Proxy Services
são especializados em aplicações ou programas
servidores
que rodam em um Firewall host : tanto num dual-homed
host com
interface para as redes interna e externa, quanto num outro
bastion host
com acesso a Internet e acessível de máquinas internas.
Esses proxies
pegam as requisições dos usuários para serviços
da
Internet
e passam essas requisições adiante para os serviços
de facto,
se elas estiverem
de acordo com a política de segurança vigente. Os
proxies provêm
novas conexões em substituição as antigas e agem
como gateways
para os serviços. Por essa razão, os proxies são
conhecidos
como Application-level Gateways .
Dessa forma,
os Proxy Services estão, de maneira mais ou menos
transparente,
entre o usuário na rede interna e o serviço na rede
externa (a
Internet). Ao invés desses dois elementos comunicarem
entre si
diretamente, eles comunicam com o proxy. Os proxies cuidam
de toda a
comunicação entre os usuários e os serviços
disponíveis na
Internet.
Transparência
é o maior benefício dos Proxy Services . Para o usuário,
o servidor
proxy dá a ilusão de que ele está lidando diretamente
com o
servidor
real. Para o servidor real, o servidor proxy age como se o
servidor
real estivesse lidando direntamente com o cliente no proxy
host.
Observação:
Proxy Services só funcionam bem se usados em
conjunto
com mecanismos que restrigem a comunicação direta entre
as redes
interna e externa. Bons exemplos são os Dual-homed hosts e
packet filtering.
Como os Proxy Services funcionam
Como mostra
o diagrama abaixo, um Proxy Service possui dois
componentes:
o servidor proxy e o cliente proxy. Nesse caso,o servidor
proxy roda
no dual-homed host. O cliente proxy é uma versão de um
programa
cliente normal (isto é, um cliente Telnet ou cliente FTP) que
conversa
com o servidor proxy ao invés do servidor "real" na Internet.
Além
disso, se procedimentos especiais forem utilizados pelos
usuários,
programas clientes normais podem ser usados como clientes
proxy. O
servidor proxy examina os pedidos do cliente proxy e decide
qual deles
deve aprovar e quais deve reprovar. Se o pedido é
aprovado,
o servidor proxy contacta o servidor real no lugar do cliente
(daí
a razão do termo proxy), e continua a mandar os pedidos do
cliente proxy
para o servidor real, bem como as respostas desse
servidor
para o cliente.
Utilização de Proxy Services com Dual-homed Host
Em alguns
sistemas de Proxy Services, ao invés de se instalar
softwares
típicos de clientes proxy, são usados softwares comuns, mas
são
modificados os procedimentos usuais do cliente para utilizá-lo.
Um Proxy Service
é apenas uma solução de software, não uma
arquitetura
de Firewalls. Dessa forma, ele pode ser utilizado em
conjunto
com qualquer uma das arquiteturas que serão descritas nas
seções
seguintes.
Os servidores
proxy podem não só passar adiante os pedidos dos
usuários
para os servidores reais. O servidor pode controlar também o
que os usuários
fazem, porque ele pode tomar decisões das
requisições
que ele processa. Dependo da Política de Segurança do
site onde
eles estejam, o FTP proxy pode recusar pedidos de
exportação
de arquivos, ou deixar que os usuários importem arquivos
apenas de
determinados sites.