代理服务器作为连接Internet与Intranet的桥梁,在实际应用中发挥着极其重要的作用。它可用于多个目的,最基本的功能是连接,此外还包括安全性、缓存、内容过滤、 访问控制管理等功能。目前市场上主要是国外的代理服务器产品,而国外的产品并不能很好的适应国内企业的需求。本文实现了一个代理服务器系统,可代理HTTP, FTP, TELNET, SMTP, POP这五个常用协议,此外还有用户管理和拨号等功能。
引言
随着Internet与Intranet的飞速发展,作为连接Internet与Intranet的桥梁,代理服务器在实际应用中发挥着极其重要的作用。它可用于多个目的,最基本的功能是连接,此外还包括安全性、缓存、内容过滤、访问控制管理等功能。具体来说主要有以下特点:
(1) 可通过一个公用IP地址供多个用户同时访问Internet
(2) 在内部网络和外部网络之间构筑起防火墙
(3) 通过缓存区的使用降低网络通信费用
(4) 对局域网用户进行访问权限和信息流量计费管理
(5) 对进入局域网的Internet信息实现访问内容控制
(6) 在确保局域网安全的环境下提供Internet信息服务
在代理服务器的众多功能中,安全性是一个突出且敏感的功能。绝大多数企业、部门在使用代理服务器的时候,都会考虑这个问题,把它作为选购代理服务器产品的重要依据。目前市场上流行的代理服务器,像Microsoft Proxy Server、Netscape Proxy Server、WinGate等,都是国外的产品,虽然功能和性能等方面都还不错,但毕竟是别人的东西,从保证安全性的角度出发,很有必要开发一个自己的代理服务器。而且,在实际使用国外这些产品的过程中,发现它们并不能很好的满足国内企业的要求。比如说,访问日志功能,虽然绝大多数的国外产品都有,但是,这些日志功能都是定死的,不能够根据企业的要求来灵活的生成,而这个功能又是国内很多企业所必须的。因此研究并实现代理服务器不仅有助于我们深入了解各种Internet协议的实现细节,掌握代理的技术,而且可实现软件的国产化,满足国内用户的安全性需求,对于社会和个人都是有积极意义的。
代理服务器的实现模型和总体框架
代理服务器(Proxy)是接收或解释客户端连接并发起到服务器的新连接的网络节点。它是客户端/服务器关系的中间人,这意味着代理服务器必须满足以下条件:
◎ 能够接收和解释客户端的请求
◎ 能够创建到服务器的新连接
◎ 能够接收服务器发来的响应
◎ 能够发出或解释服务器的响应并将该响应传回给客户端
上述四个条件也即是代理服务器的四个基本功能。如果说接收客户端请求并发回响应是服务器的功能的话,那么发起到服务器的连接并接收服务器的响应则是客户端发挥的作用。因此实现代理服务器必须要同时实现服务器和客户端两端的功能。
代理服务器实现模型如图1所示。
根据代理服务器工作的层次,一般可分为应用层代理、传输层代理和SOCKS代理。应用层代理工作在TCP/IP模型的应用层之上,它只能用于支持代理的应用层协议(如HTTP,FTP)。它提供的控制最多,但是不灵活,必须要有相应的协议支持。如果协议不支持代理(如SMTP和POP),那就只能在应用层以下代理,也即传输层代理。传输层代理直接与TCP层交互,更加灵活。要求代理服务器具有部分真正服务器的功能:监听特定TCP或UDP端口,接收客户端的请求同时向客户端发出相应的响应。另一种代理需要改变客户端的IP栈,即SOCKS代理。它是可用的最强大、最灵活的代理标准协议。SOCK V4允许代理服务器内部的客户端完全地连接到外部的服务器,SOCK V5增加了对客户端的授权和认证,因此它是一种安全性较高的代理。
为便于统一处理,本文采用传输层代理,即不管协议是否支持代理,都采用传输层代理模式。代理服务器接收内部网的TCP和UDP包,改变源和目的IP地址,甚至改变TCP或UDP头,然后将包发送到外部网。
传输层代理主要有两种方案:端口重定向和客户端服务器代理。端口重定向比较简单,代理服务器通过监听特定的TCP或UDP端口接收连接,希望连接到外部网络的客户端通过该端口,连接到代理服务器,代理服务器使用另外的端口和IP地址发出对远端目的地的连接。建立连接以后,所有客户端和远端目的地的数据都由代理服务器转发。客户端服务器代理需要安装客户端,用户启动与外部网络通信的程序时,代理客户端封装包并直接转发给代理服务器。代理服务器打开封装并将包传输给外部网络。接到响应时,代理服务器封装数据并转发给客户端。这种方案有一个严重缺点,由于客户端程序的安装,改变了TCP/ IP栈的工作方式,使代理复杂化,增加了发生问题的机会。
出于对可靠性和简单性方面的考虑,本代理服务器系统采用端口重定向方案,只是简单定制了客户端的操作过程。代理服务器监听特定端口,客户端需要连接到外部网络时,要先显式地连接代理服务器的监听端口。代理服务器响应后,客户端指出需要连接的远端目的地,由代理服务器来进行连接。连接成功以后,代理服务器转发数据,客户端的操作就象直接与远端相连一样了。
本代理服务器系统的总体框架如图2所示:
系统由七大模块组成。TELNET代理模块、HTTP代理模块、FTP代理模块、SMTP代理模块和POP代理模块分别实现了对应协议的代理。用户管理模块贯穿整个代理服务器系统,主要负责对用户的认证和访问权限控制等。拨号连接模块是专为那些通过拨号访问Internet的用户提供的服务。
||||||代理服务器的实现
本代理服务器系统建立在Windows NT平台上,基于WinSock网络通信接口,使用Microsoft Visual C++,利用MFC类库中提供的两个Socket类CAsyncSocket和Csocket。这两个类不仅使我们可以用面向对象的方法来进行Socket编程,而且它们还分别在较低和较高层次上封装了Windows Sockets API,为程序员开发Socket程序提供了便利。而图2中五种协议的代理实际上是设计此软件时涉及的五个基本对象,这五个对象涉及五种协议和五种代理服务,代理服务不同则对象的属性及行为均不同,因此很自然地用C++中的五个类来对应这五个对象。即CTPSocket(Telnet代理)、CFPSocket(FTP代理)、CSPSocket(SMTP代理)、CPPSocket(POP代理)、CWPSocket(WWW代理),它们都是CAsyncSocket类的子类。显然这样设计既考虑了实际需求,又很好地利用了C++的面向对象程序设计的优点,同时由于每一个类分别代表一种服务,封装了其实现细节,有利于程序的移植、扩展和维护。下面以Telnet代理(CTPSocket)为例来说明实现的细节。
2.1 TELNET协议
TELNET为远程登录协议。此协议允许TELNET客户端在远程主机上登录,就好象该客户端是直接连接到远程主机上的一个终端一样。
会话开始前,用户在客户端输入远程服务器的地址,然后该客户端就与远程服务器建立一个TCP连接。连接建立后开始进入会话,接着远程服务器会给用户显示登录提示符,让用户键入用户名和口令。用户名和口令获得通过后,客户端就与服务器相互传递命令和数据,直到会话结束,然后服务器或客户端关闭连接。
与其它应用协议不同的是,TELNET允许其客户端与Internet上任何服务器的每个协议端口建立TCP连接,并进行TCP会话,用户可以利用TELNET的这一功能检测其它协议。如用户可以把TELNET客户端连到端口25(SMTP的周知口)来实现Internet e_mail的发送或者连到端口110(POP的周知口)来实现Internet e_mail的接收等等。因此TELNET代理的实现是其它代理实现的基础,可以用TELNET代理来测试其它代理。
2.2 TELNET代理的实现
TELNET代理的工作流程可归纳为:启动该代理服务,监听客户端连接。当客户端的连接请求到达代理服务器后,代理服务器根据访问控制文件,以及连接的源和目的地址对连接进行过滤,若是不合法的连接,则予以拒绝。然后代理程序代理服务器端与客户端建立连接,并代理客户端与服务器端建立连接,当三方的连接接通后,代理程序在服务器与客户端之间转发命令及反馈,直到有一方退出或超时时结束代理服务,其流程如图3所示:
其它几个协议的实现与TELNET在TCP连接上是类似的。其中FTP协议特殊一点,它使用了两个TCP连接,控制连接和数据连接。在整个FTP处理过程中,控制连接起传输控制信息的作用,它始终保持主动状态。数据连接负责传输用户需求的数据。当启动FTP代理服务时,系统首先启动守护进程(默认端口为21),FTP客户向该端口发送控制连接请求,与代理服务器建立控制连接,然后代理服务器与远端FTP服务器建立控制连接。控制连接建立成功后,FTP客户与代理服务器(默认端口20)建立数据连接,代理服务器进而与远端FTP服务器建立数据连接,数据连接成功后,FTP客户和远端FTP服务器就可以进行数据的传输了。
代理服务器的其它功能
3.1 用户管理
代理服务器对客户端的管理可以是基于主机,即基于IP地址的管理。这种管理在实现上比较简单,但不灵活。代理服务器是根据各个客户端的IP地址来进行配置的,若客户端主机有所修改,则需相应修改代理服务器的配置。这样的话,对于网络管理员来说,是很不方便的。同时,对于多人共用一台计算机的情况,基于IP地址管理的代理服务器是不能区分各个用户的,这就给管理带来了隐患。另外,基于IP地址管理的代理服务器也不能防止他人盗用问题,只要能打开某台代理服务器认可的计算机,就可访问外部网络。
本系统中,对客户端的管理是基于用户的管理。用户在使用代理服务器访问外部网络之前,需要先启动一个客户端程序,输入用户名和口令以登录到代理服务器。代理服务器检测用户名和口令,判断该用户是否合法,以及该用户的访问权限,从而对用户访问外部网络进行控制。代理服务器检测完成后,断开与客户端的登录连接。但是代理服务器会定时地主动连接客户端,从而监测已登录用户的状态,当发现用户状态异常(如死机)时,对该用户进行访问封锁,直到用户重新登录。同时,若用户暂时不再访问外部网络,可主动启动客户端程序,显式地注销在代理服务器上的登录,这样就可防止他人在用户离开后,继续使用代理服务器访问外部网络,解决了盗用问题。
3.2 拨号连接
拨号连接也是代理服务器中较为常见的一个服务。代理服务器与Internet建立连接一般有两种方法,一种是通过专线直接与Internet建立连接,另一种是通过电话线与拨号服务器建立拨号连接,然后登录到Internet上。虽然代理服务器本身是一个上层软件,它不关心底层连接的具体建立,无论该底层连接是通过专线还是拨号连接。但是为了增强代理服务器的功能,提高其适用范围,本系统提供了拨号连接的服务。
使用拨号连接功能,需要对代理服务器进行配置。首先要配置好Windows系统的电话拨号功能,建立电话簿登记项。启动代理服务器后,系统调用Windows系统的电话簿登记项进行电话拨号连接,登录到ISP的计算机系统。然后再通过系统的电话拨号配置窗口对登记项进行参数配置。
结束语
本文分析了代理服务器工作的基本原理,并对其开发作了较深入的研究。实际开发了一个代理服务器系统,在实验室进行一系列功能测试后,现已在某企业网上正式运行。运行结果显示,系统能稳定地代理各类Internet访问服务;企业利用系统基于用户的管理机制,加强了访问管理和控制。可以说系统很好地适应了企业的需求,在企业的整个管理系统中起了不可忽视的作用。