本頁使用了標題或全文手工轉換

代理伺服器

維基百科,自由的百科全書
前往: 導覽搜尋
圖解:左邊和右邊的電腦在通訊時候,需要經過中間的電腦中轉,而中間的那部電腦就是代理服務器。

代理英語:Proxy)也稱網絡代理,是一種特殊的網絡服務,允許一個網絡終端(一般為客戶端)通過這個服務與另一個網絡終端(一般為服務器)進行非直接的連接。一些網關路由器等網絡設備具備網絡代理功能。一般認為代理服務有利於保障網絡終端的私隱或安全,防止攻擊。


提供代理服務的電腦系統或其它類型的網絡終端稱為代理服務器英文Proxy Server)。一個完整的代理請求過程為:客戶端首先與代理服務器建立連接,接着根據代理服務器所使用的代理協議,請求對目標服務器建立連接、或者獲得目標服務器的指定資源(如:文件)。在後一種情況中,代理服務器可能對目標服務器的資源下載至本地緩存,如果客戶端所要獲取的資源在代理服務器的緩存之中,則代理服務器並不會向目標服務器發送請求,而是直接返回緩存了的資源。一些代理協議允許代理服務器改變客戶端的原始請求、目標服務器的原始響應,以滿足代理協議的需要。代理服務器的選項和設置在計算機程序中,通常包括一個「防火牆」,允許用戶輸入代理地址,它會遮蓋他們的網絡活動,可以允許繞過互聯網過濾實現網絡訪問。

代理協議[編輯]

Socks[編輯]

HTTP[編輯]

功能[編輯]

  1. 提高訪問速度:通常代理服務器都設置一個較大的緩衝區,當有外界的信息通過時,同時也將其保存到緩衝區中,當其他用戶再訪問相同的信息時, 則直接由緩衝區中取出信息,傳給用戶,以提高訪問速度。
  2. 控制對內部資源的訪問:如某大學FTP(前提是該代理地址在該資源的允許訪問範圍之內),使用教育網內地址段免費代理服務器,就可以用於對教育網開放的各類FTP下載上傳,以及各類資料查詢共享等服務。
  3. 過濾內容:例如限制對特定計算機的訪問,將一種語言的數據翻譯成另一種語言,或是防禦代理服務器兩邊的攻擊性訪問。
  4. 隱藏真實IP:上網者也可以通過代理服務器隱藏自己的IP,免受攻擊。但是只一個代理很難保證安全,更安全的方法是利用特定的工具建立代理鏈(如:Tor)。
  5. 突破自身IP訪問限制:訪問國外站點。中國教育網和169網等網絡用戶可以通過代理訪問國外網站。
  6. 突破內容過濾機制限制,訪問被過濾網站。如防火長城對中國境內互聯網存取的限制可透過使用代理服務器瀏覽而突破。但是每到國慶、兩會等敏感時期,防火長城的封鎖力度會大大加強,大多數代理服務器和代理軟件都會無法連接。(如:Tor自由門無界瀏覽等)[1]

種類[編輯]

根據協議區分[編輯]

FTP代理服務器
主要用於訪問FTP服務器,一般有上傳、下載以及緩存功能。端口一般為21、2121等。
HTTP代理服務器
主要用於訪問網頁,一般有內容過濾和緩存功能。端口一般為80、8080、3128等。
SSL/TLS代理
主要用於訪問加密網站,一般有SSLTLS加密功能(最高支持128位加密強度)。端口一般為443。
RTSP代理
主要用於Realplayer訪問Real流媒體服務器,一般有緩存功能。端口一般為554。
Telnet代理
主要用於telnet遠程控制(黑客入侵計算機時常用於隱藏身份)。端口一般為23。
POP3/SMTP代理
主要用於POP3/SMTP方式收發郵件,一般有緩存功能。端口一般為110/25。
SOCKS代理
只是單純傳遞數據包,不關心具體協議和用法,所以速度快很多。一般有緩存功能。端口一般為1080。(SOCKS代理協議又分為SOCKS4SOCKS5,SOCKS4協議只支持TCP,而SOCKS5協議支持TCPUDP,還支持各種身份驗證機制、服務器端域名解析等。簡單來說:SOCK4能做到的SOCKS5都可以做到,但SOCKS5能做到的SOCK4不一定能做到)

根據匿名程度區分[編輯]

高度匿名代理
高度匿名代理會將數據包原封不動的轉發,在服務端看來就好像真的是一個普通客戶端在訪問,而記錄的IP是代理服務器的IP。
普通匿名代理
普通匿名代理會在數據包上做一些改動,服務端上有可能發現這是個代理服務器,也有一定幾率追查到客戶端的真實IP。代理服務器通常會加入的HTTP頭有HTTP_VIA和HTTP_X_FORWARDED_FOR 。
透明代理
透明代理不但改動了數據包,還會告訴服務器客戶端的真實IP。這種代理除了能用緩存技術提高瀏覽速度,能用內容過濾提高安全性之外,並無其他顯著作用。(最常見的例子是:內網中的硬件防火牆
間諜代理
間諜代理指組織或個人建立的,用於記錄使用者傳輸的數據,然後進行研究、監控等目的代理服務器。

代理服務器與網絡安全[編輯]

對網絡安全的貢獻[編輯]

它的內容過濾功能有利於防止駭客破壞電腦,保護電腦安全。

它的匿名功能可以幫助你隱藏真實IP,以免被駭客盯上。

對網絡安全的破壞[編輯]

它的匿名功能可以幫助駭客隱藏自己的真實IP,進行破壞,這樣就加大了警方的取證難度。(較常見的做法是只掛一個代理,但是安全性更高的做法是用好幾台代理服務器串成「代理鏈」,或者入侵完成後將代理服務器的日誌、緩存擦除掉。)還有一些惡意用戶常常掛了代理之後隨意留言,所以一些網站在用戶使用代理的時候可能會給你「禁言」。

它的中轉功能在使用時,所有發往服務器的數據都基本全部明文,一個前文提到過的「間諜代理」就有可能記錄下所有經過的數據(包括用戶名密碼),所以如果可能的話,需要通過代理傳輸用戶名密碼時儘量使用SSL、TLS等協議先行加密。

反向代理服務器[編輯]

反向代理服務器架設在服務器端,通過緩衝經常被請求的頁面來緩解服務器(如Web服務器)的工作量。安裝反向代理服務器有幾個原因:

  • 加密和SSL加速
  • 負載平衡
  • 緩存靜態內容
  • 壓縮
  • 減速上傳
  • 安全
  • 外網發布

維基百科使用開放源代碼Varnish代理服務器。

分布式代理服務器[編輯]

利用私立的域名解釋系統,讓相應的代理服務器客戶端自動以安全鏈接連接上相應的多台代理服務器服務端,從而實現相應的代理功能。[2]或通過特定的分布式網絡,將客戶端與相應的出口端建立成虛擬的路由網絡,讓不同的數據包通過該網絡的不同節點和不同出口與外界鏈接。

此類軟件較為著名的有Tor自由門無界瀏覽等。

參見[編輯]

注釋[編輯]

  1. ^ 此處參見防火長城破網軟件
  2. 周正. 一種追查加密代理數據包的有效方法. 計算機工程. 2007年12月, 33 (21): 142–143, 146 [2009-03-18]. [失效連結]

外部連結[編輯]