20-代理上网-新华三集团-H3C

20-代理上网

本章节下载 (899.56 KB)

20-代理上网

1.2.2 SOCKS4/SOCKS5工作原理

1 代理上网

代理服务器是一种重要的服务器安全功能，主要工作在开放系统互联(OSI)模型的会话层或应用层，从而起到上网行为控制、提高访问速度以及保护内网安全等作用。在一般情况下，企业设置代理服务器一般都是基于以下几点原因考虑。当前代理功能支持HTTP代理、SOCKS4代理、SOCKS5代理三种方式。

代理服务器是一种重要的服务器安全功能，主要工作在开放系统互联(OSI)模型的会话层或应用层，从而起到上网行为控制、提高访问速度以及保护内网安全等作用。

在一般情况下，企业设置代理服务器一般都是基于以下几点原因考虑：

· 控制员工互联网使用：阻断与工作无关内容，提高工作效率；

· 保障隐私权益：某些代理服务器将更改Web请求包括的IP地址和其他标识信息，保护用户隐私。

· 节省带宽和提升访问速度：如果多次请求或者多个请求是同样的内容，可以跳过从真实服务器取数据的过程，而是直接从代理服务器缓存中获取，提升访问速度。

· 提高安全性：代理服务器支持配置加密Web请求，还可以阻止已知恶意软件站点通过代理服务器进行任何访问，保护企业内网安全。

· 访问被阻止资源：代理服务器允许用户规避公司或政府施加的内容限制（例如查找技术资料需要访问谷歌等境外网站）。

在隐私性和安全性要求较高的环境中，内网终端和服务器不允许和互联网直接通信，必须通过代理设备，保障上网终端的隐私安全，保障业务系统外联尤其是第三方业务互连的隐私安全，避免被攻击。

HTTP代理与SOCKS代理的区别：

· HTTP代理：最简单的一种代理形式，能够代理客户机的HTTP访问，上网浏览网页使用的都是HTTP协议，通常的HTTP代理端口为80、3128或8080端口。

· SOCKS代理：SOCKS代理与HTTP等其他类型的代理不同，它只是简单地传递数据包，而并不关心是何种应用协议，既可以是HTTP协议，也可以是FTP协议，或者其他任何协议，所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。

· SOCKS代理又分为SOCKS4和 SOCKS5，二者不同的是SOCKS4代理只支持TCP协议（即传输控制协议），而SOCKS5代理则既支持TCP协议又支持UDP协议（即用户数据包协议），还支持各种身份验证机制、服务器端远程域名解析等。SOCK4能做到的SOCKS5都可得到，但SOCKS5能够做到的SOCKS则不一定能做到。目前SOCKS5是最常用的一种SOCKS代理。

1.2 原理介绍

1.2.1 HTTP 代理工作原理

1. 普通代理

普通代理扮演的是“中间人”角色，对于连接到它的客户端来说，它是服务端；对于要连接的服务端来说，它是客户端。它就负责在两端之间来回传送HTTP报文。

HTTP客户端向代理发送请求报文，代理服务器需要正确地处理请求和连接，同时向服务器发送请求，并将收到的响应转发给客户端。

2. 隧道代理

隧道代理通过 HTTP 协议正文部分（Body）完成通讯，以 HTTP 的方式实现任意基于 TCP 的应用层协议代理。这种代理使用 HTTP 的 CONNECT 方法建立连接。

HTTP 客户端通过 CONNECT 方法请求隧道代理创建一条到达任意目的服务器和端口的 TCP 连接，并对客户端和服务器之间的后继数据进行盲转发。

1.2.2 SOCKS4/SOCKS5工作原理

SOCKS分为以下几个过程

(1) 认证协商

客户端首先向SOCKS服务器发送自己的协议版本号，以及支持的认证方法。SOCKS服务器向客户端返回协议版本号以及选定的认证方法。

(2) 认证

客户端根据服务器端选定的方法进行认证，如果选定的方法是02,则根据RFC 1929定义的方法进行认证。RFC 1929定义的密码是明文传输，安全性较差。

(3) 请求

SOCKS 5 协议请求方法又分如下三种：

· Connect

比较常见的请求，客服端请求服务器发起链接到目标主机，目标端口的代理。SOCKS 服务器将使用目标主机，目标端口, 客户端的源地址和端口号来评估CONNECT 请求是否通过。成功之后后续流量都会被转发到目标主机的目标端口。

· Bind

BIND 请求通常被用在那些要求目标主机连接客户端的情况。FTP 是一个典型的例子。它建立一个从客户端到服务器的连接来传送命令和状态，而使用另一个从服务器到客户端的连接来传输请求（如LS、GET、PUT）的数据。建立流程如下：

¡ Client随BIND请求，发送其要绑定的地址和端口。

¡ Server返回其创建的监听端口的地址和端口。

¡ Server创建的监听端口有连接后，返回该连接的源地址和端口。

¡ Server端将上述连接中的流量，发送给client的监听端口。

· UDP ASSOCIATE

UDP ASSOCIATE 请求通常是要求建立一个 UDP 中继来处理到来的 UDP 数据包。DST.ADDR 和 DST.PORT 字段包含客户端所希望用来发送 UDP 数据包的 IP 地址和端口号。服务器可以使用这个信息来限制进入的连接。如果客户端在发送这个请求时没有地址和端口信息，客户端必须用全 0 来填充。

当与 UDP 相对应的 TCP 连接中断时，该 UDP 连接也必须中断。

1.3 应用代理功能配置

1.3.1 代理服务开启

在导航栏中选择“网络配置>基础网络>代理上网>代理服务”，进入代理服务配置页面，如图1-1所示，相关配置说明如表1-1所示。

图1-1 代理服务配置页面

表1-1 代理服务页面配置说明

项目	说明
启用HTTP代理勾选框	启用/禁用HTTP代理服务
代理端口	代理服务启用的端口，1025-65535，最多支持5个端口号，使用逗号隔开，不可重复，启用服务时必填
代理认证勾选框	启用/禁用代理用户认证功能，开启时用户使用代理需要输入用户密码进行验证，socks4代理无需认证。
已通过策略认证后不再认证勾选框	启用/禁用已通过策略认证后不再认证功能，即如果用户已通过认证策略认证，开启代理认证后无需再次认证，启用代理认证之后本功能才能启用。
启用socks4/socks5代理勾选框	启用/禁用socks4/socks5代理服务。

1.3.2 代理策略

在导航栏中选择“网络配置>基础网络>代理上网>代理策略”，进入代理策略显示页面，如下图所示。

图1-2 代理策略显示页面

表1-2 代理策略页面操作说明

项目	说明
新建	单击新建代理策略，可选择创建HTTP、SOCKS4、SOCKS5代理策略。
删除	删除选中的代理策略。
查询	查询代理策略，根据过滤条件对策略进行过滤。
启用	启用代理策略，代理策略启用后开始生效，状态为
禁用	禁用代理策略
优先级	调整代理策略优先级顺序
匹配次数清零	将制定代理策略的匹配次数清零
默认规则	对未匹配中任何策略的代理流量执行的动作

将鼠标移动到“新建”，在下拉菜单中选择“HTTP”，进入HTTP代理配置页面，如图1-3所示。

图1-3 新建HTTP代理

同样的步骤可以新建socks4/socks5代理。

表1-3 HTTP代理配置说明

项目	说明
启用	启用/禁用代理策略
名称	代理策略名称
描述	策略描述
源地址	匹配策略的源地址
目的域名	匹配策略的目的地址或者域名
动作	策略执行动作