Tarpinis (proxy) serveris — apibrėžimas, veikimas, tipai ir saugumas
Sužinokite, kas yra tarpinis (proxy) serveris, kaip jis veikia, kokie tipai egzistuoja ir kaip užtikrinti saugumą bei našumą internete.
Kompiuterių tinkluose tarpinis serveris – tai serveris (kompiuteris), kuriuo klientai (žmonės arba kiti kompiuteriai) naudojasi norėdami pasiekti kitus tinklo išteklius. Tarpinis serveris veikia kaip tarpininkas tarp kliento ir tikrojo serverio: klientas prašo tam tikro failo, žiniatinklio puslapio ar kitos paslaugos, o tarpinis serveris užklausia to kito serverio ir pateikia atsakymą klientui. Jei tarpinis serveris tik perduoda informaciją be pakeitimų, jis dažnai vadinamas šliuzu arba kartais tuneliniu tarpiniu serveriu.
Proxy serverių pavadinimas kilęs iš to, kad jie veikia kaip „proxy“ – t. y. tarpininkai – ir atlieka prašymus kliento vardu. Tarpinis serveris gali būti įdiegtas įvairiose tinklo vietose: pačiame kliento įrenginyje, organizacijos vidiniame tinkle arba tinklo periferijoje tarp kliento ir nuotolinio serverio.
Kaip tai veikia
Veikimo seka paprastai tokia:
- Klientas siunčia užklausą į tarpinį serverį (pvz., prašo tinklapio).
- Tarpinis serveris priima užklausą ir, priklausomai nuo konfiguracijos, gali ją patikrinti, autentifikuoti, filtruoti arba užrašyti.
- Jei informacija nėra talpykloje (cache), tarpinis serveris siunčia užklausą į tikrąjį serverį ir gauna atsakymą.
- Gautą atsakymą jis gali pakeisti (pvz., pašalinti identifikavimo antraštes), išsaugoti talpykloje ir perduoti klientui.
Tipai ir paskirtys
Tarpiniai serveriai skiriasi pagal paskirtį ir elgesį. Pagrindiniai tipai:
- Priekinių (forward) proxy – veikia kliento pusėje; klientai jungiasi prie jų, kad pasiektų išorinius tinklus ar paslėptų savo IP.
- Atsarginiai (reverse) proxy – veikia serverio pusėje; priima užklausas iš interneto ir nukreipia jas į vidinius serverius (naudojami kaip apkrovos balansavimo, saugumo ir CDN komponentai).
- Skvarbūs (transparent) proxy – kliento nustatymai nekeičia; užklausos nukreipiamos automatiškai (pvz., pažangios tinklo įrangos ar interneto paslaugų tiekėjų atveju).
- Anoniminiai ir aukštos anonimiškumo proxy – slepia kliento IP; aukštos anonimiškumo (elite) proxy neatskleidžia, kad užklausa eina per proxy.
- SOCKS proxy – dirba žemesniu tinklo lygiu ir gali perkelti įvairius protokolus (pvz., HTTP, FTP, SMTP).
- Talpinimo (caching) proxy – saugo bendrus resursus, kad sumažintų vėlavimą ir pralaidumo naudojimą.
- Filtravimo / turinio kontrolės proxy – blokuoja arba modifikuoja prieigą pagal saugumo arba politikos taisykles (pvz., mokyklų ar įmonių filtrai).
- Balansuojantys apkrovą (load-balancing) proxy – paskirsto užklausas tarp kelių serverių, didina prieinamumą ir našumą.
Talpykla (caching)
Talpykla – tai tarpinio serverio išsaugoti dažnai naudojamų resursų egzemplioriai. Jei kitas klientas paprašo to paties turinio, tarpinis serveris gali jį pateikti iš vietinės talpyklos, taip sumažindamas tinklo užklausų skaičių ir pagreitinęs atsakymą. Talpyklos elementai paprastai turi gyvavimo laiką (TTL) arba yra atnaujinami pagal HTTP antraščių politiką (pvz., Cache-Control, Expires).
Saugumas ir šifravimas
Kai kurie tarpiniai serveriai naudoja saugiųjų lizdų sluoksnį (Secure Sockets Layer, SSL) – šiame kontekste verta paminėti modernesnį TLS (Transport Layer Security) – kad užtikrintų šifruotą ryšį tarp kliento ir nuotolinio serverio arba tarp kliento ir tarpinio serverio. Šifravimas apsaugo nuo eavesdropping (duomenų klausymosi) ir užtikrina, kad kiti tinklo dalyviai negalės perskaityti perduodamos informacijos.
- Naudokite HTTPS/TLS, kad apsaugotumėte duomenis keliuose etapuose.
- Įgalinkite autentifikaciją, kad tik leistini vartotojai galėtų naudotis proxy.
- Taikykite prieigos taisykles (ACL), filtravimą ir saugumo politiką, kad blokuotumėte pavojingą turinį ar neleistinas svetaines.
- Reguliariai atnaujinkite programinę įrangą ir stebėkite žurnalus (logging) – tai padeda aptikti netinkamą veiklą arba saugumo incidentus.
- Atsargiai konfigūruokite talpyklą, kad nesaugotumėte jautrių asmens duomenų ilgą laiką.
Privatumas, rizikos ir teisės aspektai
Tarpinis serveris gali keisti arba registruoti perduodamus duomenis. Tai reiškia, kad priklausomai nuo to, kam priklauso proxy ir kaip jis konfigūruotas, gali būti saugomi žurnalai apie naršymo veiklą, užklausų turinį ar asmens duomenys. Todėl svarbu:
- Žinoti, kam priklauso proxy (įmonė, ISP, trečioji šalis) ir kokia jų privatumo politika.
- Vengti naudoti nepatikimų viešųjų proxy, jei perduodate jautrią informaciją.
- Laikytis teisės aktų ir duomenų apsaugos reikalavimų (pvz., GDPR), ypač kai proxy renka arba apdoroja asmens duomenis.
Nauda ir trūkumai
- Privalumai: pagerina našumą per talpinimą, sumažina pralaidumo panaudojimą, leidžia filtruoti turinį, pagerina saugumą (pvz., perduodant prašymus per reverse proxy), suteikia galimybę slėpti vidinius tinklo išteklius.
- Trūkumai: papildomas taškas tinkle, galinti būti našumo kliūtimi ar saugumo spraga, privatumo rizika (žurnalai), sudėtingesnė konfigūracija ir palaikymas.
Praktiniai pavyzdžiai
- Įmonės viduje proxy naudojamas, kad kontroliuotų prieigą prie interneto, blokuotų neleistiną turinį ir talpintų bendrus resursus.
- Interneto paslaugų tiekėjai kartais naudoja talpinimo proxy, kad sumažintų pasikartojančių turinio užklausų srautą.
- CDN ir reverse proxy (pvz., Nginx, HAProxy, Cloudflare) – dažnai naudojami greito turinio pateikimo, saugumo ir apkrovos balansavimo tikslais.
- Anonymity tinklai (pvz., Tor) – tai sudėtingesni tarpininkų tinklai, skirti didesnei anonimiškumo apsaugai, bet jie turi savo naudojimo ir saugumo niuansus.
Rekomendacijos
- Naudokite TLS/HTTPS visiems jautriems ryšiams ir atnaujinkite protokolus iki saugesnių versijų.
- Įdiekite autentifikaciją ir aiškias prieigos taisykles, kad ribotumėte neautorizuotą naudojimą.
- Stebėkite žurnalus ir reguliariai tikrinkite proxy elgseną bei našumą.
- Konfigūruokite talpyklą pagal turinio pobūdį ir privatumo reikalavimus; nepalikite jautrių duomenų ilgai talpykloje.
Apibendrinant, tarpinis (proxy) serveris yra lanksti priemonė, kuri gali pagerinti tinklo našumą, saugumą ir valdymą, bet reikia atsakingos konfigūracijos ir priežiūros, kad būtų išvengta privatumo pažeidimų ir saugumo rizikų.


Proxy serveris netiesiogiai sujungia du kompiuterius tarpusavyje.
Proxy serverių privalumai
Proxy serverio naudojimas turi daug privalumų. Pirma, kliento kompiuteris gali keistis duomenimis su nuotoliniu serveriu neužmegzdamas tiesioginio ryšio. Tokiu būdu nutolusiam serveriui nebus žinomas tikrasis kliento interneto adresas. Tai kartais vadinama anonimiškumu, nes klientas tampa anonimiškas. Antrasis privalumas - kai tarpinis serveris pats gali aptarnauti kliento pateiktą užklausą, jis nebesikreipia į nuotolinį serverį. Taigi naudojant tarpinį serverį sumažės nuotolinio serverio apkrova. Tokio tipo proxy serveriai vadinami spartinančiaisiais serveriais.
Didelės organizacijos (ar net šalys) kartais naudoja tarpinius serverius, kad galėtų kontroliuoti prieigą prie interneto. Didelis bankas gali naudoti proxy serverį, kuris leidžia prisijungti tik prie kitų su bankininkyste susijusių svetainių. Tačiau proxy serveris gali blokuoti prieigą prie svetainių, kuriose siūlomas nemokamas el. paštas arba pateikiama pornografinė medžiaga. Jis taip pat gali blokuoti prieigą prie failų dalijimosi programų. Prieigos prie konkretaus turinio internete ribojimas taip pat vadinamas interneto filtravimu.
Tipai ir funkcijos
Proxy serveris gali atlikti vieną ar daugiau toliau aprašytų funkcijų:
Spartinančiosios spartos tarpinis serveris
Spartinančiosios atminties tarpinis serveris gali aptarnauti klientų užklausas, nesikreipdamas į nuotolinį serverį; vietoj to jis siunčia duomenis, kuriuos išsaugojo po ankstesnės užklausos. Tai vadinama spartinimu.
Spartinančiosios atminties tarpiniai serveriai sumažina nuotolinio serverio darbo krūvį. Tačiau jie kelia savų problemų, ypač jei nėra gerai sukonfigūruoti. Kai kurios problemos aprašytos RFC 3143.
Web proxy
Web proxy - tai proxy serveris, skirtas pasaulinio žiniatinklio duomenų srautui. Jis gali būti naudojamas įžeidžiančiam žiniatinklio turiniui blokuoti arba klientų prieigai prie interneto turinio kontroliuoti. Juos gali naudoti korporacijos arba šalys.
Be to, žiniatinklio įgaliotieji serveriai gali būti naudojami stebėti, kaip skirtingi asmenys naudojosi interneto prieiga.
Anonimizuojantis tarpinis serveris
Anonimizuojantis tarpinis serveris pašalina klientų užklausas identifikuojančią informaciją, kad būtų užtikrintas anonimiškumas. Jie taip pat gali būti naudojami filtruotam interneto turiniui pralaužti.
Atviras įgaliotasis atstovas
Proxy serveris vadinamas atviruoju proxy serveriu, jei prie jo gali prisijungti ir juo naudotis visi norintys. Paprastai atviri proxy serveriai yra blogai sukonfigūruoti proxy serveriai. Atviraisiais tarpiniais serveriais galima lengvai piktnaudžiauti, pavyzdžiui, blogas naudotojas gali siųsti žalingą užklausą į nuotolinį serverį, bet pasislėpti už atvirojo tarpinio serverio, todėl nuotolinio serverio administratoriai negali jo sustabdyti. Atviri tarpiniai serveriai taip pat gali būti naudojami nepageidaujamoms žinutėms siųsti. Dėl šios priežasties kai kurios interneto svetainės neleidžia prisijungti prie savo interneto serverių arba redaguoti jų turinio per žinomus atviruosius tarpinius serverius.
Priverstinis įgaliojimas
Priverstinis tarpinis serveris - tai tarpinis serveris, kuris tvarko visą kliento srautą į internetą. Klientas nežino, kad toks tarpinis serveris egzistuoja, tačiau visa informacija perduodama per jį. Kartais jie vadinami "skaidriais" tarpiniais serveriais, nes naudotojas nežino, kad tarp kliento ir nuotolinio serverio yra tarpinis serveris.
SMTP tarpinis serveris
Skaidrusis SMTP tarpinis serveris - tai SMTP tarpinis serveris, įterptas tarp siunčiančiojo pašto serverio ir gaunančiojo pašto serverio. Pagrindinė SMTP tarpinio serverio paskirtis - filtruoti išeinančias nepageidaujamas žinutes. Tarpinis serveris maskuojasi taip, kad klientas ir serveris mano, jog bendrauja vienas su kitu, nors tarp jų yra tarpinis serveris.
Programinė įranga
Yra daug programinės įrangos, kurią galima naudoti proxy serveriui paleisti. Kai kuri programinė įranga gali veikti tik kaip proxy serveris, o kita - ir kaip ugniasienė ar spartinančiosios atminties serveris. Squid, Varnish ir Microsoft Internet Security and Acceleration Server (ISA Server) yra geriausiai žinomos proxy serverio programinės įrangos dalys. Kai kuriose tarpinių serverių programinėse įrangose naudojamas SOCKS protokolas. Pavyzdžiui, "Java SOCKS Proxy Server".
Klausimai ir atsakymai
Klausimas: Kas yra tarpinis serveris?
A: Tarpinis serveris - tai kompiuteris, kuriuo klientai naudojasi norėdami prisijungti prie kitų kompiuterių. Jis veikia kaip tarpininkas tarp kliento ir nutolusio serverio, perduodamas informaciją pirmyn ir atgal, jos nekeisdamas.
K: Kas yra šliuzas arba tunelinis tarpinis serveris?
A: Vartai arba tunelinis tarpinis serveris yra tarpinio serverio tipas, kuris perduoda informaciją savo klientams jos nekeisdamas.
K: Kaip veikia tarpinis serveris?
A: Kai klientas prisijungia prie proxy serverio, jis prašo tam tikros paslaugos, pavyzdžiui, failo, ryšio, tinklalapio ar kito resurso, kuris yra kitame serveryje. Tada tarpinis serveris eina į kitą serverį ir paprašo to, ko klientas nori.
Klausimas: Ką proxy serveriai gali daryti su informacija?
A: Proxy gali keisti informaciją, kurią pateikia savo klientams, o jei tą pačią informaciją skirtingi klientai gauna kelis kartus, jie gali naudoti spartinimo funkciją, kad viskas vyktų greičiau. Spartinančioji atmintinė apima anksčiau pasiektų duomenų išsaugojimą būsimam naudojimui, kad, jei tuos pačius duomenis reikia pasiekti dar kartą, jų nereikėtų prašyti iš kito serverio.
K: Kur gali būti patalpinti tarpiniai serveriai klientų ir serverių atžvilgiu?
A.: Proxy gali būti bet kur tarp kliento ir nutolusio serverio, įskaitant programinę įrangą pačiame kompiuteryje arba bet kuriame kompiuteryje tarp jų abiejų.
K: Kokias saugumo priemones naudoja kai kurie tarpiniai serveriai?
A: Kai kurie tarpiniai serveriai gali naudoti saugiųjų lizdų sluoksnį (SSL), kad apsaugotų klientų ir nutolusių serverių ryšius ir kad jokie kiti kompiuteriai negalėtų perskaityti ar suprasti, ko prašoma vienas iš kito.
Ieškoti