代理伺服器

本條目需要精通或熟悉計算機科學的編者參與及協助編輯。 請邀請適合的人士改善本條目。更多的細節與詳情請參見討論頁。 另見其他需要計算機科學專家關注的頁面。

代理（英語：Proxy）也稱網路代理，是一種特殊的網路服務，允許一個網路終端（一般為用戶端）通過這個服務與另一個網路終端（一般為伺服器）進行非直接的連線。一些閘道器、路由器等網路裝置具備網路代理功能。一般認為代理服務有利於保障網路終端的隱私或安全，防止攻擊。

提供代理服務的電腦系統或其它類型的網路終端稱為代理伺服器（英文：Proxy Server）。一個完整的代理請求過程為：用戶端首先與代理伺服器建立連線，接著根據代理伺服器所使用的代理協定，請求對目標伺服器建立連線、或者獲得目標伺服器的指定資源（如：檔案）。在後一種情況中，代理伺服器可能對目標伺服器的資源下載至本地快取，如果用戶端所要取得的資源在代理伺服器的快取之中，則代理伺服器並不會向目標伺服器傳送請求，而是直接返回快取了的資源。一些代理協定允許代理伺服器改變用戶端的原始請求、目標伺服器的原始回應，以滿足代理協定的需要。代理伺服器的選項和設定在電腦程式中，通常包括一個「防火牆」，允許用戶輸入代理位址，它會遮蓋他們的網路活動，可以允許繞過網際網路過濾實現網路存取。

代理伺服器的基本行為就是接收用戶端傳送的請求後轉發給其他伺服器。代理不改變請求URI，會直接傳送給前方持有資源的目標伺服器。

持有資源實體的伺服器被稱為源伺服器。從源伺服器返回的回應經過代理伺服器後再傳給用戶端。

代理協定[編輯]

Socks[編輯]

• SOCKS 4/5

HTTP[編輯]

• HTTP 協定

功能[編輯]

1. 提高存取速度：通常代理伺服器都設定一個較大的緩衝區，當有外界的資訊通過時，同時也將其儲存到緩衝區中，當其他用戶再存取相同的資訊時， 則直接由緩衝區中取出資訊，傳給用戶，以提高存取速度。
2. 控制對內部資源的存取：如某大學FTP（前提是該代理位址在該資源的允許存取範圍之內），使用教育網內位址段免費代理伺服器，就可以用於對教育網開放的各類FTP下載上傳，以及各類資料查詢共享等服務。
3. 過濾內容：例如限制對特定電腦的存取，將一種語言的資料翻譯成另一種語言，或是防禦代理伺服器兩邊的攻擊性存取。
4. 隱藏真實IP：上網者也可以通過代理伺服器隱藏自己的IP，免受攻擊。但是只一個代理很難保證安全，更安全的方法是利用特定的工具建立代理鏈（如：Tor）。
5. 突破自身IP存取限制：存取國外站點。中國教育網和169網等網路用戶可以通過代理存取國外網站。
6. 突破內容過濾機制限制，存取被過濾網站。如防火長城對中國境內網際網路存取的限制可透過使用代理伺服器瀏覽而突破。但是每到國慶、兩會等敏感時期，防火長城的封鎖力度會大大加強，大多數代理伺服器和代理軟體都會無法連線。（如：Tor、自由門、無界瀏覽等）^[1]

種類[編輯]

根據協定區分[編輯]

FTP代理伺服器

主要用於存取FTP伺服器，一般有上傳、下載以及快取功能。埠一般為21、2121等。

HTTP代理伺服器

主要用於存取網頁，一般有內容過濾和快取功能。埠一般為80、8080、3128等。

SSL/TLS代理

主要用於存取加密網站，一般有SSL或TLS加密功能（最高支援128位元加密強度）。埠一般為443。

RTSP代理

主要用於Realplayer存取Real串流媒體伺服器，一般有快取功能。埠一般為554。

Telnet代理

主要用於telnet遠端控制（駭客入侵電腦時常用於隱藏身分）。埠一般為23。

POP3/SMTP代理

主要用於POP3/SMTP方式收發郵件，一般有快取功能。埠一般為110/25。

SOCKS代理

只是單純傳遞封包，不關心具體協定和用法，所以速度快很多。一般有快取功能。埠一般為1080。（SOCKS代理協定又分為SOCKS4和SOCKS5，SOCKS4協定只支援TCP，而SOCKS5協定支援TCP和UDP，還支援各種身分驗證機制、伺服器端域名解析等。簡單來說：SOCKS4能做到的SOCKS5都可以做到，但SOCKS5能做到的SOCKS4不一定能做到）

根據匿名程度區分[編輯]

高度匿名代理

高度匿名代理會將封包原封不動的轉發，在伺服端看來就好像真的是一個普通用戶端在存取，而記錄的IP是代理伺服器的IP。

普通匿名代理

普通匿名代理會在封包上做一些改動，伺服端上有可能發現這是個代理伺服器，也有一定幾率追查到用戶端的真實IP。代理伺服器通常會加入的HTTP頭有HTTP_VIA和HTTP_X_FORWARDED_FOR 。

透明代理

透明代理不但改動了封包，還會告訴伺服器用戶端的真實IP。這種代理除了能用快取技術提高瀏覽速度，能用內容過濾提高安全性之外，並無其他顯著作用。（最常見的例子是：內網中的硬體防火牆）

間諜代理

間諜代理指組織或個人建立的，用於記錄使用者傳輸的資料，然後進行研究、監控等目的代理伺服器。

代理伺服器與網路安全[編輯]

對網路安全的貢獻[編輯]

它的內容過濾功能有利於防止駭客破壞電腦，保護電腦保安。

它的匿名功能可以幫助你隱藏真實IP，以免被駭客盯上。

對網路安全的破壞[編輯]

它的匿名功能可以幫助駭客隱藏自己的真實IP，進行破壞，這樣就加大了警方的取證難度。（較常見的做法是只掛一個代理，但是安全性更高的做法是用好幾台代理伺服器串成「代理鏈」，或者入侵完成後將代理伺服器的記錄檔、快取擦除掉。）還有一些惡意用戶常常掛了代理之後隨意留言，所以一些網站在用戶使用代理的時候可能會給你「禁言」。

它的中轉功能在使用時，所有發往伺服器的資料都基本全部明文，一個前文提到過的「間諜代理」就有可能記錄下所有經過的資料（包括使用者名稱密碼），所以如果可能的話，需要通過代理傳輸使用者名稱密碼時儘量使用SSL、TLS等協定先行加密。

反向代理伺服器[編輯]

反向代理伺服器架設在伺服器端，通過緩衝經常被請求的頁面來緩解伺服器（如Web伺服器）的工作量。安裝反向代理伺服器有幾個原因:

• 加密和SSL加速
• 負載平衡
• 快取靜態內容
• 壓縮
• 減速上傳
• 安全
• 外網發布

維基百科使用開放原始碼的Varnish代理伺服器。

分散式代理伺服器[編輯]

利用私立的域名解釋系統，讓相應的代理伺服器用戶端自動以安全連結連線上相應的多台代理伺服器伺服端，從而實現相應的代理功能。^[2]或通過特定的分散式網路，將用戶端與相應的出口端建立成虛擬的路由網路，讓不同的封包通過該網路的不同節點和不同出口與外界連結。

此類軟體較為著名的有Tor，自由門，無界瀏覽等。

參見[編輯]

• 虛擬私人網路（VPN）
• SSH

注釋[編輯]

1. ^ 此處參見防火長城和破網軟體
2. 周正. 一種追查加密代理數據包的有效方法. 電腦工程. 2007年12月, 33 (21): 142–143, 146 [2009-03-18]. ^{[失效連結]}

外部連結[編輯]

• Overview of how proxies and NTLM works, and a guide to configure NTLM-ASP for proxy bypassing
• 開放式目錄計劃中和Proxy software and scripts相關的內容
• 開放式目錄計劃中和Free web-based proxy services相關的內容
• 開放式目錄計劃中和Free http proxy servers相關的內容
• 免費線上代理伺服器
• 〈Proxy伺服器〉–第17章 鳥哥的Linux私房菜
• Proxy test online