当Web代理移至其他系统时,它们会拦截来自您系统的流量,分析数据包,然后一起发送数据。您可能要拦截数据包的原因有很多。

最初,代理的主要用例是作为缓存服务器。在这种用例中,网络中的某人第一次访问网站时,将下载并缓存静态内容(尤其是图形图像)。然后,由于内容是本地的,因此访问该站点的下一个人将获得快速响应。

互联网链接现在越来越快,而且人们越来越多地使用也在云中的代理。从非常远程或非常慢的网站加载内容时,仍然可以从缓存速度上受益,但是Internet上大多数常用的网站都受到以下支持 CDN(内容交付网络)。 CDN有效地做同样的事情-缓存内容并将其拉近用户以减少延迟。

为什么今天使用网络代理?

现在,代理通常用于完全不同的目的:安全性。大多数Web内容都经过加密以保护您的隐私。这是一件好事。但是,这使得通过网络检查该内容中的恶意内容变得困难。代理可以解决此问题。

HTTPS使用受信任的“证书”系统,您可以将其视为非常长的复杂密码。这些证书是分层的,顶级证书由公认的机构(如Verisign或GoDaddy)持有。它们用来证明用于对网络流量进行加密的其他证书实际上是有效的。

通过代理连接到网站时,浏览器首先使用HTTPS会话连接到代理。代理服务器代表您使用该网站的真实证书建立与实际目标网站的连接。它使用原始Web会话中的数据来构建要发送到实际站点的数据包。然后,它从网站获取响应,像使用您的Web浏览器一样对它们进行解密,然后将它们塞入您启动的原始HTTPS会话中的新数据包中。完成后,它将它们发送到您的浏览器。

这本质上是针对您的Web会话的“中间人”攻击,证书旨在防止这种情况。但是允许使用此特定的中间人,因为您还信任代理服务器使用的证书。

那么,为什么要攻击自己的Web会话使您更安全?嗯,该代理服务器(位于Internet上,解密并查看您的Web会话)正在检查数据中是否存在恶意内容的迹象。希望超大型代理服务将有足够的客户来利用他们在所有这些会话中间的独特位置,比您自己更快地识别新的恶意内容。

有哪些代理架构可用?

有几种不同的代理体系结构,每种都有各自的优缺点。

有些代理使用应用程序或浏览器插件来通过代理服务器重定向您的网络流量。这样的好处是,即使您不在办公室,来自Web浏览器的所有流量也会自动通过代理路由。

它的缺点是您计算机上的某些恶意软件可能能够避免它。例如,代理的用例之一是识别“命令和控制”流量。如果您的计算机上有恶意软件,它可能会尝试“打电话回家”以获取说明或上载从系统中窃取的信息。它可能试图隐藏流量的一种方法是在加密的HTTPS Web会话中。因此,代理将是检测此类流量的有用工具。

但是,该恶意软件可能在您的计算机上运行,​​从理论上讲,它可以检测并绕过通过代理转发数据包的应用。在这种类型的体系结构中,使用普通用户凭据无法访问重定向软件并且无法绕过重定向软件非常重要。理想情况下,它已集成到计算机自己的网络驱动程序中。

另一个问题是该代理架构没有’对没有特殊重定向软件的系统没有帮助。因此,如果您的网络上存在打印机等易受攻击的设备,并且攻击者设法闯入该设备并将其连接回其命令和控制服务器,则代理将无济于事。如果他们以某种方式将恶意设备连接到您的网络,这也无济于事。

在这种情况下有用的替代代理架构基本上只是使用某种隧道或网络将网络防火墙的外部连接到代理服务器。 VPN(虚拟专用网)。然后,它将通过代理路由您的所有流量。但是,该体系结构有其自身的缺点-如果您将计算机从网络中带出以在家中或其他地方使用,则它将变得不受保护。

某些代理服务具有两种类型的体系结构,将使您可以一起使用它们来保护两种情况。

到目前为止,我们主要讨论的是Web代理,但是还有其他类型。一种有趣的类型是DNS(域名服务器)代理。 DNS代理不会解密任何内容。它仅处理您的DNS请求,并在您尝试访问已知或怀疑有问题的网站时在私人网页上显示特殊消息。

也有 SMTP(简单邮件传输协议)代理 用于安全扫描和转发电子邮件。但是,那是一个单独的巨大主题。

代理有什么问题?

我喜欢代理,并且建议使用它们,但是您应该意识到它们存在的问题。

第一个问题是道德问题。您可以查看我的私人网络浏览量吗?也许我正在银行业务,但我不希望您看到我的密码,并且可能有权访问我的帐户。也许我正在申请一份新工作,但我不希望任何人知道,以防万一。也许它包含我不希望老板知道的私人健康信息。

但是也许我在窃取公司机密,而您确实想知道。

解决此道德问题的通常方法是,除非代理人对其提出严重问题,否则永远不要让人们看一下Web会话的内容。这与指定将不会检查的站点列表结合在一起,该列表中将包括银行应用程序之类的内容。

代理的第二个问题是,您确实必须信任操作代理的服务提供商。他们在我的Web浏览会话中做什么?他们真的尊重我的银行隐私吗?它们在内部是安全的,还是可能有人入侵了它们并能够窥探私有数据?

对于这个问题,确实没有一个可靠的解决方案。您必须对有权访问您的敏感数据的任何服务提供商进行尽职调查。

最后,还有代理可能会错过的问题。我们已经讨论了一些示例,其中一些流量可能会越过代理服务器。但是,最好弄清楚您要监控的流量类型。

将优化网络代理以查看HTTPS流量,但即使它们使用相同的加密系统,也无法可靠地检查其他协议。尤其是,网络代理对于检查文件传输协议或torrent等内容不会有用。而且,它根本无法阻止来自互联网的未经请求的入站流量。这只是您的一种工具 安全工具箱.