Что может и чего не может корпоративный прокси сервер

В данной статье речь идет о прокси серверах с точки зрения возможностей их настройки. То есть эта статья предназначена как для начинающих системных администраторов, которые хотят получить представление о возможностях настройки корпоративных прокси серверов, так и для тех, кто "отделен" от интернета корпоративным прокси сервером и ищет способы этот прокси "обойти".

Прокси сервер - это компьютерная программа, которая активизируется при подключении к определенному порту компьютера (еще говорят, что она "висит" на определенном порту или "привязана" к определенному порту).
И как любая компьютерная программа, прокси сервер имеет массу возможностей по настройке: запрещать доступ куда-либо, вырезать рекламу, и т.д. и т.п.

Что может делать прокси

В случае использования методов GET / POST (обычное перемещение по web сайтам):

• запрещать доступ к определенным сайтам (скажем www.porno.com или www.icq.com);
• запрещать доступ к сайтам, содержащим на страницах запрещенные ключевые слова (скажем "порно" или даже "прокси")
• вырезать определенные фрагменты страниц (баннеры);
• запрещать прием файлов с определенным расширением и/или определенного размера (как в Kb, так и размера в пикселях), например баннеров - 468x60, файлов *.MP3, .ZIP, .EXE, .RAR и т.д.;
• протоколировать все перемещения по web страницам и выдавать системному администратору отчет о посещаемых страницах;
• запрещать использование любых протоколов (скажем запрещать доступ к https:// и/или ftp:// сайтам);
• запрещать доступ с любых компьютеров к этому прокси. То есть вполне возможна ситуация для двух рядом стоящих компьютеров, что один из них может работать через прокси, а другой - нет.

 

В случае использования метода CONNECT (подключение к https:// сайтам, построение прокси в цепочку, port mapping через прокси и т.д.), либо в случае использования SOCKS proxy:

• полностью запретить использование метода CONNECT (или отключения SOCKS proxy), тогда не будет работать ICQ и нельзя будет подключаться к любым https:// сайтам;
• запретить подключение через прокси к определенным серверам (например login.icq.com, и т.д.);
• запретить подключение через прокси к определенным портам, например: на 25-й порт (SMTP), на 6667 порт (IRC), на порт 5190 (ICQ);
• запретить подключение через прокси к любым портам кроме указанных, например: кроме 443 (тогда это будет HTTPS proxy).

 

Чего прокси не может делать

• Использовать эвристический анализатор - то есть производить семантический анализ содержимого страниц и запрещать ВСЕ сайты, содержащие статьи на определенную тему, независимо от ключевых слов.
• При использовании метода CONNECT (или в SOCKS proxy) - фильтровать передаваемую информацию (скажем блокировать страницы по определенным ключевым словам).
• Пропускать обратные соединения из интернета (SOCKS 5 это может делать, но это тоже нетривиальная задача).
• и многое многое другое :)

Резюме: прокси сервер - это компьютерная программа и, как любой программе, ему присущи как достоинства, так и недостатки. Если администратор настроил прокси и забыл о нем, то прокси сервер почти всегда можно "обойти". В противном случае Ваши попытки обхода прокси - это борьба с системным администратором, и любые Ваши решения в этой области будут временными - пока системный администратор не обнаружит очередную "дыру" у прокси и не "заткнет" ее.

назад в proxy FAQ