- •Содержательная постановка задачи
- •Структура решения задачи
- •Теоретическая часть
- •Основные протоколы прокси-серверов
- •Http-прокси
- •Https-прокси
- •Socks прокси
- •Способы аутентификации
- •Способы ограничений
- •Обзор и анализ методов решения
- •Обзор существующих прокси-серверов
- •Kerio Control
- •Microsoft Forefront Threat Management Gateway
- •Сравнение
- •Обобщенный алгоритм
- •Описание и реализация применяемых методов
- •Установка прокси-сервера
- •Организация удаленного доступа
- •Конфигурирование прокси на клиенте
- •Создание пользователей
- •Создание списков доступа и ограничений
- •Настройка родительского (каскадного) прокси
- •Настройка кэширования
- •Настойка логирования
- •Заключение
Основные протоколы прокси-серверов
Http-прокси
HTTP-прокси – самый распространенный вид прокси. Его основное предназначение – организация работы браузеров, а также других программ, использующихHTTP. Принцип работы: программа или браузер посылает запрос прокси-серверу на открытие определенногоURL-ресурса, прокси-сервер получает данные с запрашиваемого ресурса и отдаёт эти данные вашему браузеру. С помощьюHTTP-прокси появляется возможность контролировать следующие запросы:
Кэширование данных (картинок, страниц и т.д.). Обеспечивает прирост скорости при статическом контенте и низкой пропускной способности внешнего канала связи.
Ограничение доступа к некоторым ресурсам: создание «черного списка» запрещенных сайтов или «белого списка» разрешенных.
Подмена запрашиваемого ресурса, отличного от того, который запрашивается пользователем: например, вместо баннеров с рекламой выдавать прозрачные картинки, которые будут существенно экономить время загрузки и трафик.
Равномерное распределение пропускной полосы между пользователями локальной сети: например, можно установить лимит скорости загрузки файлов для избежания загруженности сервера.
Ведение логов: можно подсчитывать трафик по каждому пользователю, смотреть список популярных сайтов.
Маршрутизация запросов: часть запросов направлять напрямую, а другую часть перенаправлять через другие прокси.
Однако отсутствие поддержки шифрования делает невозможным работу с сайтами, использующими HTTPS. Также,HTTP-прокси может передавать ваш реальныйIP-адрес в заголовках запроса, что полностью исключает данный вид прокси из разряда анонимных.
Https-прокси
HTTPS-прокси фактически являетсяHTTPпрокси, использующим шифрование (S–Secure). Весь трафик, проходящий через прокси-сервер, шифруется устойчивым ко взлому алгоритмом. При таком подходе отсутствует возможность узнать, какая именно информация (картинка, видео, документ) передаётся через прокси-сервер, так как прокси-сервер не участвует в процессе шифрования и дешифрования информации. Это позволяет использоватьHTTPSproxyдля передачи практически любогоTCP-протокола:POP3,SMTP,IMAP,NNTPи т.д.HTTPSвсе так же может передавать ваш реальныйIP-адрес в заголовках запроса, что полностью исключает данный вид прокси из разряда анонимных.
Socks прокси
SOCKSпрокси – самый прогрессивный протокол передачи информации. ПротоколSOCKSразрабатывался для того, чтобы программы, которые не поддерживают использование прокси, могли пользоваться ресурсами сети. Протокол представляет собой транслятор, но по сравнению с другими проксиSocks-клиент находится между прикладным и транспортным уровнем в сети.Socks-сервер располагается на прикладном уровне, что исключает привязку к протоколам высокого уровня.
SOCKSсервер не передаёт вашIPв заголовке запроса, являясь анонимным.
Способы аутентификации
По ip адресу. Авторизация по ip-адресу подходит для случаев, когда пользователь постоянно пользуется одним и тем же компьютером. Прокси определяет, какому пользователю принадлежит тот или иной трафик, исходя из ip-адреса его компьютера. Этот способ не подходит для терминальных серверов, так как в этом случае с одного ip-адреса работает несколько пользователей. Также этот способ не подходит для организаций, в которых пользователи постоянно перемещаются между рабочими местами.
По логину и паролю. Аутентификация по логину/паролю решает проблему привязки пользователей к собственному компьютеру. В этом случае при первом обращении к любому интернет-ресурсу, браузер выдаст пользователю запрос логина/пароля для доступа в интернет. Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси, и во всех программах, обращающихся в интернет, необходимо прописывать адрес прокси-сервера.
По идентификатору пользовательского агента. Позволяет разрешить доступ только через определенные браузеры. Например, можно запретить пользоваться старыми, незащищенными программами.
По MAC-адресу сетевого адаптера. Позволяет выставлять ограничения в сетях с динамическим назначениемip-адреса
По учетной записи Windows Server (Active Directory)