Ein Proxy-Server, oder auch kurz als Proxy bezeichnet, wird dazu verwendet,
Benutzern innerhalb einer Firewall den Zugriff auf das WWW zu
ermöglichen [LA94]. Ein Proxy-Server ist ein spezieller HTTP-Server, der entweder
auf der Firewall-Maschine oder auf einem anderen Internet-brechtigten
Rechner innerhalb der Firewall läuft. Möchte ein Client innerhalb der Firewall
ein Dokument vom einem WWW-Server im Internet abrufen, wendet er sich
dazu an den Proxy-Server. Dieser nimmt die Anfrage entgegen, leitet sie an
den Server außerhalb der Firewall weiter, liest die
Antwort des entfernten Servers und schickt diese dann an den anfragenden
Client zurück (Abbildung ![[*]](http://wwwbode.informatik.tu-muenchen.de/icons/latex2html-97.1/gif/cross_ref_motif.gif){kind=icon}
).
Der Proxy-Server agiert bei dieser Art der Kommunikation sowohl als Client
als auch als Server. Gegenüber dem anfragenden WWW-Client verhält er
sich als WWW-Server, gengenüber dem entfernten Server als Client.
Der Header der Client-Anfrage wird vom Proxy unverändert für seine
Anfrage an den entfernten Server verwendet, wodurch der WWW-Client
keinen Verlust an Funktionalität erleidet, wenn er einen Proxy-Server
verwendet. Da das WWW weitere Internet-Dienste unterstützt ist der Proxy-Server
in der Lage, als Gateway zu anderen Information-Servern wie FTP-,
Gopher-,WAIS oder News-Servern zu agieren. Abbildung
zeigt, daß die Kommunikation zwischen Client und Proxy stets über das
HTTP-Protokoll abgewickelt wird. Der Proxy kommuniziert mit dem entfernten
Server über das jeweilige Protokoll, in diesem Fall über das FTP-Protokoll.
Zudem muß der Proxy-Server die Objekte, die er von den entfernten Server
erhält, in HTTP-Objekte umwandeln, bevor er sie an den WWW-Client
zurückschickt.
Durch die Verwendung eines Proxy-Servers lassen sich die Zugriffe auf Internet-Ressourcen kontrollieren und einschränken. Die Zugriffskontrolle kann auf der Zugriffmethode, der IP-Adresse oder auf Domain-Namen basieren. Das bedeutet beispielsweise, daß der Proxy-Server nur einigen speziellen Rechnern im lokalen Netz den Zugang zum Internet erlaubt, um zu verhindern, daß durch mißbräuchliche oder unbeabsichtigte Nutzung des Internets unnötige Kosten enstehen. Daneben läßt sich mit Hilfe eines Proxy-Servers am Internet-Übergang das WWW-Zugriffsverhaltens der lokalen Benutzer analysieren. Der Proxy zeichnet dazu Client-Transaktionen auf. Ein Eintrag in einer Log-Datei enthält beispielsweise die IP-Adresse des anfragenden Clients, Datum und Uhrzeit, die URL des angeforderten Objekts, die Größe der übertragenden Daten in Bytes sowie den Statuscode der HTTP-Transaktion.
Neben diesen Vorteilen enthält der Einsatz eines Proxy-Servers auf der Firewall-Maschine auch einen entscheidenden Nachteil. Da die Firewall den einzigen Angriffspunkt des lokalen Netzes gegenüber dem Internet darstellt, sollten aus Gründen der Sicherheit so wenig wie möglich Applikationen auf der Firewall laufen, um die eventuell vorhandenen Sicherheitslücken auf ein Minimum zu reduzieren. Denn je umfangreicher eine Software ist, desto wahrscheinlicher ist es, daß sie Fehler und somit Sicherheitslücken enthält. Wird beispielsweise der CERN Server als Proxy-Server auf der Firewall-Maschine eingesetzt, stellt er Angreifern von außen ein potentielles Angriffsziel dar.