ما هو الوكيل الشفاف؟
يمكننا تعريف البروكسي الشفاف على أنه خادم يعمل كنظام وسيط يعترض الاتصال بين المستخدم النهائي ومزود المحتوى. الأسماء الأخرى للوكيل الشفاف هي الوكيل المضمن أو الوكيل القسري. نستخدم كلمة "شفاف" مع الوكيل لأنه يعترض الطلبات عن طريق اعتراض الحزم الموجهة إلى الوجهة
يمكننا تعريف البروكسي الشفاف على أنه خادم يعمل كنظام وسيط يعترض الاتصال بين المستخدم النهائي ومزود المحتوى. الأسماء الأخرى للوكيل الشفاف هي الوكيل المضمن أو الوكيل القسري. نستخدم كلمة "شفاف" مع الوكيل لأنه يعترض الطلبات عن طريق اعتراض الحزم الموجهة إلى الوجهة، مما يجعل الأمر يبدو وكأن الوجهة نفسها تتولى الطلب. يتم إعداد البروكسيات الشفافة من قبل موقع الويب أو مشغل الشبكة وليس من قبل المستخدم النهائي.
في بعض الأحيان، نستخدم أيضاً مصطلح "البروكسي القسري" للبروكسي الشفاف. وذلك لأنه يمكن تطبيقه على اتصال المستخدم دون تعديل إعدادات البروكسي الخاصة بحاسوبه. وبالتالي، يمكن فرض الوكلاء الشفافين على المستخدمين دون موافقتهم، لكنهم يعرفون وجودهم في كثير من الحالات.
أمثلة على الوكلاء الشفافين
يعد جدار الحماية مثالاً على البروكسي الشفاف الذي يسمح بمرور حركة المرور بين الشبكة الداخلية والإنترنت، ولكنه يحظر حركة المرور إذا كانت تنتهك جدول قواعد جدار الحماية.
ومن الأمثلة الأخرى على البروكسيات الشفافة شبكات توصيل المحتوى (CDNs). فهي توفر التكرار والتخزين المؤقت وتحسين السرعة دون تعديل أو تعريض النظام المصدر. يعتقد المستخدم أنه متصل مباشرةً بمزود الخدمة، ولكن في الواقع، تتولى شبكة توصيل المحتوى CDN معالجة جميع طلباته. هذه هي الطريقة التي تدير بها شركات التكنولوجيا مثل Google وTwitter وFacebook ملايين الطلبات بأقل وقت تعطل.
إعدادات الوكيل الشفاف الشائعة
فيما يلي إعدادات البروكسي الشفاف القياسية كلما قمنا بإعداده:
- المصادقة: يوفر للخادم نفس بيانات اعتماد المستخدمين خلف الوكيل.
- الاعتراض: يحدد كيفية اعتراض الوكيل الشفاف لحركة المرور على مستوى الموجه أو على مستوى نظام التشغيل.
- التخزين المؤقت: يحدد ما إذا كان يجب على الخادم الوكيل تخزين المحتوى مؤقتًا للمستخدمين العائدين أم لا.
- البروكسي العكسي: بدلاً من تعيين الوكيل لاعتراض الوصول عن بُعد، يمكننا وضعه أمام خادم ويب لتسريع أداء المستخدم.
- تدفق البيانات وتصفية الدردشة: يمكننا تكوين البروكسي الشفاف بحيث لا يُسمح للمستخدمين بالوصول إلى منافذ أو بروتوكولات محددة.
استخدامات الوكيل الشفاف - من جانب العميل
يمكننا نشر وكيل شفاف من جانب العميل، مما يعني أن الوكيل يعترض كل حركة المرور من وإلى نقطة نهاية العميل. استخدامات البروكسي الشفاف من جانب العميل هي:
التخزين المؤقت الشفاف
عندما يقوم عدة أشخاص بالوصول إلى نفس المحتوى من نفس المنطقة أو الموقع - على سبيل المثال، عندما يشاهد عدة طلاب نفس الموقع الإخباري عبر شبكة جامعتهم، فمن الأكثر فعالية استخدام وكيل شفاف لتخزين المحتوى مؤقتًا في البداية وتقديمه من ذاكرة التخزين المؤقت للمستخدمين اللاحقين.
المصادقة
يستخدم مشغّلو الإنترنت الخلوي ومواقع الواي فاي العامة أحيانًا بروكسيات شفافة لإجبار المستخدمين على توثيق أنفسهم على الشبكة والموافقة على شروط الخدمة الخاصة بهم. لا يُسمح لهم بالتصفح إلا عندما يصادق المستخدم ويوافق على الشروط والأحكام.
لا يعلم معظم المستخدمين أن الاتصال بأكمله يمكن اعتراضه ومراقبته من قبل المشغل حتى بعد شاشة المصادقة الأولية عبر البروكسي الشفاف.
مراقبة حركة المرور
عندما نقوم بتشغيل شبكة، يمكننا إعداد وكيل شفاف لمراقبة حركة مرور المستخدم وسلوكه، ولكن مراقبة حركة المرور لها أيضًا العديد من الاستخدامات غير المشروعة. على سبيل المثال، يمكن لمشغّل شبكة واي فاي عامة عديم الضمير وغير جدير بالثقة أن يراقب اتصالات المستخدم بسهولة ويسرق بيانات الاعتماد والبيانات.
وكلاء البوابة
يمكننا استخدام وكيل البوابة لتعديل أو حظر حركة مرور الشبكة بناءً على القواعد. مثال على وكيل البوابة هو وكيل جدار الحماية الشفاف الذي تمت مناقشته في المثال أعلاه.
تصفية المحتوى
يمكننا أيضًا استخدام وكيل شفاف لتصفية المحتوى غير الضروري وغير المرغوب فيه. على سبيل المثال، يمكن للوكيل الامتناع عن إعادة توجيه الطلب إلى خادم الويب عند طلب موقع ويب معين. بدلاً من ذلك، فإنه يعترض الاتصال ويعرض إشعاراً أو رسالة خطأ للمستخدم.
استخدامات البروكسي الشفاف - جانب الخادم
الحماية من الحرمان من الخدمة (Dos)
يمكننا حماية الخادم من هجمات الحرمان من الخدمة (DoS) باستخدام نوع من البروكسي الشفاف، أي اعتراض TCP. يقوم بوظيفة اعتراض كل حركة المرور إلى خادم الويب، وقبول طلبات العميل، وإجراء مصافحة ثلاثية. وعلاوة على ذلك، إذا نجح اعتراض حركة المرور، فإنه يقوم بإجراء مصافحة ثلاثية مع الخادم، وبالتالي ربط نصفي الاتصال بين العميل والخادم.
يتحقق اعتراض بروتوكول التحكم في الإرسال من طلبات TCP وينتظر عادةً لمدة 30 ثانية لإنشاء اتصالات. يدخل في "الوضع العدواني" عندما يتجاوز عدد الاتصالات غير النشطة عتبة معينة. في هذا الوضع، يؤدي كل اتصال جديد يصل إلى حذف أقدم اتصال خامل.
ومع ذلك، فإن التقنية المذكورة أعلاه لم تعد فعّالة ضد هجمات الحرمان من الخدمة الموزعة (DDoS) الحديثة واسعة النطاق. وذلك لأن المهاجمين، في الوقت الحاضر، يتحكمون بملايين الحواسيب الزومبي والخوادم عالية القدرة على إنشاء فيضانات متزامنة (SYN) التي تطغى على وحدة تحكم اعتراض TCP.
لهذا السبب، تستخدم معظم المؤسسات اليوم خدمات قائمة على السحابة مثل Imperva's DDoS Protection. يمكن لهذه الخدمات أن تحمي من هجمات DDoS الكبيرة، ويمكنها أيضًا توسيع نطاقها عند الطلب، مما يزيد من التعامل مع الهجمات واسعة النطاق والتعامل معها.
على سبيل المثال، يمكن لخدمات DDoS منع هجمات طبقة التطبيقات وهجمات البروتوكول التي لا تحدث في طبقة TCP.
شبكة CDN لتحسين الواجهة الأمامية
يمكننا تعريف شبكة توصيل المحتوى (CDN) على أنها شبكة موزعة عالميًا من الخوادم الوكيلة التي تقدم المحتوى وتخزينه مؤقتًا للمستخدمين بالقرب من موقعهم الجغرافي.
من أمثلة شبكات CDN شبكة توصيل المحتوى العالمية من Imperva، وهي عبارة عن وكيل شفاف يعمل على جانب الخادم. والغرض منها هو إجراء تحسينات على الواجهة الأمامية لتحسين تجربة المستخدم النهائي. فهو يعترض حركة المرور إلى خادم الويب ويقدم المحتوى نفسه من ذاكرة التخزين المؤقت للخادم بدلاً من السماح للمستخدم بالوصول إلى الخادم مباشرةً. ونتيجة لذلك، يتم تحسين أداء المستخدم، ويتم تقليل موارد النظام المطلوبة على الخادم.
حدود الوكيل الشفاف
على الرغم من أن التوكيل الشفاف يتمتع بمجموعة واسعة من المزايا، إلا أنه يمكن أن يولد بعض الإحباطات في بيئات الشركات المعقدة.
عدم المتانة: إذا تم إنشاء اتصال بين عميل وذاكرة تخزين مؤقتة وحدث تغيير في التوجيه أدى إلى اعتماد العميل مساراً لم يعد يتدفق عبر جهاز الشبكة "المحول"، فستنقطع الجلسة وسيتعين على المستخدم إعادة تحميل الصفحة.
من ناحية أخرى، إذا كانت أجهزة التوجيه على الإنترنت تتخبط (يقوم جهاز التوجيه بالإعلان عن شبكة وجهة بالتناوب في تسلسل سريع)، فإن النتائج ستكون غير متوقعة بشكل أكبر.
تبعية المتصفح: تعتمد معظم الوكلاء الشفافين على قيام المتصفح بتزويد اسم المضيف للخادم الأصلي في رأس طلب HTTP للتشغيل الناجح.
وهي مطلوبة لأن هذه المخابئ لا يمكنها الوصول إلى عنوان IP الوجهة للخادم الأصل من عنوان IP الخاص بالحزمة.
لذلك، عند حدوث فقدان ذاكرة التخزين المؤقت، لا يمكنهم تحديد عنوان الخادم الأصلي لإرسال الطلب إليه.
الخاتمة
ناقشنا أنه يمكن مراقبة حركة المرور على الإنترنت وتصفيتها باستخدام وكيل شفاف. كما أنه يشكل الطريقة التي نتفاعل بها مع الويب. سواء كان ذلك من خلال تقديم البيانات بشكل أسرع من خلال تصفية المحتوى غير المرغوب فيه، أو التخزين المؤقت، أو منح الشركات مزيدًا من التحكم في شبكاتها، فإن البروكسي الشفاف يضيف وظائف إلى الإنترنت دون إضافة أي إزعاج.