23、安全Web环境中的代理技术

安全Web环境中的代理技术

1. 代理服务器与SSH概述

在任何网络环境中，代理服务器的使用都能简化终端用户的操作环境。代理服务器是一种代表其他实体发起请求的应用程序。如今，大多数使用的代理服务器是Web代理。当客户端机器尝试访问某个Web服务器时，它会将请求发送给Web代理服务器，然后Web代理服务器代表客户端将请求发送到真实的Web服务器。一旦从Web服务器收到响应，代理服务器就会将请求返回给客户端。

代理技术也可应用于SSH架构。将SSH与代理服务器、SOCKS、动态端口转发、无线网络和安全Web浏览相结合，能拓展SSH的使用范围，使其超越典型实现，应用于安全Web浏览和安全无线网络等鲜为人知的部署方法。使用SSH与代理技术相结合，可优化网络中SSH的强大安全功能，使多个设备和操作系统在组织架构内协同工作，让原本不安全的会话变得安全，同时为SSH通信提供单一存储库。

2. SSH与SOCKS

• SOCKS简介 ：SOCKS是一种通用代理协议，可与其他协议（如SSH）集成，为网络环境提供安全保障。它采用典型的客户端/服务器架构，SOCKS客户端连接到SOCKS服务器。其主要目的是让连接一端的客户端通过SOCKS服务器访问连接另一端的一个或多个主机，而无需客户端直接连接到另一端所需的主机。
• 使用SOCKS的优势 ：安装SOCKS代理服务器的主要目的是为SSH通信提供一个单一入口点，然后将其分散到网络的其余部分。例如，在所有Web服务器上安装SSH进行安全远程管理，若要让外部远程站点的管理员通过SSH访问这些Web服务器，无需在防火墙中允许多个SSH连接（可能从10个到数百个），只需设置一个SOCKS代理服务器，将SSH请求代理到SSH服务器即可。
• 安装SOCKServ服务器 ：
  1. 将sockserv2.zip解压到任意文件夹/目录。
  2. 双击sockserv.exe。
  3. 选择“Configure”按钮：
  • 确保“Listen Port”为1080。
  • 确保“Logging”已启用。
    4. 选择“OK”。
    5. 选择“Start”。
• 使用SecureCRT通过SOCKS服务器进行SSH连接 ：
  1. 确认已安装SOCKS版本4或版本5的服务器。
  2. 打开SecureCRT：Start ➪ Programs ➪ SecureCRT ➪ SecureCRT。
  3. 从菜单栏中选择“Options ➪ Global Options”。
  4. 选择“Firewall”部分。
  5. 在“Type”字段中，根据安装的版本从下拉框中选择SOCKS版本4或版本5。
  6. 在“Hostname or IP”字段中，输入SOCKS服务器的IP地址或主机名（例如11.17.7.1）。
  7. 在“port”字段中，输入为SOCKS服务器选择的端口号（默认端口为1080）。
  8. 选择“OK”。
• 配置SSH连接使用SOCKS服务器（SecureCRT） ：
  1. 若SecureCRT未打开，则打开它：Start ➪ Programs ➪ SecureCRT ➪ SecureCRT。
  2. 对于新连接，从菜单栏中选择“File”并选择“Quick Connect”。在“hostname”中，务必输入要访问的目标服务器的主机名或IP地址（如11.17.7.10、11.17.7.12、11.17.7.14或11.17.7.16），而不是SOCKS服务器。
  3. 选择“Use firewall to connect”复选框。
  4. 对于现有保存的连接，从菜单栏中选择“File”并选择“Connect”。
  5. 突出显示要编辑的连接，然后右键单击并选择“Properties”。确保选择要访问的目标服务器的连接，而不是SOCKS服务器。
  6. “Connection”部分应包含保存连接的信息。
  7. 在右侧窗格中，选择“Use firewall to connect”复选框。
  8. 选择“OK”。
• 使用SSH Communications’ SSH客户端通过SOCKS服务器进行SSH连接 ：
  1. 打开SSH Secure客户端：Start ➪ Programs ➪ SSH Secure Shell ➪ Secure Shell Client。
  2. 从菜单栏中选择“Edit ➪ Settings”。
  3. 选择“Firewall”部分。
  4. 在“Firewall URL”字段中，以“socks://host:port”的格式输入SOCKS服务器的IP地址或主机名（例如socks://11.17.7.1:1080）。
  5. 在“SOCKS版本”字段中，根据安装的版本从下拉框中选择SOCKS版本4或版本5。
  6. 选择“OK”。
• 配置SSH连接使用SOCKS服务器（SSH Communications’ SSH客户端） ：
  1. 若SSH Secure客户端未打开，则打开它：Start ➪ Programs ➪ SSH Secure Shell ➪ Secure Shell Client。
  2. 从菜单栏中选择“File ➪ Profiles”，然后选择“Edit Profiles”。
  3. 突出显示要编辑的配置文件（如11.17.7.10、11.17.7.12、11.17.7.14或11.17.7.16的配置文件）。确保选择要访问的目标服务器的连接，而不是SOCKS服务器。
  4. 在右侧窗格中，选择“Connect through firewall”复选框。
  5. 选择“OK”。

3. 动态端口转发与SOCKS

• 动态端口转发原理 ：动态端口转发是SSH端口转发架构中的另一个强大功能。它利用SSH客户端机器上的本地端口（通常是回环地址127.0.0.1）模拟SOCKS服务器，同时执行常规SOCKS服务的功能。与传统的本地端口转发不同，动态端口转发指定一个本地端口作为SOCKS服务器，供本地应用程序（如邮件、FTP和Web客户端）使用。
• 设置动态端口转发与SOCKS ：
  1. 从SSH客户端使用适当的命令行客户端连接到SSH服务器：
  • OpenSSH： ssh <sshserver> -p <port> -l <username> -D 1080
  • SSH： ssh2 <sshserver> -p <port> -l <username> -L socks/1080
    2. 在SSH客户端上，配置相关应用程序使用SOCKS服务器进行出站连接。输入回环地址（127.0.0.1）作为IP地址，端口号为1080。
• 动态端口转发的优缺点 ：
  |优点|缺点|
  | ---- | ---- |
  |可替代多个本地端口转发规则|相关应用程序必须支持SOCKS|
  |减少本地端口转发设置数量|部分应用程序和协议（如NFS和SMB）没有支持SOCKS的客户端|
  |使安全远程访问（VPN架构）更易于管理|需要在客户端应用程序上进行额外配置|
  |无需使用二级HTTP代理服务器或SOCKS服务器|部分SSH客户端不支持动态端口转发|
  |可轻松保护不安全的协议或网络| |
  |大多数Web、FTP和电子邮件应用程序支持SOCKS| |
  |大多数命令行SSH技术默认支持动态端口转发| |

以下是动态端口转发的流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    A(SSH客户端):::process -->|动态端口转发连接| B(SSH服务器):::process
    C(Web浏览器):::process -->|请求| D(本地SOCKS服务器 127.0.0.1:1080):::process
    D -->|转发请求| B
    B -->|发送请求| E(Internet):::process

通过上述步骤和技术，我们可以更好地在网络环境中利用SSH与代理技术，实现安全的通信和访问。在接下来的内容中，我们还将探讨如何使用SSH实现安全的Web浏览。

安全Web环境中的代理技术（续）

4. 利用SSH实现安全Web浏览

• 安全Web浏览原理 ：SSH的一个极具吸引力的特性是能够以安全的方式在信息高速公路上冲浪，无论所处网络（如互联网）、Web服务器使用的协议（如HTTP），还是是否存在恶意用户在网络段进行嗅探（如咖啡店的无线网络）。实现安全Web浏览，需要使用HTTP（Web）代理服务器，如Microsoft的ISA代理服务器或开源的SQUID代理服务器。其核心思想是通过SSH的端口转发功能，结合代理服务器，将客户端与代理服务器（同时也是SSH服务器）之间的连接进行加密，从而保护Web通信。
• 部署步骤 ：
  1. 部署代理服务器 ：在内部网络中部署一个代理服务器，该代理服务器可以位于DMZ网络或内部网络本身，只要所有内部客户端能够通过防火墙或路由器访问控制列表访问该代理服务器即可。假设代理服务器的IP地址为6.12.11.30，监听端口为8080以处理所有代理请求。
  2. 安装SSH服务器 ：在代理服务器上安装SSH服务器，或者安装一个能够直接访问代理服务器的SSH服务器。这里假设在代理服务器上安装SSH服务器，该服务器监听端口为22以处理所有SSH连接。
• Unix客户端设置步骤 ：
  1. 连接到SSH服务器并进行端口转发：
     bash ssh 6.12.11.30 –p 22 –L 8080:6.12.11.30:8080
  2. 打开Netscape浏览器。
  3. 从菜单栏中选择“Edit”，然后选择“Preferences”。
  4. 展开左侧窗格中的“Advanced”部分。
  5. 选择“Advanced”部分下的“Proxies”。
  6. 选择“Manual proxy configuration”单选按钮。
  7. 在“HTTP Proxy”字段中，输入“127.0.0.1”。
  8. 在“Port”字段中，输入“8080”。
  9. 选择“OK”。
• Windows客户端设置步骤 ：
  1. 打开SecureCRT或SSH Communications’ SSH客户端。
  2. 配置与IP地址为6.12.11.30、端口为22的SSH服务器的会话。
  3. 输入端口转发选项，将所有端口8080的连接转发到6.12.11.30。
  4. 在相应的SSH客户端上保存会话，并启用端口转发选项连接到SSH服务器。
  5. 打开Internet Explorer浏览器。
  6. 从菜单栏中选择“Tools”，然后选择“Internet Options”。
  7. 选择“Connections”选项卡。
  8. 选择底部的“LAN Settings”按钮。
  9. 选择“Proxy server”复选框，在“Address”中输入“127.0.0.1”，在“Port”中输入“8080”。
  10. 选择“OK”。

以下是安全Web通信的流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    A(SSH客户端):::process -->|端口转发连接| B(SSH/代理服务器 6.12.11.30:22):::process
    C(Web浏览器):::process -->|请求| D(本地端口 127.0.0.1:8080):::process
    D -->|转发请求| B
    B -->|转发到代理服务| E(代理服务器 6.12.11.30:8080):::process
    E -->|发送请求| F(Internet):::process

5. 总结

通过将SSH与代理技术（如SOCKS）、动态端口转发相结合，我们可以在网络环境中实现多种安全功能。使用SOCKS代理服务器可以简化SSH通信的管理，减少防火墙规则的数量；动态端口转发则提供了更灵活的端口使用方式，使本地应用程序能够通过模拟的SOCKS服务器进行安全通信；而利用SSH实现安全Web浏览则可以保护我们在互联网上的隐私和数据安全，防止信息被恶意嗅探。

在实际应用中，我们可以根据具体的网络环境和需求，选择合适的技术和配置方法。例如，如果需要管理多个SSH服务器的访问，可以考虑使用SOCKS代理服务器；如果希望本地应用程序能够更方便地使用安全通信，可以尝试动态端口转发；如果需要在不安全的网络环境中进行Web浏览，那么安全Web浏览技术将是一个不错的选择。

总之，SSH与代理技术的结合为我们提供了强大的安全工具，能够帮助我们更好地保护网络通信和数据安全。在不断变化的网络环境中，合理运用这些技术将有助于我们构建更加安全可靠的网络架构。