Proxy trong suốt là gì?

Proxy, Jul-08-20215 phút đọc

Chúng ta có thể định nghĩa proxy minh bạch là một máy chủ hoạt động như một hệ thống trung gian chặn kết nối giữa người dùng cuối và nhà cung cấp nội dung. Các tên khác của proxy trong suốt là proxy nội tuyến hoặc proxy bắt buộc. Chúng tôi sử dụng từ 'minh bạch' với proxy vì nó chặn các yêu cầu bằng cách chặn các gói được chuyển đến đích

Chúng ta có thể định nghĩa proxy minh bạch là một máy chủ hoạt động như một hệ thống trung gian chặn kết nối giữa người dùng cuối và nhà cung cấp nội dung. Các tên khác của proxy trong suốt là proxy nội tuyến hoặc proxy bắt buộc. Chúng tôi sử dụng từ 'minh bạch' với proxy vì nó chặn các yêu cầu bằng cách chặn các gói được chuyển đến đích, làm cho có vẻ như chính đích đến xử lý yêu cầu. Proxy trong suốt được thiết lập bởi trang web hoặc nhà điều hành mạng chứ không phải bởi người dùng cuối.

Đôi khi, chúng tôi cũng sử dụng thuật ngữ 'proxy bắt buộc' cho proxy trong suốt. Đó là bởi vì nó có thể được áp dụng cho kết nối của người dùng mà không cần sửa đổi cài đặt proxy của máy tính của họ. Do đó, proxy trong suốt có thể bị ép buộc đối với người dùng mà không có sự đồng ý của họ, nhưng họ biết sự hiện diện của họ trong nhiều trường hợp. 

Ví dụ về proxy trong suốt

Tường lửa là một ví dụ về proxy trong suốt cho phép lưu lượng truy cập đi qua giữa mạng nội bộ và Internet nhưng chặn lưu lượng truy cập nếu nó vi phạm bảng quy tắc của tường lửa.

Các ví dụ khác về proxy trong suốt là mạng phân phối nội dung (CDN). Chúng cung cấp dự phòng, lưu vào bộ nhớ đệm và cải thiện tốc độ mà không cần sửa đổi hoặc để lộ hệ thống nguồn. Người dùng nghĩ rằng anh ta được kết nối trực tiếp với nhà cung cấp dịch vụ, nhưng trên thực tế, CDN xử lý tất cả các yêu cầu của anh ta. Đây là cách các công ty công nghệ như Google, Twitter và Facebook quản lý hàng triệu yêu cầu với thời gian chết tối thiểu.

Cài đặt proxy trong suốt phổ biến

Sau đây là các cài đặt proxy trong suốt tiêu chuẩn bất cứ khi nào chúng tôi thiết lập:

  • Xác thực: Nó cung cấp cho máy chủ thông tin đăng nhập giống như người dùng đằng sau proxy.
  • Can thiệp: Nó xác định cách proxy trong suốt chặn lưu lượng truy cập ở cấp bộ định tuyến hoặc cấp hệ điều hành.
  • Caching:  chỉ định liệu máy chủ proxy có nên lưu trữ nội dung cho người dùng quay lại hay không.
  • Reverse proxy: Thay vì đặt proxy chặn truy cập từ xa, chúng ta có thể đặt nó trước máy chủ web để tăng tốc hiệu suất của người dùng. 
  • Truyền dữ liệu, lọc trò chuyện: Chúng tôi có thể định cấu hình proxy trong suốt để người dùng không được phép truy cập các cổng hoặc giao thức cụ thể.

Sử dụng proxy minh bạch - Phía khách hàng

Chúng tôi có thể triển khai một proxy minh bạch ở phía máy khách, có nghĩa là proxy chặn tất cả lưu lượng truy cập đến và đi từ điểm cuối của máy khách. Việc sử dụng proxy trong suốt ở phía máy khách là:

Bộ nhớ đệm trong suốt

Khi nhiều người truy cập cùng một nội dung từ cùng một khu vực hoặc vị trí - ví dụ: khi một số sinh viên xem cùng một trang web tin tức thông qua mạng trường đại học của họ, thì sẽ hiệu quả hơn khi sử dụng proxy trong suốt để lưu vào bộ nhớ đệm ban đầu và phân phối nội dung từ bộ nhớ cache cho người dùng tiếp theo.

Xác thực

Các nhà khai thác Internet di động và các điểm wifi công cộng đôi khi sử dụng proxy trong suốt để buộc người dùng tự xác thực trên mạng và đồng ý với các điều khoản dịch vụ của họ. Họ chỉ được phép lướt web khi người dùng xác nhận và đồng ý với các điều khoản và điều kiện. 

Hầu hết người dùng không biết rằng toàn bộ kết nối có thể bị chặn và giám sát bởi nhà điều hành ngay cả sau màn hình xác thực ban đầu thông qua proxy trong suốt.

Giám sát giao thông

Khi chúng tôi đang vận hành mạng, chúng tôi có thể thiết lập một proxy minh bạch để giám sát lưu lượng truy cập và hành vi của người dùng, nhưng giám sát lưu lượng truy cập cũng có nhiều mục đích sử dụng bất hợp pháp. Ví dụ, một nhà điều hành wifi công cộng vô đạo đức và không đáng tin cậy có thể dễ dàng giám sát các kết nối của người dùng và đánh cắp thông tin đăng nhập và dữ liệu.

Proxy cổng

Chúng tôi có thể sử dụng proxy cổng để sửa đổi hoặc chặn lưu lượng mạng dựa trên các quy tắc. Một ví dụ về proxy cổng là proxy tường lửa trong suốt được thảo luận trong ví dụ trên.

Lọc nội dung

Chúng tôi cũng có thể sử dụng proxy trong suốt để lọc ra nội dung không cần thiết và không mong muốn. Ví dụ: proxy có thể không chuyển tiếp yêu cầu đến máy chủ web khi một trang web cụ thể được yêu cầu. Thay vào đó, nó chặn kết nối và hiển thị thông báo hoặc thông báo lỗi cho người dùng.

Sử dụng proxy trong suốt - Phía máy chủ

Bảo vệ từ chối dịch vụ (Dos)

Chúng tôi có thể bảo vệ máy chủ chống lại cuộc tấn công từ chối dịch vụ (DoS) SYN-flood bằng cách sử dụng một loại chặn TCP proxy trong suốt. Nó thực hiện chức năng chặn tất cả lưu lượng truy cập đến máy chủ web, chấp nhận yêu cầu của khách hàng và thực hiện bắt tay ba chiều. Hơn nữa, nếu chặn lưu lượng truy cập thành công, nó sẽ thực hiện bắt tay ba chiều với máy chủ, do đó kết hợp hai nửa kết nối giữa máy khách và máy chủ.

Giao thức điều khiển truyền kiểm tra các yêu cầu TCP và thường đợi 30 giây để thiết lập kết nối. Nó chuyển sang 'chế độ tích cực' bất cứ khi nào số lượng kết nối không hoạt động vượt quá một ngưỡng nhất định. Trong chế độ này, mỗi kết nối mới đến sẽ khiến kết nối thụ động cũ nhất bị xóa.

Tuy nhiên, kỹ thuật nêu trên không còn hiệu quả đối với các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hiện đại, quy mô lớn. Điều này là do những kẻ tấn công, ngày nay, kiểm soát hàng triệu máy tính zombie và các máy chủ công suất cao để tạo ra lũ lụt SYN đang áp đảo bộ điều khiển chặn TCP.

Vì lý do này, hầu hết các tổ chức ngày nay sử dụng các dịch vụ dựa trên đám mây như Bảo vệ DDoS của Imperva. Các dịch vụ này có thể bảo vệ chống lại các cuộc tấn công DDoS lớn và chúng cũng có thể mở rộng quy mô theo yêu cầu, tiếp tục xử lý và xử lý các cuộc tấn công quy mô lớn. 

Ví dụ, các dịch vụ DDoS có thể ngăn chặn các cuộc tấn công lớp ứng dụng và các cuộc tấn công giao thức không xảy ra ở lớp TCP.

CDN để tối ưu hóa Front-end

Chúng tôi có thể định nghĩa Mạng phân phối nội dung (CDN) là một mạng lưới máy chủ proxy được phân phối trên toàn cầu phục vụ và lưu trữ nội dung cho người dùng gần vị trí địa lý của họ.

Một ví dụ về CDN là Mạng phân phối nội dung toàn cầu của Imperva, một proxy trong suốt hoạt động ở phía máy chủ. Mục đích của nó là thực hiện tối ưu hóa front-end để cải thiện trải nghiệm người dùng cuối. Nó chặn lưu lượng truy cập đến máy chủ web và cung cấp cùng một nội dung từ bộ nhớ cache của máy chủ thay vì cho phép người dùng truy cập trực tiếp vào máy chủ. Do đó, hiệu suất người dùng được cải thiện và tài nguyên hệ thống cần thiết trên máy chủ bị giảm.

Hạn chế của proxy trong suốt

Mặc dù proxy minh bạch có nhiều lợi thế, nhưng nó có thể tạo ra một số thất vọng trong môi trường công ty phức tạp.

Thiếu sự mạnh mẽ: Nếu kết nối được thiết lập giữa máy khách và bộ nhớ cache và thay đổi định tuyến xảy ra khiến máy khách chấp nhận đường dẫn không còn chảy qua thiết bị mạng "chuyển hướng", phiên sẽ bị ngắt và người dùng sẽ phải tải lại trang.

Mặt khác, nếu các bộ định tuyến trên Internet đang vỗ cánh (một bộ định tuyến luân phiên quảng cáo mạng đích theo trình tự nhanh), thì kết quả sẽ còn khó đoán hơn.

Phụ thuộc trình duyệt: Hầu hết các proxy trong suốt đều dựa vào trình duyệt cung cấp tên máy chủ của máy chủ gốc trong tiêu đề yêu cầu HTTP để hoạt động thành công.

Nó được yêu cầu vì các bộ đệm này không có quyền truy cập vào địa chỉ IP đích của máy chủ gốc từ địa chỉ IP của gói.

Do đó, khi bộ nhớ cache bỏ lỡ xảy ra, họ không thể xác định địa chỉ máy chủ gốc để gửi yêu cầu đến.

Kết thúc

Chúng tôi đã thảo luận rằng lưu lượng truy cập internet có thể được theo dõi và lọc bằng cách sử dụng proxy trong suốt. Nó cũng định hình cách chúng ta tương tác với web. Cho dù nó phục vụ dữ liệu nhanh hơn thông qua việc lọc ra nội dung không mong muốn, bộ nhớ đệm hoặc cho phép các doanh nghiệp kiểm soát nhiều hơn đối với mạng của họ, proxy trong suốt bổ sung chức năng cho Internet mà không cần thêm bất kỳ sự bất tiện nào.