用户和应用程序如何在互联网上保持安全：代理服务器始终处于关闭状态

互联网用户和联网应用程序都能从网络安全投资中受益。网络隐私的一个核心方面是使用代理服务器，尽管这个基本组成部分在其更易识别的形式下最初可能并不明显。如今，了解代理服务器对开发人员、软件产品所有者以及互联网上的普通用户来说都非常有用。让我们来探讨一下代理服务器为何成为网络安全支持的重要组成部分。

“在互联网上，没有人知道你是一条狗。”

据报道，彼得·施泰纳的标题于1993年首次发表在《纽约客》上，当时并未引起太大关注。直到后来，这句关于网络匿名的不祥且略带恐惧的暗示，才像冰冷的未知之手触动了公众的意识。随着互联网的普及，用户开始担心其他人可以以任何他们选择的方式在网上展现自己，而没有人知道他们的真实身份。

毫不夸张地说，现在的情况已经不同了。由于追踪 cookies、浏览器指纹识别、互联网服务提供商 (ISP) 将我们的浏览日志出售给广告商，以及我们自己莫名其妙地倾向于在社交网络上公开自己的姓名和面孔，网络匿名性就像去年的 LaCroix 口味一样过时了。虽然你的隔壁邻居可能不知道如何在网上找到你（好吧，除了通过你正在使用的基于位置的二手市场应用程序），但你可以肯定，至少有一家大型广告公司在某个地方拥有一系列代表你、你的市场人口统计的具体细节以及你的所有在线习惯（包括你喜欢的 LaCroix 口味）的 0 和 1。

有一些方法可以增加一些层次的隐蔽性，比如使用隐藏 IP 的公司防火墙，或者使用 Tor。这两种方法的底层机制是相同的。就像被洋葱层层包裹一样，我们使用一个或多个代理服务器来保护我们略带硫磺味的自我，避免被第三方追踪。

那么，代理服务器到底是什么？

代理，在传统的英语定义中，是“代表他人行事的权力或权力”。 ( Merriam-Webster ) 在计算环境中，代理服务器是代表另一台服务器或用户机器行事的服务器。

例如，通过使用代理浏览互联网，用户可以推迟个人身份识别。用户的所有互联网流量似乎都来自代理服务器，而不是用户自己的机器。

代理服务器适用于用户

作为客户端，我们可以通过几种方式使用代理服务器来隐藏上网身份。需要注意的是，这些方法提供的匿名性程度各不相同，没有任何一种方法能够真正实现匿名；如果有人在互联网上主动寻找您，无论出于何种原因，都应该采取进一步措施，使您的活动真正难以识别。（这些步骤超出了本文的讨论范围，但您可以参考电子前沿基金会 (EFF) 的“监视自卫”资源。）不过，对于普通用户来说，这里有一个小型菜单，列出了从最低匿名到最高匿名的选项。

在您的网络浏览器中使用代理

某些网络浏览器（包括 Mac 上的 Firefox 和 Safari）允许我们配置它们通过代理服务器发送互联网流量。代理服务器会尝试将我们的原始 IP 地址替换为其自身的 IP 地址，从而匿名化我们的请求。这为我们提供了一定的匿名性，因为我们尝试访问的网站将看不到我们的原始 IP 地址；但是，我们选择使用的代理服务器会确切地知道是谁发起了请求。这种方法也不一定能加密流量、阻止 Cookie，或阻止社交媒体和跨站跟踪器跟踪我们；从好的方面来看，它是最不可能阻止使用 Cookie 的网站正常运行的方法。

公共代理服务器随处可见，决定是否使用其中任何一个，就如同决定是否应该吃陌生人递给我们的糖果一样。如果您的学术机构或公司提供了代理服务器地址，那么它（希望）是一个具有一定安全措施的私人服务器。如果我们有一点时间和每月几美元来投资安全，我更倾向于在Amazon Web Services或Digital Ocean等公司建立自己的虚拟实例，并将其用作代理服务器。

要通过我们的浏览器使用代理，我们可以在 Firefox 中编辑我们的连接设置，或者使用 Mac 上的 Safari 设置代理服务器。

在选择浏览器方面，我很乐意向所有想要立即增强浏览体验安全性的互联网用户推荐Firefox 。自从我听说 Mozilla 以来，他们一直秉持着隐私至上的原则，最近他们对 Firefox 浏览器的增强跟踪保护功能进行了一些广受好评的改进，默认屏蔽了社交媒体跟踪器、跨站跟踪 Cookie、指纹识别器和加密货币挖矿程序。

在您的设备上使用 VPN

为了充分利用代理服务器来处理所有互联网流量，而不是仅仅通过一个浏览器，我们可以使用虚拟专用网络 (VPN)。VPN 是一种通常需要付费的服务，它会将我们的互联网流量发送到他们的服务器，从而充当代理。VPN 可以在笔记本电脑、手机和平板电脑上使用，由于它涵盖了我们所有的互联网流量，因此除了确保设备连接正常外，使用 VPN 无需太多额外操作。使用 VPN 可以有效地防止网络服务提供商 (ISP) 窥探我们的请求。

要使用付费的第三方 VPN 服务，我们通常会在其网站上注册并下载其应用程序。务必记住，无论选择哪个提供商，我们都将数据托付给他们。VPN 提供商会将我们的互联网活动匿名化，但他们自己却可以看到我们的所有请求。各提供商的隐私政策和选择记录的数据各不相同，因此可能需要进行一些研究，以确定哪些提供商（如果有的话）值得我们信赖。

我们还可以使用虚拟实例和OpenVPN来构建自己的 VPN 服务。OpenVPN 是一个开源 VPN 协议，可以与一些虚拟实例提供商一起使用，例如Amazon VPC、Microsoft Azure、Google Cloud和Digital Ocean Droplets。我之前写过一篇教程，教你如何使用 AWS EC2 实例搭建自己的个人 VPN 服务。我个人已经运行这个解决方案大约一个月了，总共花费了近 4 美元，为了获得一些安心，这个价格我很乐意支付。

使用 Tor

Tor 不仅利用代理服务器提供的匿名性，还将我们的请求转发到由其他服务器组成的中继网络（每个服务器称为一个“节点”），从而进一步增强了匿名性。我们的流量在到达目的地之前会经过三个节点：守卫节点、中间节点和出口节点。在每一步，请求都会被加密和匿名化，这样当前节点就只知道将请求发送到哪里，而对请求中包含的内容一无所知。这种知识分离意味着，在所有讨论的方案中，Tor 提供的匿名性最为完善。（有关更完整的解释，请参阅Robert Heaton 关于 Tor 工作原理的文章，这篇文章写得非常精彩，我真希望自己能写出来。）

话虽如此，这种程度的匿名性也需要付出代价。当然，这并非金钱成本，因为Tor 浏览器是免费下载和使用的。然而，由于我们的请求需要绕行，它比通过浏览器使用 VPN 或简单的代理服务器要慢。

代理服务器也适用于服务器

我们现在熟悉代理服务器，它的作用是保护用户上网安全，但代理服务器并非只适用于客户端。网站和连接互联网的应用程序也可以使用反向代理服务器进行混淆。“反向”指的是代理服务器代表服务器而非客户端运行。

Web 服务器为什么要关心匿名性？通常来说，它们并不关心，至少不像某些用户那样关心。Web 服务器可以从使用代理中获益，原因有很多；例如，它们通常通过缓存或压缩内容来优化传输，从而为用户提供更快的服务。然而，从网络安全的角度来看，反向代理可以通过混淆底层基础设施来改善应用程序的安全态势。

简单来说，通过在直接访问所有文件和资产的 Web 服务器前面放置另一个 Web 服务器（“代理”），我们让攻击者更难找到我们的“真实”Web 服务器并篡改我们的内容。比如，当你想见商店经理时，与你交谈的店员会说“我代表经理发言”，而你也不确定是否有经理，但你成功地将他们卖给你的亮粉色“我的小马驹”换成了紫红色的，非常感谢，所以现在你不再关心经理是谁，也不再关心他们是否真的存在。如果你在街上遇到他们，你也无法阻止他们并指责他们用亮粉色冒充紫红色，而经理对此也完全没有意见。

一些常见的 Web 服务器也可以充当反向代理，通常只需进行少量简单的配置更改即可。虽然我不知道哪种选择最适合您的特定架构，但我将在这里提供几个常见示例。

使用 NGINX 作为反向代理

proxy_passNGINX在其配置文件中使用该指令（nginx.conf默认情况下）将自身转换为反向代理服务器。设置需要在配置文件中添加以下几行：

location /requested/path/ {
proxy_pass http://www.example.com/target/path/;
}

这指定所有针对该路径的请求/requested/path/都转发到http://www.example.com/target/path/。目标可以是域名或 IP 地址，后者可以带或不带端口。

使用 NGINX 作为反向代理的完整指南是 NGINX 文档的一部分。

使用 Apache httpd 作为反向代理

Apache httpd 同样需要一些简单的配置才能充当反向代理服务器。通常在配置文件httpd.conf中设置以下指令：

ProxyPass "/requested/path/" "http://www.example.com/target/path/"
ProxyPassReverse "/requested/path/" "http://www.example.com/target/path/"

该ProxyPass指令确保所有针对该路径的请求/requested/path/都转发到http://www.example.com/target/path/。该ProxyPassReverse指令确保修改 Web 服务器发送的标头，使其指向反向代理服务器。

Apache HTTP 服务器的完整反向代理指南可在其文档中找到。

代理服务器大部分瘫痪

我承认我的标题有点滑稽，因为网络安全最佳实践并非某种永恒的无限回归之谜（尽管有时看起来如此）。无论如何，我希望这篇文章能帮助您理解什么是代理服务器，它们如何为客户端和服务器提供在线匿名性，以及它们是网络安全实践不可或缺的基石。

如果您想了解更多有关个人网络安全最佳实践的信息，我强烈建议您浏览EFF提供的文章和资源。对于网站和应用程序安全指南，OWASP 备忘单系列是一个非常棒的资源。