作者 主題: Proxy Server 的普遍率高嗎?  (閱讀 31604 次)

0 會員 與 1 訪客 正在閱讀本文。

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #30 於: 2006-06-02 20:14 »
樓上這位~嗯~

首先呢~硬體式Firewall沒有那麼弱~例如有名的NetScreen或是正紅的Fortigate~連CheckPoint也出硬體式的~

proxy server放在firewall內..那firewall只要針對proxy server的ip or MAC開放上網~而Firewall本身也有紀錄和過濾功能~

我目前就是有個分公司就是採用 Fortigate-300+Proxy Server來管制

Fortigate-300可以過濾攻擊~病毒~不當網址~SPAM~不當e-Mail等等並且可以紀錄起來~Proxy Server上也有過濾和管制..

Firewall只有MIS及內部某些主管因為廠商的關係必須不透過Proxy Server連線可以直接從Firewall上網外~其他必須在Proxy有被設定IP及MAC才能上網..

LPI

  • 憂鬱的高中生
  • ***
  • 文章數: 103
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #31 於: 2006-06-03 01:34 »
但是 Proxy 和 Transparent Proxy 是不同的東西

Porxy 是一種「服務」名稱
Transparent Proxy 是一種「技術」名稱

Proxy 一般的使用方法
是在瀏覽器中指定要使用的 Porxy 主機名稱或 IP

如果使用者不設定,或是規避設定,則 Proxy 就沒效了

除非用權限去管理,讓使用者不能更改瀏覽器的設定
或者不准直接連外,只能透過 Porxy

這兩個方法,雖然也可以達到同樣效果
可是這是 Client端 去介入的,並非閘道端直接管制

舉個例子:
各家 ISP 連國外,其實都有經過 Transparent Proxy
因為海底電纜頻寬有限,這是不得已的作法
但使用者根本不會有感覺,因為這是閘道端的行為
對使用者來說,是透明的


至於擋 SPAM 垃圾郵件,或是防毒那些的
說實在的良心話,那都是雞肋功能吧,可有可無

郵件伺服器加裝軟體,就能擋 SPAM 了,準確率更高

而防毒,就算閘道防火牆具有防毒功能
windows 電腦也不可能不裝防毒軟體吧

防毒這種東西,是看防毒引擎和病毒資料庫強弱的
kaspersky 在知名測試網站的結果,防毒率也只有 99.6%
要是硬體防火牆廠商,能做到 100% 防毒
那乾脆就去賣防毒軟體了,還比較賺錢,還賣甚麼防火牆....
這樣說不知道有沒有道理?

0% ~ 95 % 的防毒率,其實是沒差別的
中毒的話,隨便一隻病毒,都可以搞垮電腦
所以說,閘道防火牆兼具防毒功能,實在是雞肋功能
因為它的防毒率,是看它安裝哪套防毒軟體
但是可以裝進嵌入式機器的防毒軟體
防毒率效果也是可想而知的

過濾病毒需要運算
反而關了還可以減少浪費 CPU/RAM 資源,增加效能

就算姑且不論防毒率效果好了
說穿了,不管閘道有無防毒功能
Client端電腦防毒軟體還不是一樣不能免
因為病毒並非只能透過外部 WAN 端 網路傳染
LAN 端區網,也是有可能散佈病毒的
磁片、光碟片、usb 碟....等等,也是傳染途徑
但是這些傳染媒介
閘道防火牆的防毒功能,根本無能為力,不是嗎?
因此那些其實都是可有可無的功能

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
Proxy Server 的普遍率高嗎?
« 回覆 #32 於: 2006-06-03 02:15 »
無語問蒼天

不禁讓我想到最近在看一台韓國車
一堆人罵韓國車爛
可是這些罵的人卻從來沒開過也沒買過韓國車
也無從暸解現在的韓國車發展到何程度
佈線深似海!
網路高如天!

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
Proxy Server 的普遍率高嗎?
« 回覆 #33 於: 2006-06-03 03:52 »
我個人不想針對非技術的部份表示看法... 下面只談技術部份

引述: "LPI"
這個主題有一個關鍵處值得探討:
Transparent Proxy 到底能不能安裝在閘道端以外的地方

Transparent Proxy (透明 Porxy)
也就是不管客戶端瀏覽器怎麼設定,它一定得過這台 proxy
甚至客戶端可能都不曉得自己已經被監控上網了

就個人所知,Transparent Proxy  只能安裝在閘道器端
因為它是在封包轉向上動手腳
把 port 80 出去的封包,強制轉向到本機 3128 埠


非也。transparent proxy,主要是 gateway 本身要能夠處理重導而已,proxy server 與實際的 gateway 可以不用同一台。

請閱讀:

http://www.squid-cache.org/Doc/FAQ/FAQ-17.html

linux 的朋友請再閱讀:

http://www.tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.cookbook.squid.html

引用

如果說 proxy 主機是放在硬體防火牆後面
即使硬體防火牆能將 port 80、3128、8080 出去的封包
轉向到內部 proxy 主機的 3128 埠
但是這樣會有一個問題:proxy 主機出去的封包也是 port 80 啊!
換言之,會形成無窮迴圈,封包根本出不去....



非也。這只是 rule 設定而已,單純設定該 proxy 來源 ip 出去時不重導即可。

proxy 主機可以放內也可以放外,要看規劃與需求來決定。

==
I am kenduest - 小州

my website: http://kenduest.sayya.org/

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
Proxy Server 的普遍率高嗎?
« 回覆 #34 於: 2006-06-03 11:26 »
這個問題我問過了 TTN 的業務,他的回答是:Netscreen 50 不支援 Transparent Proxy.....
以他的認知而言,一般硬體防火牆不會去支援這個功能,因為這個功能違反防火牆的基本原則。

實際看過 ScreenOS 管理介面之後,    Policies 的 Action 只有 Permit, Deny, Reject, Tunnel,
就沒有 Redirect 或是 Jump 之類的 Action 可選擇......

不知道有沒有人可以推薦支援 Transparent Proxy 的硬體式防火牆?
本文作者為天線寶寶,長期關注兒童智力發展狀態。

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
Proxy Server 的普遍率高嗎?
« 回覆 #35 於: 2006-06-03 11:38 »
哇 我兩點多就累了很不想打字
小洲大大三點多還醒著

PROXY一般可以看作代理和快取兩大部分
代理的部分已經被其他設備陸續取代漸漸式微
快取的部份則尚有存在必要
而在架構上可以簡單分為正向以及反向兩種
端看要服務的對象來自哪一邊而定
透通只是一種解決管理設定或架構變動太麻煩的手段
簡而言之只是重導而已
沒有什麼只限制哪個玩意能做的奇怪想法
早期都是CISCO ROUTER跑WCCP來完成
但是這樣的架構太沒效率
後來在交換器上也開始有這樣的重導功能
舉個例子來說
你可以在EDGE靠3COM 4400重導
也可以在小CORE靠3COM 49XX重導
也可以在安全閘道器這裡重導
也可以到CISCO ROUTER重導
觀念對了 架構對了 設定對了 其他就不是問題

再來看防毒
一個完整的防毒包含CLIENT / SERVER FARM / GATEWAY缺一不可
在不同的範圍要求的重點不同
賣CLIENT端防毒的大廠也大都有GATEWAY產品
只是效能是一個大問題
把這樣的過程改成用ASIC處理來解決效能的問題
這是每一家廠商努力在改進的部份
而解決VPN的病毒散布更是讓MIS鬆了一大口氣
而垃圾信不只是讓人看了討厭這麼單純而已
垃圾信可以是攻擊的一種合法手段
如果說都到MAIL SERVER才處理
很容易讓MAIL SERVER口吐白沫
你可以不做但不代表這些都是雞肋
除非你比全世界的資安專家都專業
這樣的觀念也很容易誤導這兒的學員學習
不可不慎

而樓主我不想多說什麼
雖然你有測試
我只有一再明示你並不懂這台機器
一再明示 一再明示 一再明示
佈線深似海!
網路高如天!

tesn

  • 可愛的小學生
  • *
  • 文章數: 6
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #36 於: 2006-06-03 12:11 »
我現在就在用netscreen 和linux proxy。。應該沒什麽問題吧。。干麽老是把這hw firewall 和 proxy 搞在一起比較。。真搞不懂。。

shenfive

  • 活潑的大學生
  • ***
  • 文章數: 225
  • 性別: 男
    • 檢視個人資料
    • http://shenfive.pixnet.net/blog
Proxy Server 的普遍率高嗎?
« 回覆 #37 於: 2006-06-04 02:28 »
引述: "LPI"

至於擋 SPAM 垃圾郵件,或是防毒那些的
說實在的良心話,那都是雞肋功能吧,可有可無

郵件伺服器加裝軟體,就能擋 SPAM 了,準確率更高

而防毒,就算閘道防火牆具有防毒功能
windows 電腦也不可能不裝防毒軟體吧

防毒這種東西,是看防毒引擎和病毒資料庫強弱的
但是這些傳染媒介
.
.
.
閘道防火牆的防毒功能,根本無能為力,不是嗎?
因此那些其實都是可有可無的功能


您說的不算沒道理, 但個人覺得這和機車大鎖一樣, 可有可無, 但沒大鎖的總是先被偷.

現在每一台XP或Linux Desktop, MAC 都有內建還不錯的 firewall 但這也不代表在Getway那端不需要Firewall啊.  只是可能該單位還沒成長要那個地步而已.

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #38 於: 2006-06-04 11:46 »
自古以來~不是有句話~別把雞蛋都放在同一個袋子裡~

有 NS-50 當第一道防線先擋掉一些 Port Scan 和 Lage ICMP攻擊等等不是很好 ?

這樣Proxy Server可以少一些loading..

如果加買掃毒模組~我記得NetScreen是和Trend合作..可以幫你過濾病毒(Trend應該不會很差吧..不然日本的鐵路公司的售票系統為什麼會採用Trend)

以我公司為例~財會單位及主管及董事長都有需要使用股票即時系統或是和路透社系統連結或是和銀行的系統連結~這些系統..對方表明都不允許client有使用任何Proxy的設定...

由於公司網路架構已改成Fortigate-400+Linux Proxy的關係~當廠商來設定時幾分鐘就ok了..如果連線有問題..廠商看到我是用Fortigate或是NetScreen至少也會多少先想一下是否是自己步驟那做錯了~而不是我弄錯的~(我想精x和路透社的工程師或MIS程度應該不低吧...)

另外我有2部e-Mail系統..1台是.tw另一台是.cn..

.cn那台有Fortigate-400先過濾e-Mail有沒有病毒並且會依我設定連線到好幾個像www.ordb.org之類的網站抓資料來過濾要進來的信. 另外我也設定繁中/簡中及其他語言的垃圾信關鍵字過濾..後端的mail server的loading輕多了..只要幫我抓漏網之魚就好了..

.tw那台則是NS-25先過濾病毒~x年前買的~後面放1台SpamTrap的主機來幫忙過濾垃圾信和病毒信然後再傳到.tw的主機(SpamTrap那台還有特殊用途)

其實2層的網路架構有啥不好 ? 難道PC Server的CPU永遠不會過熱或故障?主機板永遠沒有問題?Memory永遠沒有問題?網路卡永遠不會有問題?

NS-50硬體式Firewall體積是19" IU而已~耗電小~又可以直接重開機~開機速度快~反應也快..

其實你可以考慮 NS-50 > Linux Proxy~這樣的架構~而Linux這台可以考慮先關掉Firewall功能~將更多硬體資源用在Proxy上..或是紀錄上..

TSMC連線上的PC工作站都配1台NS-5GT來用了~防範工作站因為內部網路中毒而被影響到...

anderson1127

  • 訪客
Proxy Server 的普遍率高嗎?
« 回覆 #39 於: 2006-06-04 16:27 »
樓主的處境我大概瞭解了,不過,不管如何,對方總是主管,你是員工,這個立場一定
要清楚,不然,你在專業立場上凌駕主管之上時,主管會如何想??

再者,主管的考量最好順從,因為他能做你的主管,一定是被公司高層賦與了一定的
權力,順我者昌逆我者亡的道理,相信應該不用別人教了吧 ?  :wink:

現在你要考量的不再是專業上的問題了,你要考量的是,你的去留問題了!!

因為一開始,你就擺明了不順從的意思,當然主管遇上這種人,當然要強勢於你
不然他以後怎麼在別人面前領導員工?

從現在開始,你要好好想自己的去留問題,當然你也可以測試主管對你的需求度
是如何(比如說,私下對其它的員工放風聲,你可能會離開等等之類的消息)

或者,你有更好的發展,就往那裡發展,一家公司不一定是一個人一生的唯一選擇!!

總之,你的問題不再是專業的問題,而是一種人事鬥爭狀況,也許主管正想安插自己
的人馬來擔任你的職務,所以可能日後會千方百計的與你作對 , 你要有心理準備!!

好自為之吧!!

eqvy

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #40 於: 2006-06-05 09:49 »
引述: "anderson1127"
樓主的處境我大概瞭解了,不過,不管如何,對方總是主管,你是員工,這個立場一定
要清楚,不然,你在專業立場上凌駕主管之上時,主管會如何想??

再者,主管的考量最好順從,因為他能做你的主管,一定是被公司高層賦與了一定的
權力,順我者昌逆我者亡的道理,相信應該不用別人教了吧 ?  :wink:


贊同贊同^^~~專業並非第一,懂得見風轉舵才是生存的要件..
轉的太慢可能就像海神號...碰...被大浪吞沒 :D

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #41 於: 2006-06-05 10:29 »
引述: "eqvy"
引述: "anderson1127"
樓主的處境我大概瞭解了,不過,不管如何,對方總是主管,你是員工,這個立場一定
要清楚,不然,你在專業立場上凌駕主管之上時,主管會如何想??

再者,主管的考量最好順從,因為他能做你的主管,一定是被公司高層賦與了一定的
權力,順我者昌逆我者亡的道理,相信應該不用別人教了吧 ?  :wink:


贊同贊同^^~~專業並非第一,懂得見風轉舵才是生存的要件..
轉的太慢可能就像海神號...碰...被大浪吞沒 :D


談到這裡...我想應該只有兩樣東西可以說明...

1. 要嘛.你就拿免死金牌...
2. 要嘛.你就拿尚方寶劍...

端看閣下如何看待此事 ?! ... 不見得要做縮頭烏龜 !!
Networking & Communication Security SE

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
Proxy Server 的普遍率高嗎?
« 回覆 #42 於: 2006-06-05 10:40 »
To ZMAN:
很抱歉,小弟確實是不了解這部機器,畢竟試用期間有限,有問題也只能問 TTN 工程師,
可否請您更明白一點開示一下,這部機器其實可以支援 Transparent Proxy?
或是我根本就搞錯方向了,不應該在這個問題上面鑽牛角尖?
其實上面有說過了,Netscreen 50 可以透過 Layer2 的方式更改架構達到 Transparent Proxy 的目的,
只是或許我太鑽牛角尖而不自知吧,旁觀者清,還請各位稍微提醒一下小弟。

其實這個討論串一開始的目的只是在請教大家"Proxy Server 的普遍率高嗎?"如此而已,
我對 Netscreen 50 的問題還不僅於此,另外不支援 VPN 通透也是個大問題...
但這個已經離題了,所以暫不多敘。

To allnewlinux:
謝謝您的建議,這方面的規劃也在進行中了,只不過受限於預算以及現有環境考量下,
可能短時間之內暫時還不會實施,日後我們會朝這個方向努力的:)

To anderson1127:
謝謝您的提醒,沒那麼嚴重啦,我們資訊室裡面也不過總共兩個人,
這整個討論串裡的"主管"指的就是除了我以外的另一人,平常關起門來可以討論,
走出資訊室之後我們還是口徑一致的,
敝資訊室目前仍然缺人中(徵人都徵不到...)如果主管自己有內定人選的話那就再好不過了XD
"人事鬥爭"就更言重了,敝主管主要負責行政業務,技術部分他比較少參與,
如果少了我一個,他重新培養人才的話恐怕又是一年的冰河時期.....XD
我相信他不會這樣做的:)
本文作者為天線寶寶,長期關注兒童智力發展狀態。