透明代理

透明代理(3張)

隨着防火牆技術的發展，安全性高、操作簡便、界面友好的防火牆逐漸成為市場熱點。在這種情況下，可以大大簡化防火牆設置、提高安全性能的透明模式和透明代理就成為衡量產品性能的重要指標。於是在推薦產品的過程中，很多廠商往往會介紹自己的產品實現了透明模式和透明代理。那麼究竟什麼是透明模式和透明代理呢？他們之間又有何關係呢？下面我們將做具體分析。 透明模式，顧名思義，首要的特點就是對用户是透明的（Transparent），即用户意識不到防火牆的存在。要想實現透明模式，防火牆必須在沒有IP地址的情況下工作，不需要對其設置IP地址，用户也不知道防火牆的IP地址。 ^[1] 

防火牆作為實際存在的物理設備，其本身也起到路由的作用，所以在為用户安裝防火牆時，就需要考慮如何改動其原有的網絡拓撲結構或修改連接防火牆的路由表，以適應用户的實際需要，這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式，即採用無IP方式運行，用户將不必重新設定和修改路由，防火牆就可以直接安裝和放置到網絡中使用，如交換機一樣不需要設置IP地址。

透明模式的防火牆就好象是一台網橋(非透明的防火牆好象一台路由器)，網絡設備(包括主機、路由器、工作站等)和所有計算機的設置（包括IP地址和網關）無須改變，同時解析所有通過它的數據包，既增加了網絡的安全性，又降低了用户管理的複雜程度。

而與透明模式在稱呼上相似的透明代理，和傳統代理一樣，可以比包過濾更深層次地檢查數據信息，比如FTP包的port命令等。同時它也是一個非常快的代理，從物理上分離了連接，這可以提供更復雜的協議需要，例如帶動態端口分配的H.323，或者一個帶有不同命令端口和數據端口的連接。這樣的通信是包過濾所無法完成的。

防火牆使用透明代理技術，這些代理服務對用户也是透明的，用户意識不到防火牆的存在，便可完成內外網絡的通訊。當內部用户需要使用透明代理訪問外部資源時，用户不需要進行設置，代理服務器會建立透明的通道，讓用户直接與外界通信，這樣極大地方便了用户的使用。

一般使用代理服務器時，每個用户需要在客户端程序中指明要使用代理，自行設置Proxy參數（如在瀏覽器中有專門的設置來指明HTTP或FTP等的代理）。而透明代理服務，用户不需要任何設置就可以使用代理服務器，簡化了網絡的設置過程。

透明代理的原理如下：假設A為內部網絡客户機，B為外部網絡服務器，C為防火牆。當A對B有連接請求時，TCP連接請求被防火牆截取並加以監控。截取後當發現連接需要使用代理服務器時，A和C之間首先建立連接，然後防火牆建立相應的代理服務通道與目標B建立連接，由此通過代理服務器建立A 和目標地址B的數據傳輸途徑。從用户的角度看，A和B的連接是直接的，而實際上A 是通過代理服務器C和B建立連接的。反之，當B對A有連接請求時原理相同。由於這些連接過程是自動的，不需要客户端手工配置代理服務器，甚至用户根本不知道代理服務器的存在，因而對用户來説是透明的。 ^[1] 

代理服務器可以做到內外地址的轉換，屏蔽內部網的細節，使非法分子無法探知內部結構。代理服務器提供特殊的篩選命令，可以禁止用户使用容易造成攻擊的不安全的命令，從根本上抵禦攻擊。

防火牆使用透明代理技術，還可以使防火牆的服務端口無法探測到，也就無法對防火牆進行攻擊，大大提高了防火牆的安全性與抗攻擊性。透明代理避免了設置或使用中可能出現的錯誤，降低了防火牆使用時固有的安全風險和出錯概率，方便用户使用。 ^[1] 

因此，透明代理與透明模式都可以簡化防火牆的設置，提高系統安全性。但兩者之間也有本質的區別：工作於透明模式的防火牆使用了透明代理的技術，但透明代理並不是透明模式的全部，防火牆在非透明模式中也可以使用透明代理。值得注意的是，雖然國內市場上很多防火牆產品都可提供透明代理訪問機制，但真正實現透明模式的卻不多——有很多廠商都宣稱自己的防火牆產品實現了透明模式，但在實際應用中，他們往往做不到這一點，而只是實現了透明代理。當然，市場上也有很多產品能真正提供透明模式，如Netscreen、東方龍馬、清華紫光等防火牆產品。

是否具有隱藏IP的功能。

非匿名代理：不具有匿名功能。

匿名代理。使用此種代理時，雖然被訪問的網站不能知道你的IP地址，但仍然可以知道你在使用代理，有些偵測ip的網頁也仍然可以查到你的ip。

高度匿名代理：使用此種代理時，被訪問的網站不知道你的IP地址，也不知道你在使用代理進行訪問。此種代理的隱藏。 ^[1] 

全匿名代理：不改變你的request fields（報文），使服務器端看來就像有個真正的客户瀏覽器在訪問它。當然，你的真實IP是隱藏起來的。服務器的網管不會認為你使用了代理。

普通匿名代理：能隱藏你的真實IP，但會更改你的request fields，有可能會被認為使用了代理，但僅僅是可能，一般説來是沒問題的。不過不要受它的名字的誤導，其安全性可能比全匿名代理更高，有的代理會剝離你的部分信息（就好比防火牆的stealth mode），使服務器端探測不到你的操作系統版本和瀏覽器版本。

elite代理，匿名隱藏性更高，可隱藏系統及瀏覽器資料信息等。此種代理安全性特強。

透明代理（簡單代理）：透明代理的意思是客户端根本不需要知道有代理服務器的存在，它改編你的request fields（報文），並會傳送真實IP。注意，加密的透明代理則是屬於匿名代理，意思是不用設置使用代理了，例如Garden 2程序。 ^[1] 

Http代理：代理客户機的http訪問，主要代理瀏覽器訪問網頁，它的端口一般為80、8080、3128等。

SSL代理:支持最高128位加密強度的http代理，可以作為訪問加密網站的代理。加密網站是指以https://開始的網站。ssl的標準端口為443。

HTTP CONNECT代理：允許用户建立TCP連接到任何端口的代理服務器，這種代理不僅可用於HTTP，還包括FTP、IRC、RM流服務等。

FTP代理：代理客户機上的ftp軟件訪問ftp服務器，其端口一般為21、2121。

POP3代理：代理客户機上的郵件軟件用pop3方式收郵件，其端口一般為110。

Telnet代理：能夠代理通信機的telnet，用於遠程控制，入侵時經常使用。其端口一般為23。

Socks代理：是全能代理，就像有很多跳線的轉接板，它只是簡單地將一端的系統連接到另外一端。支持多種協議，包括http、ftp請求及其它類型的請求。它分socks 4 和socks 5兩種類型，socks 4只支持TCP協議而socks 5支持TCP/UDP協議，還支持各種身份驗證機制等協議。其標準端口為1080。

TUNNEL代理：經HTTPTunnet程序轉換的數據包封裝成http請求（Request）來穿透防火牆，允許利用HTTP服務器做任何TCP可以做的事情，功能相當於Socks5。

文獻代理：可以用來查詢數據庫的代理，通過這些代理，可以獲得互聯網的相關科研學術的數據庫資源，例如查詢Sciencedirect網站（簡稱SD）、Academic Press、IEEE，SPRINGER等數據庫。

教育網代理：指學術教育機構局域網通過特定的代理服務器可使無出國權限或無訪問某IP段權限的計算機訪問相關資源。

跳板代理：應用於跳板程序，可以看作一種具有動態加密的特殊socks5代理，也可直接用於PSD軟件。其端口一般為1813。

Ssso代理：代理客户機上的ssso程序訪問遠程網站，具有SSL加密強度的超級代理，支持socks。

Flat代理：代理客户機上的flatsurfer程序訪問遠程網站，具有高強度加密數據流的特殊代理，支持socks，最大可設置三次級聯，可以設置穿越代理。其端口一般為6700。

SoftE代理：代理客户機上的SoftEther程序訪問遠程網站，應用虛擬集線器HUB和虛擬網卡技術，具備VPN功能及多種認證方式的代理，符合https協議。 ^[1]