Рассмотрим некоторые разновидности прокси: прямые (пересылочные) прокси (forward proxy) и реверсные (обратные) прокси (reverse proxy), прокси прикладного уровня и прокси сеансового уровня.
Реверсный прокси.
С некоторого момента Интернет становится все более и более враждебным, и организации начинают испытывать необходимость в развертывании более защищенных периметров, чем это было возможно при использовании статических пакетных фильтров. После развертывания первых брандмауэров внутренним пользователям был необходим способ, позволяющий добраться до серверов Интернета через периметр. Эту проблему смог решить прокси. Как вы уже знаете, прокси одновременно является и клиентом, и сервером, поэтому трактовка прямой и реверсный прокси (forward/reverse proxy) достаточно двусмысленна. Большинство людей считает, что если внутренний пользователь осуществляет доступ к службе Интернета через прокси, то такой прокси является прямым прокси (forward proxy). Реверсный (обратный) прокси (reverse proxy) подразумевает отличное использование технологии прокси. Реверсный прокси может использоваться с внешней стороны брандмауэра для представления внешним клиентам защищенного контент-сервера, предохраняя от прямого, неконтролируемого доступа к данным ваших серверов.
Реверсный прокси может быть использован также с целью повышения производительности; перед интенсивно используемым сервером можно разместить несколько прокси – это позволит регулировать его нагрузку. Прямые или реверсные приложения могут быть тем же прокси-сервером; различие состоит только в конфигурации.
Преимущества прокси-брандмауэров.- В сравнении с остальными типами брандмауэров, прокси-брандмауэры обладают целым рядом преимуществ:- Внутренние IP-адреса защищены от внешнего мира благодаря тому, что прокси-службы не допускают прямых соединений между внешними серверами и внутренними компьютерами.- Администраторы имеют возможность производить мониторинг нарушений политики безопасности брандмауэра, используя для этого записи аудита, генерируемые службами прокси.- Использование прокси-брандмауэров позволяет организовать защиту, основанную на пользователях. Службы прокси эффективны при защите от неавторизованного использования на однопользовательской основе и способны поддерживать строгую аутентификацию.- Вследствие того, что возможность организации соединений основана на службах, а не на физических соединениях, прокси-брандмауэры оказываются неуязвимыми перед IP-спуфингом (подмена IP адреса). IP-адреса хостов в пределах внутренней защищенной сети не требуют соединения посредством прокси-брандмауэра.- Прокси-брандмауэры обладают лучшими возможностями регистрации, чем брандмауэры фильтрации и маршрутизации, и предлагают единственную точку для аудита и управления.- Пользователи не могут войти в прокси-серверы. В бастионных хостах не требуются никакие учетные записи. Прокси-службы работают по команде пользователей.- Прокси-сервер обеспечивает централизованную точку для сети, и наблюдение за трафиком может выполняться очень тщательно. Это, однако, может создать узкие места сетевого трафика.- Топология внутренней защищенной сети в прокси-брандмауэрах является скрытой.- Некоторые прокси предлагают улучшенные средства выполнения аудита, имея инструменты для мониторинга трафика.- Прокси-брандмауэры предлагают строгую аутентификацию и регистрацию. Возможно выполнение предварительной аутентификации прикладного трафика, прежде чем он достигнет внутренних хостов, а также более эффективная регистрация по сравнению со стандартной регистрацией хоста.- Прокси-брандмауэры имеют менее сложные правила фильтрации, нежели брандмауэры пакетных фильтров. Правила в маршрутизаторе пакетной фильтрации менее сложные, чем если бы маршрутизатору необходимо было отфильтровывать прикладной трафик и пересылать его нескольким определенным системам. Маршрутизатору необходимо разрешить только прикладной трафик, направляемый шлюзу прикладного уровня, а весь остальной трафик удалить.