第十六章：代理服务和其他网络应用.pptVIP

第十六章代理服务 代理服务简介 概念： 代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如文件传输FTP和远程登录Telnet等)，并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。 代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。 代理服务的工作 虽然代理服务器工作在客户和真实服务器之间，但代理服务器努力追求一种可以实现透明访问的目标 代理种类 网络代理服务根据工作层次，一般可分为应用层代理、传输层代理和SOCKS代理。 1.应用层代理是工作在TCP/IP参考模型的应用层之上，它支持对应用层协议（如HTTP、FTP）的代理。它提供的控制最多，但是不灵活，必须要有相应的协议支持。 2.如果协议不支持代理（如SMTP和POP），那就只能在应用层以下代理，也即传输层代理。传输层代理直接与TCP层交互，更加灵活。要求代理服务器具有部分真正服务器的功能：监听特定TCP或UDP端口，接收客户端的请求同时向客户端发出相应的响应。 3.另一种代理需要改变客户端的IP栈，即SOCKS代理。它是可用的最强大、最灵活的代理标准协议。SOCK V4允许代理服务器内部的客户端完全地连接到外部的服务器，SOCK V5增加了对客户端的授权和认证，因此它是一种安全性较高的代理。 代理种类 SOCKS和一般的应用层代理服务器是完全不同的。一般的应用层代理服务器工作在应用层，并且针对不用的网络应用提供不同的处理方法，比如HTTP、FTP、SMTP等，这样，一旦有新的网络应用出现时，应用层代理服务器就不能提供对该应用的代理，因此应用层代理服务器的可扩展性并不好；与应用层代理服务器不同的是，SOCKS代理服务器旨在提供一种广义的代理服务，它与具体的应用无关，不管再出现什么新的应用都能提供代理服务，因为SOCKS代理工作在线路层（即应用层和传输层之间），这和单纯工作在网络层或传输层的ip欺骗（或者叫做网络地址转换NAT）又有所不同，因为SOCKS不能提供网络层网关服务，比如ICMP包转发等。 代理种类 代理服务优缺点 1．代理服务的优点 　（1）充分利用IP地址资源。在局域网中，一般对外的IP地址都是非常有限的，为了保证局域网内部的主机都能够访问互联网资源，通过网络代理就可以实现。（2）能够保证网络安全。网络代理可以充当内部网和互联网之间的防火墙，通过过滤IP地址，限定某些IP地址对外部资源的访问。（3）能够有效地隐藏自己的IP地址和主机名。由于所有对外网的请求都是通过代理服务器实现的，所以目的主机只能知道代理服务器的IP地址。（4）提高网络速度。通常代理服务器都设有一个较大的硬盘缓冲区，它存储界数据，当你再访问相同的数据时，则可以直接从缓冲区中取出信息，从而提高访问速度。 代理服务优缺点 2．代理服务的缺点 （1）代理服务落后于非代理服务 （2）每个种代理服务要求不同的服务器 （3）代理服务一般要求对客户或程序进行修改 （4）代理服务对某些服务来说是不合适的 （5）代理服务不能保护你不受协议本身缺点的限制 常用代理软件 服务端： wingate, sygate, winproxy, winroute, ccproxy等 Squid, SOCKS v5 等 客户端：proxyhunter, sockscap, multiproxy Squid的安装和配置 #squid-2.5.STABLE1-2.i386.rpm 配置文件： #/etc/squid/squid.conf #/etc/squid/errors 日志文件 #/etc/logrotate.d/squid #/var/log/squid/access.log store.log cache.log Squid的安装和配置 Squid与Linux下其它的代理软件如Apache、Socks、TIS FWTK和delegate相比，下载安装简单，配置简单灵活，支持缓存和多种协议。用ipchains+Squid的解决方案，就可以获得通过缓存高性能的同时能够无缝的访问Internet。最后说明一点，squid不仅可用在Linux系统上，还可以用在AIX、Digital Unix、FreeBSD、HP-UX、Irix、NetBSD、Nextstep、SCO和Solaris等系统上。 第十六章其他网络服务 一、NAT简介 随着internet的网络