|
|
|
En proxy-server fungerar på applikationsnivå. Den förstår ett protokolls olika funktioner och tar emot en "beställning" från en dator på det inre nätet. Om allt är okej med beställningen, så antar proxy-servern uppdraget och utför det på det externa nätet. När resultatet kommer tar proxy-servern emot det och levererar det till den interna beställaren. Inga datapaket passerar proxy-servern, utan proxyservern initierar en helt ny nätverkssession ut på det externa nätet.
En brandvägg är skiljeväggen mellan ett yttre, osäkert, nätverk och ett inre, mer säkert, nätverk. Brandväggen brukar jobba på flera olika nivåer i OSI-modellen, den referensmodell som används för att beskriva olika funktioner i nätverkssammanhang.
Brandväggar och i många fall routers, kan filtrera på protokollnivå. Man kan instruera programvaran att släppa igenom vissa sessioner och stoppa andra. En sådan teknologi studerar aldrig innehållet i en begäran, utan släpper igenom eller hindrar trafik.
Ibland kan trafik som släpps igenom tvingas igenom en NAT-funktion, Network Address Translation. Då byts avsändaradressen i data-paketen ut så att den externa servern inte kan avgöra varifrån sessionen kommer på det interna nätet.
Det finns en rad olika proxy-servrar för olika protokoll och funktioner. Vanligast är webb-proxyn, men i en brandvägg behövs också ftp-proxy, realaudio-proxy och i vissa fall en smtp-proxy. Det är upp till nätverksadministratören vilka som installeras och hur och av vem dessa får användas. Ur säkerhetssynpunkt bör man kunna en hel del om varje protokoll för att avgöra om det är en säker lösning eller inte.
För den som är teknisk finns olika typer av verktygslådor för att bygga proxy-stöd för egna protokoll eller protokoll som inte har proxy-stöd.
Det finns också proxy-servrar som tar emot en okrypterad session från det interna nätverket och krypterar den över ett osäkert nätverk till en motsvarande server någon annan stans, där trafiken "packas upp" och förs vidare på ett internt nätverk. Det är ett slags krypto-tunnel-funktion. Idag uppnås den här funktionaliteten bäst med kryptering på en lägre nivå, med hjälp av Internet-protokollet IP-sec.
