代理服务器:一个赚差价的中间商
最近很多人都被某广告语“没有中间商赚差价”的反复重复洗脑了,但是代理服务器却很符合商业规则,因为它是一个专门提供服务然后从中赚取差价的中间商。
根据维基百科解释,代理(英语:Proxy),也称网络代理,是一种特殊的网络服务,允许一个网络终端(一般为客户端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全,防止攻击。提供代理服务的电脑系统或其它类型的网络终端称为代理服务器(英文:Proxy Server)。
具体而言,代理服务器一般可以分为正向代理与反向代理。
正向与反向代理服务器差别(图片来源于网络)
所谓正向代理,是从客户/客户端角度出发,即为了从原始服务器中取得内容,由客户端想代理服务器发出请求,并指定目标访问服务器,而后,代理(服务器)向目标服务器转角需求,并将获得的内容返回给客户端。正向代理闭环完成。
但是需要注意的是,在正向代理过程中隐藏了真是请求的客户端,即服务端不知道正式请求客户是谁。讲到这里,大家是不是想到了什么呢?没错,大多数科学上网行为都是这么发生的。
反向代理一般是从服务端出发,从网络或者客户(端)发向反向代理出请求,反向代理服务器收到需求后判断请求走向何处,然后再将结果反馈给客户端。反向代理闭环完成。
同样需要注意的是,在反向代理过程中,隐藏了内部服务器的信息,用户不需要知道是具体哪一台服务器提供的服务,只要知道反向代理服务器是谁就好了,我们甚至可以把反向代理服务器当做真正服务器看待。这种形式的代理通常被用作实现负载均衡,比如Nginx就是一种出色的反向代理服务器。
这种代理服务器具体有哪些应用场景呢?
其实在前面文章中,我们已经提到了代理服务器的两种重要功能:实现科学上网和负载均衡。但是代理服务器真的只有这两种功能吗?当然不是。对于代理服务器,有一种比较公认的比喻:代理服务器就好象一个大的Cache。
代理服务器功能之一
除了网友普遍使用的科学上网之外,在商用领域,代理服务器通常应用在两大应用场景之下:提高访问速度和隐藏真实IP免受攻击。
其实代理服务器提高访问速度这一点,正是印证了把代理服务器比作是一个大的Cache。一般代理服务器会设置一个较大的硬盘缓冲区,当外界有信息访问时会同时将其保存到缓冲区中,当再有用户访问同样的信息时,可以直接从缓冲区中读取信息,传给用户,从而提高了访问速度。
除了这种应用场景之外,还有一种则是企业员工比较讨厌的场景:企业通过代理服务器使员工只能访问公司内部的几个网站,限制公司员工的上网行为。还美其名曰:为了提高公司员工的工作效率……
通过代理服务器隐匿IP避免黑客攻击
当然,对于企业来说,信息安全至关重要,所以保障企业IP安全,避免被黑客攻击也是一堂必修课。所以,有不少网站都是通过代理服务器来隐藏自己的真是IP,来避免受到攻击的。从企业的角度来看,这自然是一个提高企业网络安全性的方法;但是,对于警察叔叔来说,代理服务器这种匿名功能也会为网络带来一定风险,因为会出现黑客隐藏自己IP等现象出现,为取证带来了难度。
代理服务器与VPN 傻傻分不清楚
正如文首所说,很多人不了解代理服务器是什么鬼,但是都多少听说过VPN,这是因为我国的具体国情决定的,简单来说,就是很多人需要通过VPN来实现科学上网,浏览外部网站。那么,从概念上和具体技术上VPN和代理服务器实际有哪些不同呢?
代理服务器还是VPN
从概念上来说,代理服务器(Proxy Server)是一种代理网络用户去取得网络信息的存在,是一种网络信息中转站。而VPN全称为“Virtual Private Network”,即虚拟专用网络。
根据维基百科的解释:虚拟专用网是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内联网的网络讯息。它利用已加密的通道协议(Tunneling Protocol)来达到保密、发送端认证、消息准确性等私人消息安全效果。
VPN
也就是说,VPN是一种虚拟出来的企业内部专线,通过在公用网络上建立专线网络,来进行加密通讯。目前这种VPN是一种比较普遍的应用模式,相反国内通过免费或付费VPN进行科学上网行为都属于VPN中的一种特殊使用方式。实际上VPN只是代理服务器中的一种形式.
对比代理服务器是处理内部网络访问外部网络问题,VPN大多是解决外部网络访问内部网络问题。举一个简单的例子,大多数公司的人力资源管理系统都只能在公司IP地址范围内才能够访问成功,如果不在公司IP网络下将无法打开网站,但是如果你想在外部网络(如互联网)上访问公司内部网络(如公司人力资源网),就可以通过VPN给外网分配一个内网IP地址来实现。
在本页最后,笔者需要表明态度:科学上网虽好,不及长城是宝;信息泛滥堪扰,安全上网正道
科学上网虽好 信息安全正道
不得不承认,出于各种原因,企业开通VPN上网,开通企业专线的行为并不少见,同时,各种免费收费的代理服务器和VPN服务也比比皆是。可能没有意识到,在我们使用代理服务器的时候,所有请求发出都要经过它,虽然代理服务器会为我们提供安全性和匿名性,但是,代理服务器也会对通过它发送的数据进行解码,这意味着,你的所有行为尽在它的掌握之中!
为了提高使用代理服务器的安全性,我们需要找到可信赖的服务器,或者采取其他安全措施。一个比较常见的做法是使用SSL安全协议链接。SSL其实是由Netscape研发并内置于浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回结果的加密协议。
某VPN供应商表示支持SSL加密
所谓的SSL VPN,指的是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器连回公司内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。因为它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问。
以上这些SSL(安全Socket层)安全协议链接听起来很复杂的感觉,但其实你可以简单把它理解为HPPT与HTTPS之间的相差的那个“S”,可以理解为一种HTTP的安全模式。
根据相关统计显示,在所有代理服务器中有25%的代理服务器修改了你的内容,更有接近80%的代理服务器没有采用SSL安全协议链接,如果通过HTTP来链接那么他就能够分析你的流量并且去你的登录凭证了(包括用户名和登录口令)。所以,我们在上网时一定要选择HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer)协议来确保企业和自身的信息安全。
注入病毒/广告脚本图片描述
当然,代理服务器除了有可能会对我们的信息安全造成危害之外,在使用代理服务器过程中,还可能遇到广告绑架等问题。所以,我们在使用过程中一定要确认网络环境安全性,避免遭受不必要的损失。
IETF 组织对基于IP 的VPN 解释为:通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。早期的专用网一般指的是电信运营商提供的Frame Relay或ATM 等虚拟固定线路(PVC)服务的网络,或通过运营商的DDN 专线网络构建用户自己的专用网。
现在的VPN 是在Internet 上临时建立的安全专用虚拟网络,用户节省了租用专线的费用,同时除了购买VPN 设备或VPN软件产品外,企业所付出的仅仅是向企业所在地的ISP 支付一定的上网费用,对于不同地区的客户联系也节省了长途电话费。这就是VPN 价格低廉的原因。
以OSI 模型参照标准,不同的VPN 技术可以在不同的OSI 协议层实现。
如下表: VPN在OSI中的层次 VPN实现技术
应用层 SSL VPN
会话层 Socks5 VPN
网络层 IPSec VPN
数据链路层 PPTP及L2TP
应用层VPN
SSL协议:
安全套接字层(Secure Socket Layer,SSL)属于高层安全机制,广泛应用于Web 浏览程序和Web 服务器程序,提供对等的身份认证和应用数据的加密。在SSL中,身份认证是基于证书的。服务器方向客户方的认证是必须的,而SSL 版本3中客户方向服务方的认证只是可选项,但是并没有得到广泛的应用。SSL 会话中包含一个握手阶段,在这个阶段通信双方交换证书,生成会话密钥,协商以后通信使用的加密算法。完成了握手以后,对于B/S的应用,应用程序就可以安全地传输数据而无需做很大修改,除了在传输数据时要调用SSL API而不是传统的套接字API,但是对于C/S结构的应用软件,其解决方案与会话层的VPN异曲同工。
SSL 是一个端到端协议,因而是在处于通信通路端点的机器上实现(通常是在客户机和服务器上),而不需要在通信通路的中间节点(如路由器或防火墙)上实现。虽然理论上SSL可以用于保护TCP/IP 通信,但事实上SSL的应用几乎只限于HTTP。在SSL通信中,服务器方使用443端口,而客户方的端口是任选的。
会话层VPN
Socks4协议:
Socks 处于OSI 模型的会话层,在Socks协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VPN隧道,然后代理应用程序的客户端与应用程序服务器进行通讯。在该框架中,协议能安全透明地穿过防火墙,并客户程序对目的主机是不可见的,从而很好地隐藏了目标主机。SOCKS 的关键技术是对客户端应用程序进行Socks化,加入对Socks协议的支持,然后服务器端再解析Socks化的结果。
Socks4协议,它为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议(不包括UDP)的客户/服务器程序提供了一个无需认证的防火墙,建立了一个没有加密认证的VPN隧道。
Socks5协议:
Socks5协议扩展了Socks4,以使其支持UDP、TCP框架规定的安全认证方案、地址解析方案中所规定的IPv4、域名解析和IPv6。为了实现这个Socks协议,通常需要重新编译或者重新链接基于TCP的客户端应用程序以使用Socks库中相应的加密函数,并且增加了对数据传输的完整性、数据包的压缩支持。
网络层VPN 技术
IPSec协议:
IPSec 也是IETF 支持的标准之一,它和前两种不同之处在于它是第三层即IP层的加密。 IPSec 不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。
IPSec协议可以设置成在两种模式下运行:一种是隧道(tunnel)模式,一种是传输(transport)模式。在隧道模式下,IPSec 把IPv4 数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销。
链路层VPN 技术
PTP协议:
PPTP(点到点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议,为使用电话上网的用户提供安全VPN业务,1996 年成为IETF草案。PPTP是PPP 协议的一种扩展,提供了在IP 网上建立多协议的安全VPN 的通信方式,远端用户能够通过任何支持PPTP 的ISP 访问企业的专用网络。
PPTP 提供PPTP 客户机和PPTP服务器之间的保密通信。PPTP 客户机是指运行该协议的PC 机,PPTP 服务器是指运行该协议的服务器。通过PPTP,客户可以采用拨号方式接入公共的IP 网。拨号客户首先按常规方式拨号到ISP的接入服务器,建立PPP 连接;在此基础上,客户进行二次拨号建立到PPTP 服务器的连接,该连接称为PPTP隧道。PPTP隧道实质上是基于IP协议的另一个PPP连接,其中IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。对于直接连接到IP网的客户则不需要第一次的PPP拨号连接,可以直接与PPTP服务器建立虚拟通路。
PPTP 的最大优势是Microsoft 公司的支持,另外一个优势是它支持流量控制,可保证客户机与服务器间不拥塞,改善通信性能,最大限度地减少包丢失和重发现象。PPTP 把建立隧道的主动权交给了客户,但客户需要在其PC 机上配置PPTP,这样做既会增加用户的工作量,又会造成网络的安全隐患。另外,PPTP 仅工作于IP,不具有隧道终点的验证功能,需要依赖用户的验证。
L2F/L2TP 协议:
L2F(Layer 2 Forwarding)是由Cisco 公司提出的,可以在多种介质(如ATM、FR、IP)上建立多协议的安全VPN 的通信方式。它将链路层的协议(如HDLC、PPP、ASYNC等)封装起来传送,因此网络的链路层完全独立于用户的链路层协议。该协议1998 年提交给IETF,成为RFC2341。
L2F远端用户能够通过任何拨号方式接入公共IP网络。首先,按常规方式拨号到ISP 的接入服务器(NAS),建立PPP 连接;NAS 根据用户名等信息发起第二次连接,呼叫用户网络的服务器,这种方式下,隧道的配置和建立对用户是完全透明的。L2F允许拨号服务器发送PPP帧,并通过WAN 连接到L2F 服务器。L2F 服务器将包去封装后,把它们接入到企业自己的网络中。与PPTP 所不同的是,L2F 没有定义客户。
L2F 的主要缺陷是没有把标准加密方法包括在内,因此它基本上已经成为一个过时的隧道协议。
VPN,Virtual Private Network(虚拟专用网络),被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,它可以帮助异地用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网络是专用网络的延伸,它包含了类似 Internet 的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。这个学名叫"虚拟专用网络"的VPN到底是个什么呢?
比方说:从北京到广州的班机,VPN就如机场在众多的的主干班机上辟出的一条临时专用班机来供贵宾直通到广州。并且,VPN的存在不会影响其它信息照常传递,又能像传统的专网一样保障内部信息在公共信道上传输时的机密性、完整性和可用性。
如果说得再通俗一点,VPN实际上是"线路中的线路",类型于城市大道上的"公交专用线",所不同的是,由VPN组成的"线路"并不是物理存在的,而是通过技术手段模拟出来,即是"虚拟"的。不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛地关注着。
公众信息网是对整个社会开放的公众基础网络,具有覆盖范围广、速度快、费用低、使用方便等特点。 VPN 技术就是利用公众信息网中传输 , 就如同在茫茫的广域网中为用户拉出一条专线。对于用户来讲,公众网络起到了 “ 虚拟专用 ” 的效果。通过 VPN ,网络对每个使用者也是专用的。也就是说, VPN 根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以 VPN 对于每个用户,也是 “ 专用 ” 的,这一点应该是 VPN 给用户带来的最明显的变化。