是否還有任何正當理由(在 2011 年)使用代理伺服器而不是 NAT 來共享 Internet 連接?
代理在 NAT 之前就已經存在,因此在網際網路的早期,它們是僅使用一個公共 IP 就可以使整個網路線上的流行方式。NAT 最初需要復雜的軟體和/或硬體才能使其工作,因此可以理解,一些組織仍然使用代理伺服器來提供訪問。
然而,在過去的十年中,NAT 變得非常流行,並且幾乎可以在市場上的所有路由器中使用。硬體如此快速和便宜,除非您嘗試使用 50 美元的家用路由器來執行例如 5000 人的辦公室,否則您不會遇到問題。防火牆也足夠智能,可以進行複雜的身份驗證,輕鬆允許不同的使用者在一天中的不同時間訪問不同的服務(即使是最基本的家庭路由器也經常內置此功能)。事實上,NAT 可能比代理伺服器更容易設置和管理。
在我的工作中,我仍然經常與使用代理伺服器提供網際網路訪問的客戶打交道,以及隨之而來的身份驗證問題、帳戶服務的執行方式等。這包括一些非常大而且很老的公司(所以我猜十多年前安裝了他們的網路,並且一直保持這種狀態)以及只有幾年曆史的相對較新的組織。
所以我的問題是,為什麼仍然有這麼多地方為此目的使用代理伺服器?
仍然使用代理有幾個主要原因:
- 內容過濾
- 驗證
- 記憶體
雖然 NAT 和代理在某些方面是相似的,但它們在不同的層上執行,因此在許多方面不同,它們滿足不同的需求。NAT 主要是第 3 層技術,HTTP 代理是第 7 層技術。
NAT 在防火牆上執行,因此對 IP 數據包起作用,而代理在應用程序級別處理 Web 請求,從而能夠過濾、分析和記錄它們。這為代理提供了一些您在路由器上不具備的功能:
- 驗證。代理可以辨識(並接受/拒絕和記錄)使用者帳戶,而防火牆只能看到 IP 地址。
- 應用程序級過濾。在這種情況下,URL過濾和內容過濾;代理可以分析流經它的 Web 請求並根據其內容採取行動,而防火牆只能阻止或允許特定的 IP 地址。
- 惡意軟體保護。代理可以檢查網頁中的惡意內容。
- 記錄。代理可以記錄 HTTP 請求和響應,以及使用者訪問的完整 URL。同樣,防火牆只會看到 IP 地址和 TCP/UDP 埠。
- 記憶體。如今,周圍有如此多的動態內容,用處不大,但仍有助於減少網路流量。
另一方面,代理只作用於 HTTP(有時是 FTP)流量,因為它是專門為此而設計的;如果您需要任何其他類型的 Internet 流量,仍然可以使用 NAT。
此外,周圍有很多混合的防火牆/代理設備和軟體,這一事實引起了很多混亂。但它們是兩個根本不同的功能,即使它們在同一設備上執行。