Admin
18th September 2008, 12:52 PM
پراكسي سرور
http://www.jamejamonline.ir/Media/images/1387/03/26/100941203033.jpg
در يك تشكيلات كه از اينترنت استفاده ميكند، يك پراكسي سرور تركيبي از سختافزار و نرمافزار است كه بعنوان يك واسطه بين كاربر داخلي و اينترنت عمل ميكند به طوري كه امنيت، نظارت مديريتي و سرويسهاي caching تامين ميشود. يك سرور پراكسي داراي پروتكل مشخصي است، بنابراين براي هرنوع پروتكلي HTTP)، FTP، Gogher و غيره) بايد تنظيم شود.
پراكسي سرور بعنوان بخشي از يك سرور gateway (نقطهاي در يك شبكه كه ورودي به شبكهاي ديگر است) رفتار ميكند و ميتواند براي انجام يك يا چند سرويس كه در بخش بعد به آن اشاره ميشود، تنظيم شود.
عملكردهايي كه پراكسي سرور ميتواند داشته باشد با تعريفي كه از يك پراكسي ارائه شد، ميتوان از پراكسي براي بهبود عملكرد يك شبكه استفادههايي كرد كه در اينجا به چند مورد آن به اختصار اشاره ميكنيم:
Firewall (ديواره آتش)
براي سازماني كه فايروال دارد، پراكسي سرور تقاضاهاي كاربران را به فايروال ميدهد كه با آنها اجازه ورود يا خروج به شبكه داخلي را ميدهد.
Caching (ذخيره سازي)
سرور پراكسي كه عمل caching را انجام ميدهد، منابعي مانند صفحات وب و فايلها را ذخيره ميكند. هنگامي كه يك منبع مورد دسترسي قرار گرفت، در سرور دخيره ميشود و تقاضاهاي بعدي براي همين منبع مشخص با محتويات cache پاسخ داده ميشود. اين عمل، دسترسي به آن منبع را براي كاربراني كه از طريق پراكسي به اينترنت متصل هستند، سرعت ميبخشد و از طرفي از ترافيك اينترنت ميكاهد و اجازه استفاده بهتر از پهناي باند به كاربران داده ميشود.
Filtering (فيلتر كردن)
سرور پراكسي ميتواند ترافيك وارد شونده و خارج شونده از شبكه را بررسي كند و به آنچه كه با معيارهاي امنيتي يا سياست سازمان مغايرت دارد، اجازه عبور ندهد.
Authentication (تصديق هويت)
بسياري منابع الكترونيكي سازماني توسط ورود با كلمه رمز يا قرار داشتن در دامنه مشخصي از IP محدود شدهاند. كاربران دور معمولاً از يك سرويسدهنده اينترنت ثالث استفاده ميكنند كه در اين صورت اين كاربر يا IP كامپيوتر آن براي سازمان معتبر تشخيص داده نميشود.
براي كاربراني كه بصورت فيزيكي به شبكه داخلي سازمان متصل نشدهاند، پراكسي طوري عمل ميكند كه به كاربران دور اجازه ورود موقت داده شود يا به آنها بطور موقت يك IP سازمان تخصيص داده شود كه بتوانند به منابع محدود شده دسترسي پيدا كنند.
Anonymization (تغيير هويت)
براي محافظت شبكه داخلي يك سازمان از كاربران موجود در اينترنت، سرور پراكسي ميتواند هويت سيستمهاي متقاضي داخلي را تغيير دهد.
اگر منبع (مثلاً صفحه وب يا فايل) تقاضا شده توسط كاربر داخلي سازمان، در cache موجود نباشد، سرور پراكسي براي آن كاربر، بعنوان كلاينت عمل ميكند و از يكي از آدرسهاي IP خودش براي تقاضاي آن منبع از سرور موجود در اينترنت استفاده ميكند. اين آدرس IP «موقت»، آدرسي نيست كه واقعاً در شبكه داخلي سازمان استفاده گردد و در نتيجه از بعضي از حملههاي نفوذگران جلوگيري ميشود. هنگامي كه صفحه تقاضا شده، از طرف سرور روي اينترنت به پراكسي سرور ميرسد، پراكسي سرور آن را به تقاضاي اوليه مرتبط ميكند و براي كاربر ميفرستد. اين پروسه تغيير دادن IP باعث ميشود كه تقاضا دهنده اوليه قابل رديابي نباشد و همچنين معماري شبكه سازمان از ديد بيروني مخفي بماند.
Logging (ثبت كردن)
پراكسي سرور ميتواند تقاضاها را بهمراه اطلاعات لازم در جايي ثبت كند تا بعداً امكان پيگيري اعمال كاربران داخل سازمان فراهم شود.
پيكربندي مرورگر
تعامل كاربر: كاربر بايد از ابتدا مرورگر خود را پيكربندي كند كه بدين ترتيب نياز است كه اطلاعات را از پشتيباني فني سازمان بدست آورد.
پيكربندي دستي: در اين پيكربندي كاربر بايد سروري را كه نرمافزار پراكسي را اجرا ميكند، مشخص كند. كاربر بايد استثنائات هر دامنهاي را كه ميتواند بطور مستقيم به آن وصل شود، مشخص كند و به اين ترتيب در اتصال به اين دامنههاي مشخصشده، پراكسي در مسير قرار نميگيرد.
پيكربندي خودكار: يك فايل تنظيم پيكربندي توسط سازمان كه منطق استفاده از پراكسي توسط مرورگر در آن قرار دارد. URL فايل بايد در پيكربندي مرورگر وارد گردد. اينكه يك تقاضا از طريق پراكسي مسيريابي شود يا خير، بستگي به شروط موجود در آن فايل دارد.
يكي از بهترين پروكسي سرورهاي موجود در اينترنت كه در مقاله هاي گذشته درباره آن توضيح داده ايم، Squid نام دارد كه به صورت رايگان بر روي سرورهاي لينوكس نصب مي شود.
بهروز كماليان
منبع: http://www.jamejamonline.ir (http://www.jamejamonline.ir/)
http://www.jamejamonline.ir/Media/images/1387/03/26/100941203033.jpg
در يك تشكيلات كه از اينترنت استفاده ميكند، يك پراكسي سرور تركيبي از سختافزار و نرمافزار است كه بعنوان يك واسطه بين كاربر داخلي و اينترنت عمل ميكند به طوري كه امنيت، نظارت مديريتي و سرويسهاي caching تامين ميشود. يك سرور پراكسي داراي پروتكل مشخصي است، بنابراين براي هرنوع پروتكلي HTTP)، FTP، Gogher و غيره) بايد تنظيم شود.
پراكسي سرور بعنوان بخشي از يك سرور gateway (نقطهاي در يك شبكه كه ورودي به شبكهاي ديگر است) رفتار ميكند و ميتواند براي انجام يك يا چند سرويس كه در بخش بعد به آن اشاره ميشود، تنظيم شود.
عملكردهايي كه پراكسي سرور ميتواند داشته باشد با تعريفي كه از يك پراكسي ارائه شد، ميتوان از پراكسي براي بهبود عملكرد يك شبكه استفادههايي كرد كه در اينجا به چند مورد آن به اختصار اشاره ميكنيم:
Firewall (ديواره آتش)
براي سازماني كه فايروال دارد، پراكسي سرور تقاضاهاي كاربران را به فايروال ميدهد كه با آنها اجازه ورود يا خروج به شبكه داخلي را ميدهد.
Caching (ذخيره سازي)
سرور پراكسي كه عمل caching را انجام ميدهد، منابعي مانند صفحات وب و فايلها را ذخيره ميكند. هنگامي كه يك منبع مورد دسترسي قرار گرفت، در سرور دخيره ميشود و تقاضاهاي بعدي براي همين منبع مشخص با محتويات cache پاسخ داده ميشود. اين عمل، دسترسي به آن منبع را براي كاربراني كه از طريق پراكسي به اينترنت متصل هستند، سرعت ميبخشد و از طرفي از ترافيك اينترنت ميكاهد و اجازه استفاده بهتر از پهناي باند به كاربران داده ميشود.
Filtering (فيلتر كردن)
سرور پراكسي ميتواند ترافيك وارد شونده و خارج شونده از شبكه را بررسي كند و به آنچه كه با معيارهاي امنيتي يا سياست سازمان مغايرت دارد، اجازه عبور ندهد.
Authentication (تصديق هويت)
بسياري منابع الكترونيكي سازماني توسط ورود با كلمه رمز يا قرار داشتن در دامنه مشخصي از IP محدود شدهاند. كاربران دور معمولاً از يك سرويسدهنده اينترنت ثالث استفاده ميكنند كه در اين صورت اين كاربر يا IP كامپيوتر آن براي سازمان معتبر تشخيص داده نميشود.
براي كاربراني كه بصورت فيزيكي به شبكه داخلي سازمان متصل نشدهاند، پراكسي طوري عمل ميكند كه به كاربران دور اجازه ورود موقت داده شود يا به آنها بطور موقت يك IP سازمان تخصيص داده شود كه بتوانند به منابع محدود شده دسترسي پيدا كنند.
Anonymization (تغيير هويت)
براي محافظت شبكه داخلي يك سازمان از كاربران موجود در اينترنت، سرور پراكسي ميتواند هويت سيستمهاي متقاضي داخلي را تغيير دهد.
اگر منبع (مثلاً صفحه وب يا فايل) تقاضا شده توسط كاربر داخلي سازمان، در cache موجود نباشد، سرور پراكسي براي آن كاربر، بعنوان كلاينت عمل ميكند و از يكي از آدرسهاي IP خودش براي تقاضاي آن منبع از سرور موجود در اينترنت استفاده ميكند. اين آدرس IP «موقت»، آدرسي نيست كه واقعاً در شبكه داخلي سازمان استفاده گردد و در نتيجه از بعضي از حملههاي نفوذگران جلوگيري ميشود. هنگامي كه صفحه تقاضا شده، از طرف سرور روي اينترنت به پراكسي سرور ميرسد، پراكسي سرور آن را به تقاضاي اوليه مرتبط ميكند و براي كاربر ميفرستد. اين پروسه تغيير دادن IP باعث ميشود كه تقاضا دهنده اوليه قابل رديابي نباشد و همچنين معماري شبكه سازمان از ديد بيروني مخفي بماند.
Logging (ثبت كردن)
پراكسي سرور ميتواند تقاضاها را بهمراه اطلاعات لازم در جايي ثبت كند تا بعداً امكان پيگيري اعمال كاربران داخل سازمان فراهم شود.
پيكربندي مرورگر
تعامل كاربر: كاربر بايد از ابتدا مرورگر خود را پيكربندي كند كه بدين ترتيب نياز است كه اطلاعات را از پشتيباني فني سازمان بدست آورد.
پيكربندي دستي: در اين پيكربندي كاربر بايد سروري را كه نرمافزار پراكسي را اجرا ميكند، مشخص كند. كاربر بايد استثنائات هر دامنهاي را كه ميتواند بطور مستقيم به آن وصل شود، مشخص كند و به اين ترتيب در اتصال به اين دامنههاي مشخصشده، پراكسي در مسير قرار نميگيرد.
پيكربندي خودكار: يك فايل تنظيم پيكربندي توسط سازمان كه منطق استفاده از پراكسي توسط مرورگر در آن قرار دارد. URL فايل بايد در پيكربندي مرورگر وارد گردد. اينكه يك تقاضا از طريق پراكسي مسيريابي شود يا خير، بستگي به شروط موجود در آن فايل دارد.
يكي از بهترين پروكسي سرورهاي موجود در اينترنت كه در مقاله هاي گذشته درباره آن توضيح داده ايم، Squid نام دارد كه به صورت رايگان بر روي سرورهاي لينوكس نصب مي شود.
بهروز كماليان
منبع: http://www.jamejamonline.ir (http://www.jamejamonline.ir/)