万物求源 原理解析网络代理
代理服务器作为连接Internet与Intranet的桥梁,在实际应用中发挥着极其重要的作用。它可用于多个目的,最基本的功能是连接,此外还包括安全性、缓存、内容过滤、 访问控制管理等功能。目前市场上主要是国外的代理服务器产品,而国外的产品并不能很好的适应国内企业的需求。本文实现了一个代理服务器系统,可代理HTTP, FTP, TELNET, SMTP, POP这五个常用协议,此外还有用户管理和拨号等功能。
引言
随着Internet与Intranet的飞速发展,作为连接Internet与Intranet的桥梁,代理服务器在实际应用中发挥着极其重要的作用。它可用于多个目的,最基本的功能是连接,此外还包括安全性、缓存、内容过滤、访问控制管理等功能。具体来说主要有以下特点:
(1) 可通过一个公用IP地址供多个用户同时访问Internet
(2) 在内部网络和外部网络之间构筑起防火墙
(3) 通过缓存区的使用降低网络通信费用
(4) 对局域网用户进行访问权限和信息流量计费管理
(5) 对进入局域网的Internet信息实现访问内容控制
(6) 在确保局域网安全的环境下提供Internet信息服务
在代理服务器的众多功能中,安全性是一个突出且敏感的功能。绝大多数企业、部门在使用代理服务器的时候,都会考虑这个问题,把它作为选购代理服务器产品的重要依据。目前市场上流行的代理服务器,像Microsoft Proxy Server、Netscape Proxy Server、WinGate等,都是国外的产品,虽然功能和性能等方面都还不错,但毕竟是别人的东西,从保证安全性的角度出发,很有必要开发一个自己的代理服务器。而且,在实际使用国外这些产品的过程中,发现它们并不能很好的满足国内企业的要求。比如说,访问日志功能,虽然绝大多数的国外产品都有,但是,这些日志功能都是定死的,不能够根据企业的要求来灵活的生成,而这个功能又是国内很多企业所必须的。因此研究并实现代理服务器不仅有助于我们深入了解各种Internet协议的实现细节,掌握代理的技术,而且可实现软件的国产化,满足国内用户的安全性需求,对于社会和个人都是有积极意义的。
代理服务器的实现模型和总体框架
代理服务器(Proxy)是接收或解释客户端连接并发起到服务器的新连接的网络节点。它是客户端/服务器关系的中间人,这意味着代理服务器必须满足以下条件:
◎ 能够接收和解释客户端的请求
◎ 能够创建到服务器的新连接
◎ 能够接收服务器发来的响应
◎ 能够发出或解释服务器的响应并将该响应传回给客户端
上述四个条件也即是代理服务器的四个基本功能。如果说接收客户端请求并发回响应是服务器的功能的话,那么发起到服务器的连接并接收服务器的响应则是客户端发挥的作用。因此实现代理服务器必须要同时实现服务器和客户端两端的功能。
代理服务器实现模型如图1所示。
根据代理服务器工作的层次,一般可分为应用层代理、传输层代理和SOCKS代理。应用层代理工作在TCP/IP模型的应用层之上,它只能用于支持代理的应用层协议(如HTTP,FTP)。它提供的控制最多,但是不灵活,必须要有相应的协议支持。如果协议不支持代理(如SMTP和POP),那就只能在应用层以下代理,也即传输层代理。传输层代理直接与TCP层交互,更加灵活。要求代理服务器具有部分真正服务器的功能:监听特定TCP或UDP端口,接收客户端的请求同时向客户端发出相应的响应。另一种代理需要改变客户端的IP栈,即SOCKS代理。它是可用的最强大、最灵活的代理标准协议。SOCK V4允许代理服务器内部的客户端完全地连接到外部的服务器,SOCK V5增加了对客户端的授权和认证,因此它是一种安全性较高的代理。
为便于统一处理,本文采用传输层代理,即不管协议是否支持代理,都采用传输层代理模式。代理服务器接收内部网的TCP和UDP包,改变源和目的IP地址,甚至改变TCP或UDP头,然后将包发送到外部网。
传输层代理主要有两种方案:端口重定向和客户端服务器代理。端口重定向比较简单,代理服务器通过监听特定的TCP或UDP端口接收连接,希望连接到外部网络的客户端通过该端口,连接到代理服务器,代理服务器使用另外的端口和IP地址发出对远端目的地的连接。建立连接以后,所有客户端和远端目的地的数据都由代理服务器转发。客户端服务器代理需要安装客户端,用户启动与外部网络通信的程序时,代理客户端封装包并直接转发给代理服务器。代理服务器打开封装并将包传输给外部网络。接到响应时,代理服务器封装数据并转发给客户端。这种方案有一个严重缺点,由于客户端程序的安装,改变了TCP/ IP栈的工作方式,使代理复杂化,增加了发生问题的机会。
出于对可靠性和简单性方面的考虑,本代理服务器系统采用端口重定向方案,只是简单定制了客户端的操作过程。代理服务器监听特定端口,客户端需要连接到外部网络时,要先显式地连接代理服务器的监听端口。代理服务器响应后,客户端指出需要连接的远端目的地,由代理服务器来进行连接。连接成功以后,代理服务器转发数据,客户端的操作就象直接与远端相连一样了。
本代理服务器系统的总体框架如图2所示:
系统由七大模块组成。TELNET代理模块、HTTP代理模块、FTP代理模块、SMTP代理模块和POP代理模块分别实现了对应协议的代理。用户管理模块贯穿整个代理服务器系统,主要负责对用户的认证和访问权限控制等。拨号连接模块是专为那些通过拨号访问Internet的用户提供的服务。