Безопасность : устройство защиты веб-трафика Cisco

Различие между Прозрачным и Прямым режимом proxy

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Внесенный Джэйкобом Дохрманом и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Вопрос

Каково различие между Прозрачным и Прямым режимом proxy?

Целью прокси состоит в том, чтобы быть средний человек (прокси) между клиентами HTTP и Http server. Это в частности означает, что Cisco Web Security Appliance (WSA), как веб - прокси, будет иметь два набора TCP - сокетов на запрос клиента:

Клиент-> WSA 
WSA-> Исходный сервер

То, как HTTP прокси WSA получает запрос клиента, может быть определено как один из двух путей: Прозрачно или Явно.

Каждое из этих развертываний имеет несколько определенных параметров конфигурации:

РазвертыванияMethodОписание
ПрозрачныйКоммутатор Уровня 4 (PBR) Коммутатор Уровня 4 используется для перенаправления на основе порта назначения 80
 Прозрачный WCCP WCCP v2 включил устройство (как правило, маршрутизатор, коммутатор, PIX или ASA) порт перенаправлений 80
ПрозрачныйРежим мостаДвойные NIC, фактически соединенные. Трафик входит в один NIC и другой (не доступный)
ЯвныйНастроенный браузерКлиентский браузер явно настроен для использования прокси
ЯвныйФайл.PAC настроенКлиентский браузер явно настроен нам.PAC файл, который в свою очередь, ссылается на прокси

WSA может использовать все эти развертывания за исключением режима моста. Это, как ожидают, будет доступно в ближайшем будущем.

Когда запросы перенаправляются к WSA прозрачно, WSA должен симулировать быть OCS (сервер содержания происхождения), так как клиент не знает о существовании прокси. Наоборот, если запрос будет явно отправлен к WSA, то WSA ответит своим собственным IP - информацией.

Между явными и прозрачными клиентскими запросами HTTP существует несколько различий:

1. Явный запрос имеет IP - адрес назначения настроенного прокси. Прозрачный запрос имеет IP - адрес назначения намеченного Web-сервера (DNS, решенный клиентом).

2. URI для прозрачного запроса не содержит протокол с хостом:

ПрозрачныйGET / HTTP/1.1
ЯвныйGET http://www.google.com/HTTP/1.1

Оба будут содержать заголовок Хоста HTTP, который задает хост DNS.

Конфигурация WSA

WSA может быть настроен для "прозрачного" или "прямого". Это является немного вводящим в заблуждение, поскольку это - "действительно прозрачный" или "явный" режим, оба из которых являются прямыми развертываниями прокси. Прокси - служба обратного пути - то, где прокси предназначен, чтобы быть в той же сети как Http server, и ее цель состоит в том, чтобы подать содержание для этого Http server.

Единственное основное различие между прозрачным режимом и режимом переадресации на WSA - то, что в прозрачном режиме, WSA ответит и на прозрачные и явные запросы HTTP. Принимая во внимание, что в явном, ONLY WSA отвечает на явные запросы HTTP.

WSA будет всегда отправлять свой восходящий запрос как прозрачный запрос стиля, так как WSA действует как свой собственный клиент, ПОКА WSA не настроен для специфического использования явного прокси восходящего канала.

Ниже приводится другое различие между прозрачной и явной аутентификацией:

Прозрачный  401 - когда аутентификация требуется, передается от WSA. Это также, что передала бы OCS.
Явный407 - передается от WSA, чтобы сказать клиенту, что HTTP прокси требует аутентификации.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.