Aunque ambos implican acceso a recursos a nivel de objeto, la URL y el uso compartido de archivos no son lo mismo. Al acceder a una URL, se utiliza el protocolo HTTP. Como el protocolo SSL es un socio natural de HTTP, la conversión del protocolo ya no es necesaria en la función de proxy web. Sin embargo, todavía queremos centrarnos en las dos áreas de contenido más importantes en nuestra descripción aquí: control de acceso a nivel de URL y ocultando la dirección URL real.
Servicios de proxy web, significa acceder a los recursos del servidor web de la red interna (recursos de URL) utilizando el firewall como agente. En este caso, podría preguntarse, ¿no es esto simplemente una función de proxy ordinaria: cuando se usa un servidor como un trampolín para acceder a una dirección URL de destino, este servidor actúa como un proxy, no hace lo mismo el firewall? La respuesta es que no son exactamente lo mismo, ya que durante todo el proceso, el firewall no solo actúa como un proxy, sino que también reescribe la URL real, logrando así el objetivo de ocultar la URL de la red interna real y protegiendo aún más la seguridad de la red interna del servidor web.
1 Configurando recursos Web Proxy.
Supongamos que una empresa ya ha configurado un servidor web y ha proporcionado una dirección de portal para la red interna de la empresa (http://portal.test.com:8081/) y espera utilizar la función de web proxy para proporcionar acceso a usuarios remotos.
Al igual que con los recursos para compartir archivos, a fin de refinar la granularidad del control de acceso al nivel de URL, es necesario configurar un recurso web proxy correspondiente en la puerta de enlace virtual, como se muestra en la Figura 1-1.
Figura 1-1 Lista de recursos de web proxy: creación de un nuevo recurso.
En la configuración anterior, el parámetro más importante es el tipo de recurso, que define el método de proxy web. Los métodos de proxy incluyen la reescritura web y el enlace web, y las diferencias entre los dos se muestran en la tabla 1-1.
Tabla 1-1 Comparación de reescritura web y enlace web
Elemento comparado | Reescritura Web | Web-Link |
Seguridad | Vuelve a escribir la URL real, ocultando la dirección del servidor de red interna: confiere una seguridad sólida. | No se puede volver a escribir la URL y reenviar directamente las solicitudes y respuestas web, lo que puede revelar la dirección real de los servidores de la red interna. |
Facilidad de uso | No se basa en los controles de IE y puede usarse normalmente en un navegador que no sea de IE. | Se basa en los controles de IE y no se puede utilizar normalmente en entornos que no son de IE. |
Compatibilidad | Como la tecnología web se ha desarrollado muy rápidamente, los firewalls no pueden reescribir cada clase de recursos de URL, y pueden surgir algunos problemas, como imágenes mal ubicadas, fuentes con apariencia anormal, etc. | No es necesario volver a escribir los recursos, y el firewall envía directamente las solicitudes y respuestas, por lo que no hay problemas con la compatibilidad de la página. |
Consejos | La reescritura web es la opción preferencial, ya que es el tipo de método de acceso más seguro y conveniente. Si aparecen anomalías en la visualización de la página, se puede considerar el método de enlace web. | Web-Link es el mejor sustituto para la reescritura web, pero debido a su dependencia de los controles de IE, todavía hay limitaciones en su uso. Además, no vuelve a escribir la URL de la red interna, lo que significa que existe un riesgo de seguridad. |
En la tabla 1-2 se enlistan el significado de algunos otros parámetros.
Tabla 1-2 Detalles de los parámetros Web proxy
Parámetro | Detalles |
URL | Una dirección de aplicación web a la que se puede acceder directamente desde la red interna. Si está en un formato de nombre de dominio, esto requiere que la dirección del servidor DNS correspondiente esté configurada en la puerta de enlace virtual. |
Grupo de recursos | Es equivalente a una clasificación autodefinida de direcciones de aplicaciones web; después de que los usuarios remotos inician sesión, pueden seleccionar los recursos necesarios por grupo de recursos, esto es como la entrada y las agrupaciones de bebidas en un menú. |
Portal link | Selecciona si los recursos proxy web aparecen o no en la página de inicio de la puerta de enlace virtual después de iniciar sesión. Si no se selecciona, esto es como preparar un 'plato de la casa' que no está en el menú para un cliente antiguo. El "usuario anterior" puede, después de iniciar sesión, ingresar manualmente una dirección URL en la barra de direcciones de la esquina superior derecha y acceder a algunos recursos URL relativamente confidenciales. |
Llevaré a todos a una exploración más profunda de cómo funciona realmente la reescritura web. En cuanto a Web-Link, solo he hecho una pequeña introducción a esto aquí, como lo resaltaré en "8.4 reenvío de puertos".
1 Reescritura de direcciones URL
Desde la dirección URL que realmente aparece al usuario, podemos ver que la URL del recurso proxy web configurada anteriormente, http://portal.test.com:8081/, se ha reescrito.
Figura 1-2 interfaz de inicio de sesión VPN SSL: proxy web
To anayze the rewriting results, in the address, 4.1.64.12 is the virtual gateway address, and the remaining portions can roughly be broken down as:
l Webproxy: the Web proxy's exclusive directory.
l 1/1412585677/4: UserID/SessionID/ResourceID; these parameters have already been mentioned when introducing file sharing
l http/portal.test.com:8081/0-2+: the altered form of the original URL address.
When the user accesses the rewritten address, the following exchange occurs.
1. The remote user makes a request to the firewall for the rewritten URL address.
Para analizar los resultados de la reescritura, en la dirección, 4.1.64.12 es la dirección de la puerta de enlace virtual, y las partes restantes se pueden dividir aproximadamente como:
· Webproxy: el directorio exclusivo del proxy web.
· 1/1412585677/4: UserID / SessionID / ResourceID; Estos parámetros ya se han mencionado al introducir el intercambio de archivos.
· http / portal.test.com: 8081 / 0-2 +: la forma alterada de la dirección URL original.
Cuando el usuario accede a la dirección reescrita, se produce el siguiente intercambio.
1. El usuario remoto realiza una solicitud al firewall para la dirección URL reescrita.
Antes de llegar al firewall, el paquete de solicitud está en un estado cifrado. La captura de pantalla anterior se toma después del descifrado, por lo que también podemos entender que se trata de la solicitud real recibida por el firewall.
2. Después de que el firewall descifra el paquete recibido, pero antes de enviar la solicitud al servidor interno, realiza el siguiente tratamiento adicional del paquete original:
a. El campo Accept-Encoding del encabezado del paquete original debe eliminarse; de lo contrario, el servidor web puede cifrar el paquete de respuesta y enviarlo al firewall virtual, que no podrá descifrar el paquete y no podrá reenviar más el paquete. En la captura de pantalla de abajo, se puede ver que el firewall ya ha eliminado el campo de codificación de aceptación del paquete original.
b. La dirección de los recursos web de la red interna real se sustituye por el campo host.
c. El campo de referencia para algunas URL relacionadas con este recurso web se reescribe para que sea la dirección de recurso web real de la red interna
3. El firewall, que actúa como cliente web, envía los datos reescritos al servidor web real.
Después de esto viene el intercambio HTTP normal, que no vamos a detallar.
3. Reescritura de rutas de recursos en URLs
El firewall recibe el paquete de respuesta, la página que debe mostrarse para el usuario (usaremos la página de inicio http://portal.test.com:8081/ como ejemplo) y también debe volver a escribir algún recurso. Si las rutas de recursos no se vuelven a escribir, el cliente utilizará direcciones erróneas / no existentes para obtener los recursos, lo que en última instancia significará que el contenido correspondiente no se puede mostrar normalmente. En la actualidad, los firewalls admiten la reescritura de los siguientes recursos de página:
· atributos de HTML
· eventos HTML
· VBScript
· ActiveX
· CSS
· XML
El firewall puede reescribir las rutas internas de estos recursos, con el objetivo de ser la visualización normal de la página y el uso normal de la función.
4 Archivos de reescritura contenidos en URLs
De hecho, en la última subsección ya dimos una introducción parcial a la reescritura de archivos. Sin embargo, todo esto se basó en la reescritura de recursos de la página de solicitud, lo que quiere decir que no era necesario que el usuario percibiera el contenido reescrito; lo que le importaba era si la página podía mostrarse normalmente y si la funcionalidad web era normal. Sin embargo, de lo que hablaremos a continuación son los archivos cercanos y queridos al corazón del usuario, incluidos PDF, Java Applet y Flash.
Usando PDF como ejemplo, hemos incorporado a.pdf en http://portal.test.com:8081/, para proporcionar esto al usuario para que lo descargue en forma de un enlace. El contenido del PDF es el siguiente, incluido un enlace al que solo se puede acceder en la red interna (http://support.test.com/enterprise). Si el firewall no lo reescribe, cuando el usuario remoto abre el PDF descargado e intenta acceder a los enlaces que contiene, no podrá acceder, como se muestra en la Figura 1-3.
Figura 1-3 Archivo contenido en una URL
Pero, a través de una descarga de la puerta de enlace virtual del archivo PDF contenido en un recurso proxy web, la visualización es la siguiente cuando se abre localmente. Como puede ver, la URL de la red interna original en el archivo ya se ha reescrito, y la URL reescrita es el comienzo de la dirección de la puerta de enlace virtual. De esta manera, los usuarios de la red externa pueden acceder al recurso de la red interna incrustado en el archivo PDF. Esto se muestra en la Figura 1-4.
Figura 1-4 Reescribiendo un archivo contenido en una URL