Vài nét về Proxy :
trang này đã được đọc lần
GIỚI THIỆU CHUNG
Proxy cung cấp cho người sử dụng truy xuất internet với những host đơn. Những proxy server
phục vụ những nghi thức đặt biệt hoặc một tập những nghi thức thực thi trên dual_homed host
hoặc basion host. Những chương trình client của người sử dung sẽ qua trung gian proxy server
thay thế cho server thật sự mà người sử dụng cần giao tiếp.
Proxy server xác định những yêu cầu từ client và quyết định đáp ứng hay không đáp ứng, nếu
yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay cho client và tiếp tục chuyển
tiếp đến những yêu cầu từ clientđến server, cũng như đáp ứng những yêu cầu của server đến
client. Vì vậy proxy server giống cầu nối trung gian giữa server và client
TẠI SAO TA PHẢI CẦN PROXY
Để đáp ứng những nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng cung cấp
bởi internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ. Trong hầu hết những
phương pháp được đaư ra để giải quyết điều này là cung cấp một host đơn để truy xuất đến
internet cho tất cả những người sử dụng. Tuy nhiên, phương pháp này không phải là phương
pháp giải quyết thỏa mản nhất bởi vì nó tạo cho người sử dung cảm thấy không thoải mái. Khi
truy xuất đến internet thì họ không thể thực hiện những công việc đó một cách trực tiếp, phải
login vào hual_homed host, thực hiện tất cả những công việc ở đây, và sau đó bằng cách nào đó
chuyển đổi kết quả đạt được của công việc trở lại workstation sử hửu
Điều này trở nên rấ tồi tệ ở những hệ thống với nhiền hệ điều hành khác nhau, vd: nếu hệ thống
là bastion_host nhưng riêng dual_host là unix.
Khi dual_home host được thiết kế trên mô hình không có proxy, điều đó sẽ khiến cho người sử
dụng thêm bực bồiva đáng chú ý hơn là giảm đi những tiện ích mà intenet cung cấp, tồi tệ hơn là
chúng thường không cung cấp một cách không an toàn và đầy đủ,khi một máy gồm nhiều người
sử dụng tất nhiên độ an toàn của nó sẽ giảm, đặt biệt khi cố gắn bắt với vạn vật bên ngoài.
Proxy server gíup người sử dụng thoải mái hơn và an toàn cho dual homed host, thay thế yêu
cầu của người sử dụng bằng cách gián tiến thông qua dual homed host. Hệ thống proxy cho
phép tất cả những tương tác nằng dưới một hình thức nào đó. User có cảm giác làm việc trực
tiếp với server trên internetmà họ thật sự muốn truy xuất
Proxy applycation chính là chương trình trên applycation level getaway firewall hành động trên

hình thức chuyển đổi những yêu cầu người sử dụng thông qua firewall, tiến trình này được thực
hiện trình tự như sau:
_ thành lập một kết nối applycation trên firewall.
_ proxy applycation thu nhận thông tin về việc kết nối và yêu cùa của user
_ sử dụng thông tin để xác nhận yêu cuầ đó được xác nhận không, nếu chấp nhận proxy sẽ tạo
sự kết nối khác từ firewall đến máy đích
_ sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa client và server
proxy system giải quyết được những rủi ro trên hệ thống bởi tránh user login vào hệ thống và ép
buộc thông qua phần mềm điều khiển.
SỰ CẦN THIẾT CỦA PROXY
Proxy cho user truy xuất dịch vụ trên internet theo nghĩa trực tiếp. Với dual host homed cần phải
login vào host trước khi sử dụng dịch vụ nào trên internet. Điều này thường không tiện lợi, và
một số người trể nên thất vọng khi họ có cảm giác thông qua firewall, với proxy nó giải quyết
được vấn đề này. Tất nhiên nó còn có những giao thức mới nhưng nói chung nó cũng khá tiện lợi
cho user. Bởi vì proxy cho phép user truy xuất những dịch vụ trên internet từ hệ thống cá nhân
của họ, vì vậy nó không cho phép packet đi trực tiếp giữa hệ thống sử dụng và internet. đường
đi là giáng tiếp thông qua dual homed host hoặc thông qua sự kết hợp giữa bastion host và
screening rounter.
Thực tế proxy hiểu được những nghi thức dưới, nên logging được thực hiện theo hướng hiệu quả
đặc biệt, vd: thay vì logging tất cả thông tin thông qua đường truyền, một proxy FPT server chỉ
log những lệnh phát ra và server đáp ứng mà nhận được. Kết quả này đơn giản và hửu dụng hơn
rất nhiều.
NHỮNG KHUYẾT ĐIỂM CỦA PROXY
Mặc dù phần mềm prory có hiệu quả rộng rải những dịch vụ lâu đời và đơn giàn như FPT và
Telnet, những phần mềm mới và ít được sử dụng rộng raãi thì hiếm khi thấy. Thường đó chính là
sự chậm trể giữa thời gian xuất xuất hiện một dịch vụ mới và proxy cho dịch vụ đó, khoảng thời
gian phụ thuộc vào phương pháp thiết kế proxy cho dịch vụ đó, điều này cho thấy khá khó khăn
khi đưa dịch vụ mới vào hệ thống khi chưa có proxy cho nó thì nên đặt bên ngoài fire wall, bởi vì
nếu đặt bên trong hệ thống thì đó chính là yếu điểm.
Đôi khi cần một proxy khác nhau cho mỗi nghi thức, bởi vì proxy server phải hiểu nghi thức đó

để xác định những gì được phép và không được phép. Để thực hiện nhiệm vụ như là client đến
server thật và server thật đến proxy client, sự kết hợp , install và config tất cả những server khác
nhau đó có thể rất khó khăn
Những dịch vụ proxy thường sửa đổi chương trình client, procedure hoặc cả hai. Ngoại trừ một
số dịch vụ được thiết kế cho proxying , proxy server yêu cầu sửa đổi với client hăọc procedure,
mỗi sự sửa đổi có những bất tiện riêng của nó, không thể luôn luôn sử dụng công cụ có sẵn với
những cấu trúc hiện tại của nó
Proxying dựa vào khà năng chèn vào proxy server giữa server thật và client mà yêu cầu tác động
tương đối thẳn thắn cả hai.
Những dịch vụ proxy không bảo vệ cho hệ thống ứng với những nghi thức kém chất lượng. Như
một giải pháp an toàn, proxying dựa vào những khả năng xác định những tác vụ trong nghi thức
an toàn. Không phải tất cả các dịch vụ đều cung cấp theo khuynh hướng an toàn này, như nghi
thức Xwindows cung cấp khá nhiều những tác vụ không an toàn.
PROXYING ĐÃ THỰC HIỆN NHƯ THẾ NÀO
Những chi tiếc trong việc proxying thực hiện như thế nào khác nhau từ dịch vụ này đến dịch vụ
khác, khi setup proxying, có một vài dịch vụ thưc hiện dể dàng hoặc tự động, nhưng vài dịch vụ
có sự chuyển đổi rất khó khăn. Tuy nhiện, trong hầu hết những dịch vụ ngoài yêu cầu những
phần mềm proxy server tương ứng, trên client cũng cần phải có những yêu cầu như sau:
Custum client software: phần mềm loại này phải biết như thế nào để liên kết với proxy server
thay server thật khi user yêu cầu và yêu cầu proxy server những gì server thật kết nối đến.
Những phần mềm custom client thường chỉ có hiệu quả chỉ một vài platform
Vd: packet getaway từ Sun là một proxy packet cho FTP và Telnet, nhưng nó chỉ được sử dụng
trên hệ thống SUN bởi vì nó cung cấp recompiled Sun binaries
Mặc dù nếu phần mềm hiệu quả cho platform tương ứ ng, nó cũng có thể không phải điều mà
user mong muốn, vd: macintosch có hàng chục chương trình PTF client, một trong vài số đó có
những giao diện khá ấn tượng với user, những phần khác có những đặc điểm hửu dụng khác.
Anarchie là chương trình mà nó kết hợp một archie client và FPT client bên trong chương trình
đơn, vì vậy user có thể tìm file với archie và dùng FPT để lất nó, tất cả với giao diện người sử
dụng thích hợp, điều này sẽ không may mắn cho chúng ta nếu muốn hổ trợ proxy server.
Sử dụng những chuyển đổi client cho proxying không dễ dàng thuyết phục user. Trong hầu hết

những hệ thống sử dụng client không chuyển đổi những kết nối bên trong và một số chuyển đổi
chỉ với những kết nối bên ngoài.
Custom user procedure: user dùng phần mềm client chuẩn để giao tiếp với proxy server và nó
kết nối với server thật, thay thế trực tiếp server thật.
Proxy server được thiết kế thực thi với phần mềm client chuẩn. Tuy nhiên, chúng yêu cuầ user
theo những custom procedure. User trước tiên kết nối với proxy server và sau đó cung cấp proxy
server tên host mà nó muốn kết nối đến. Bởi vì một vài nghi thức được thiết để chuyển những
thông tinnày, user không phải nhớ tên proxy server nhưng củng phải nhớ tên host mà nó muốn
giao tiếp.
Như thế nào để thực hiện công việc này, cần phải nắm được những thủ tục đặc trưng theo sau
mỗi nghi thức.
Vd: với FTP, có thể user muốnn nhận một file từ anonymous FTP server, user cần thực hiện
những bước sau:
1. sử dụng bất kỳ FTP client , user kết nối đến proxy server thay thế trực tiếp đến anonumous
FTP server.
2. Tại dấu nhắc user name, trong việc thêm vào tên chỉ định muốn sử dụng, user phải chỉ định
tên server thật muốn kết nối
CÁC DẠNG PROXY SYSTEM
Dạng kết nối trực tiếp
Phương pháp đầu tiên được sử dụngtrong kỹ thuật proxy là cho user kết nối trực tiếp đến firewall
proxy, sau đó proxy hỏi user cgo địa chỉ host hướng đến, đó là một phương pháp brute force sử
dụng bởi firewall một cách dể dàng, và đó cũng là nguyên nhân tại sao nó là phương pháp ít
thích hợp.
Trước tiên, yêu cầu user phải biết địa chỉ của firewall, kế tiếp nó yêu cầu user nhập vào hai địa
chỉ hai địa chỉ cho mỗi kết nối: địa chỉ của filewall và địa chỉ đích hướng đến. Cuối cùng nó ngăn
cản những ứng dụng hoặc những nguyên bản trên máy tính của user điều đó tạo sự kết nối cho
user, bởi vì chúng không biết như thế nào điều khiển những yêu cầu đặc biệt cho sự truyền
thông với proxy
DẠNG THAY ĐỔI CLIENT
Phương pháp kế tiếp sử dụng proxy setup phải thêm vào những ứng dụng tại máy tính của user.

User thưc thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nối thông qua firewall. User với
ứng dụng đó hành động chỉ như những ứng dụng không sửa đổi. User cho địa chỉ của host
hướng tới. Những ứng dụng thêm vào biết địa chỉ firewall từ file config cuc bộ, setup sự kết nối
đến ứng dụng proxy trên firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng. Phương
pháp này rất khó hiệu quả và có khả năng che dấu người sử dụng, tuy nhiên, cần có một ứng
dụng client thêm vào cho mỗi dịch vụ mạng là một đặt tính trở ngại.
PROXY VÔ HÌNH
Một phương pháp phát trỉnh gần đây cho phép truy xuất đến proxy, trong vài hệ thống firewall
được biết như proxy vô hình. Trong mô hình này, không cần có những ứng dụng thêm vào với
user và không kết nối trực tiếp đến firewall hoặc biết rằng firewall có tồn tại. Sử dụng sự điều
khiển đường đi cơ bản, tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua firewall.
Như những packet nhập vào firewall, tự động chúng được đổi hướng đến proxy đang chờ. Theo
hướng này,firewall thực hiện rất tốt việc giả như host đích. Khi kết nối tạo ra firewall proxy ,
client applycation nghỉ rằng nó được kết nối đến server thật, nếu được phép, proxy applycation
sau đó thực hiện hàm proxy chuẩn trong việc tạo kết nối thứ hai đến server thật
Proxy lớp ứng dụng thì đối nghị với proxy lớp circuuit: application_level proxy được thực thi ở lớp
ứng dụng. Nó cung cấp cho từng dịch vụ riêng và interpret những dòng lệnh trong nghi thức đó.
Một circuit_level proxy tạo nên một circuit giữa server và client không cần phải interpret những
nghi thức này. Nói chung, application_level proxy sử dung modified client. Để tạo ra kết nối
proxy, phải biết vị trí nào muốn kết nối đến. Một hybrid gateway đơn giản có thể chặn đứng kết
nối, nhưng một proxy host chỉ có thể nhận kết nồima đề nghị với nó, và phải chỉ ra vị trí muốn
kết nối. Một application_level proxy có thể nhận thông tin trong từng nghi thức riêng. Một
circuit_level proxy không thể interpret theo từng nghi thức và cần phải có thông tin hổ trợ cho nó
thông qua một cách nào khác. ưu điểm của circuit_level proxy server là ở đó nó cung cấp cho
hầu hết các nghi thức khác nhau , hầu như circuit_level proxy cũng là proxy server chung cho tất
cả các dạng nghi thức, tuy nhiên không phải tất cả các nghi thức đều dễ dàng được điều khiển
bởi circuit_level proxy , khuyết điểm của circuit_level proxy là nó điều khiển những gì xảy ra
thông qua proxy này như là packet filter, nó điều khiển những kết nối cơ bản dựa vào địa chỉ
nguồn và địa chỉ đích và không thể xác định những lệnh đi qua nó là an toàn hoặc những sự kiện
mà nghi thức đó mong muốn, circuit_level proxy dể dàng bị đánh lừa bởi những server setup lại

những cổng gán đến những server khác.
Proxy chung thì đối nghịch với những proxy chuyên biệt: mặc dù “application_level” và
“circuit_level” thường được dùng, nhưng đôi khi cũng phân biệt giữa “dedicated” và “generic”
proxy server là server chỉ phục vụ một nghi thức đơn , generic proxy server là server phục vụ cho
nhiền nghi thức. Thật ra, dedicated proxy server là application_level, và generic proxy server là
circuit_level.
Intelligent proxy server: một proxy server có thể làm nhiều điều chứkhông phải chỉ chuyễn tiếp
những yêu cầu, đó chính là một intelligent proxy server, vd: cern http proxy server caches data,
vì vậy nhiều yêu cầu data không ra khỏi hệ thống khi chưa có sự xử lý ccủa proxy server. Proxy
server (đặt biệt là application level server) có thể cung cấp login dễ dàng và điều khiển truy xuất
tốt hơn, còn circuit proxy thường bị giới hạn bởi những khả năng này
Using proxying với những dịch vụ internet:vì proxy server chèn vào giữa sự kết nối client và
server, nó phải được thích ứng với từng dịch vụ riêng, đội khi một số dịch vụ rất dễ với cách
phục vụ bình thường nhưng lại rất khó khi thêm vào proxy
Source: collection, unknown