方案。本企業(yè)通過在NE80路由器及接入交換機上，啟用端口鏡像，同時接入入侵檢測系統(tǒng)、內(nèi)容過濾防火墻等配合實現(xiàn)內(nèi)容過濾；對特定字段模式進行過濾。

4 總結(jié)

總之，從技術(shù)上來看，對于這一問題，根本沒有完美的解決方案。網(wǎng)絡的安全是一個攻和防交手的過程，技術(shù)不是萬能的，要依靠監(jiān)控、防范、響應、完善等多個階段周而復始地漸漸提高整個網(wǎng)絡設備和業(yè)務的安全性，建立完善的網(wǎng)絡操作規(guī)范，合理的行政制度，并且嚴格執(zhí)行才能使網(wǎng)絡的資源得到更有效的利用。這一安全問題類似于病毒對計算機網(wǎng)絡信息的危害一樣，只能不斷的檢測發(fā)現(xiàn)、捕捉特征、完善病毒庫、再次檢測完善等等。

參考文獻

[1]楊云，馬立新網(wǎng)絡服務器搭建、配置與管理[M].人民郵電出版社，2011m，10.

[2]姚永翹，計算機網(wǎng)絡管理與維護技術(shù)[M].清華大學出版，2011，5.