44.Типы прокси.

Рассмотрим некоторые разно­видности прокси: прямые (пересылочные) прокси (forward proxy) и реверсные (обратные) прокси (reverse proxy), прокси приклад­ного уровня и прокси сеансового уровня.

Реверсный прокси.

С некоторого момента Интернет становится все более и более враждебным, и организации начинают испытывать необходимость в развертывании более защи­щенных периметров, чем это было возможно при использовании статических па­кетных фильтров. После развертывания первых брандмауэров внутренним пользова­телям был необходим способ, позволяющий добраться до серверов Интернета через периметр. Эту проблему смог решить прокси. Как вы уже знаете, прокси одновре­менно является и клиентом, и сервером, поэтому трактовка прямой и реверсный прокси (forward/reverse proxy) достаточно двусмысленна. Большинство людей счита­ет, что если внутренний пользователь осуществляет доступ к службе Интернета через прокси, то такой прокси является прямым прокси (forward proxy). Реверсный (обратный) прокси (reverse proxy) подразумевает отличное использо­вание технологии прокси. Реверсный прокси может использоваться с внешней сто­роны брандмауэра для представления внешним клиентам защищенного контент-сервера, предохраняя от прямого, неконтролируемого доступа к данным ваших серверов. Реверсный прокси может быть использован также с целью повышения производительности; перед интенсивно используемым сервером можно размес­тить несколько прокси – это позволит регулировать его нагрузку. Прямые или реверсные приложения могут быть тем же прокси-сервером; различие состоит толь­ко в конфигурации.

Преимущества прокси-брандмауэров.

• В сравнении с остальными типами брандмауэров, прокси-брандмауэры обладают целым рядом преимуществ:

• Внутренние IP-адреса защищены от внешнего мира благодаря тому, что прокси-службы не допускают прямых соединений между внешними серверами и внутренними компьютерами.

• Администраторы имеют возможность производить мониторинг нарушений политики безопасности брандмауэра, используя для этого записи аудита, ге­нерируемые службами прокси.

• Использование прокси-брандмауэров позволяет организовать защиту, осно­ванную на пользователях. Службы прокси эффективны при защите от неавто­ризованного использования на однопользовательской основе и способны поддерживать строгую аутентификацию.

• Вследствие того, что возможность организации соединений основана на службах, а не на физических соединениях, прокси-брандмауэры оказываются неуязвимыми перед IP-спуфингом (подмена IP адреса). IP-адреса хостов в пределах внутренней защищенной сети не требуют соединения посредством прокси-брандмауэра.

• Прокси-брандмауэры обладают лучшими возможностями регистрации, чем брандмауэры фильтрации и маршрутизации, и предлагают единственную точ­ку для аудита и управления.

• Пользователи не могут войти в прокси-серверы. В бастионных хостах не тре­буются никакие учетные записи. Прокси-службы работают по команде пользователей.

• Прокси-сервер обеспечивает централизованную точку для сети, и наблюде­ние за трафиком может выполняться очень тщательно. Это, однако, может создать узкие места сетевого трафика.

• Топология внутренней защищенной сети в прокси-брандмауэрах является скрытой.

• Некоторые прокси предлагают улучшенные средства выполнения аудита, имея инструменты для мониторинга трафика.

• Прокси-брандмауэры предлагают строгую аутентификацию и регистрацию. Возможно выполнение предварительной аутентификации прикладного тра­фика, прежде чем он достигнет внутренних хостов, а также более эффектив­ная регистрация по сравнению со стандартной регистрацией хоста.

• Прокси-брандмауэры имеют менее сложные правила фильтрации, нежели брандмауэры пакетных фильтров. Правила в маршрутизаторе пакетной филь­трации менее сложные, чем если бы маршрутизатору необходимо было от­фильтровывать прикладной трафик и пересылать его нескольким определен­ным системам. Маршрутизатору необходимо разрешить только прикладной трафик, направляемый шлюзу прикладного уровня, а весь остальной трафик удалить.