Cả máy chủ proxy và mạng riêng ảo (VPN) đều là công nghệ trung gian giữa mạng công ty nội bộ của một tổ chức và Internet công cộng. Tổ chức của bạn có thể định tuyến tất cả lưu lượng mạng đến và đi qua một máy chủ proxy, VPN hoặc cả hai. Máy chủ proxy cung cấp khả năng ẩn danh nguồn lưu lượng truy cập. Máy chủ proxy cũng có thể hỗ trợ phân phối lưu lượng truy cập, hoặc có khả năng quét và kiểm tra các gói dữ liệu mạng theo chính sách bảo mật đã xác định trước. Ngược lại, VPN sử dụng mã hóa để che đi địa chỉ IP và dữ liệu, khiến người dùng trái phép không thể đọc được. Cả hai công nghệ đều đáp ứng các trường hợp sử dụng khác nhau được xác định bởi vị trí của chúng trong kiến trúc mạng của một tổ chức.
Tất cả các giao tiếp qua Internet đều diễn ra thông qua các gói dữ liệu. Các ứng dụng và thiết bị người dùng trao đổi dữ liệu dưới dạng yêu cầu và phản hồi. Máy khách gửi một yêu cầu đến bất kỳ ứng dụng hoặc máy chủ web nào bằng cách sử dụng địa chỉ IP của máy chủ, rồi máy chủ gửi lại phản hồi đến địa chỉ IP của máy khách.
Trong kết nối mạng trực tiếp, cả máy khách và máy chủ đều biết địa chỉ IP của nhau. Tuy nhiên, máy chủ proxy đưa vào thêm một lớp khác giữa máy khách và máy chủ. Bạn có thể sử dụng máy chủ proxy trước máy khách (proxy chuyển tiếp) hoặc máy chủ ứng dụng của bạn (proxy ngược). Các phương pháp này hoạt động như sau.
Máy chủ proxy chuyển tiếp
Đây là cách máy khách và máy chủ tương tác khi bạn sử dụng máy chủ proxy chuyển tiếp:
Khi máy khách gửi một yêu cầu web, đầu tiên yêu cầu sẽ đi đến máy chủ proxy của máy khách
Máy chủ proxy thay thế địa chỉ IP của máy khách bằng địa chỉ IP riêng của mình
Máy chủ proxy chuyển tiếp yêu cầu web đến máy chủ ứng dụng
Máy chủ ứng dụng xử lý yêu cầu và gửi dữ liệu phản hồi trở lại máy chủ proxy
Máy chủ proxy chuyển tiếp phản hồi trở lại cho máy khách
Khi bạn sử dụng máy chủ proxy chuyển tiếp, máy chủ không biết được máy khách thực tế và nghĩ rằng proxy là máy khách.
Máy chủ proxy chuyển tiếp rất hữu ích trong trường hợp sử dụng mà trong đó các thiết bị nội bộ của công ty là máy khách. Ví dụ: khi nhân viên của bạn lướt Internet, yêu cầu của họ có thể đi qua proxy đến các ứng dụng của bên thứ ba khác. Proxy chuyển tiếp bảo vệ và ẩn danh dữ liệu mạng riêng tư khỏi người ngoài.
Máy chủ proxy ngược
Proxy ngược là một máy chủ trung gian giữa các máy chủ lưu trữ các ứng dụng và người dùng cuối của bạn. Proxy ngược giám sát và chặn tất cả lưu lượng truy cập Internet đến trước khi tới ứng dụng của bạn. Proxy này quét lưu lượng khách truy cập của bạn để dò tìm các hoạt động trái phép.
Quản trị viên web có thể định cấu hình proxy ngược để chặn các nguồn lưu lượng truy cập cụ thể. Proxy ngược chỉ chuyển tiếp các yêu cầu tuân thủ các chính sách bảo mật của mình đến máy chủ ứng dụng của bạn.
Máy chủ proxy ngược thêm vào một lớp bảo mật bổ sung, ẩn danh và quản lý phân phối lưu lượng truy cập vào ứng dụng hoặc máy chủ cơ sở dữ liệu của bạn.
VPN hoạt động như thế nào?
Mạng riêng ảo (VPN) kết hợp mã hóa với một máy chủ proxy để tạo ra một kênh giao tiếp bảo mật hơn. Công nghệ cơ sở mã hóa và định tuyến lưu lượng truy cập máy khách đến một máy chủ VPN để ẩn danh thêm địa chỉ IP và định tuyến lưu lượng đến các trang web của bên thứ ba. Trong những trường hợp sử dụng này, bạn có thể tưởng tượng máy chủ VPN giống như các máy chủ proxy chuyển tiếp mà cũng mã hóa dữ liệu.
Tuy nhiên, công nghệ VPN có nhiều ứng dụng tiên tiến hơn tùy thuộc vào cách thiết lập mã hóa. Các tổ chức có thể sử dụng VPN dựa trên máy khách hoặc VPN site-to-site.
VPN dựa trên máy khách
Để sử dụng VPN dựa trên máy khách, bạn cần cài đặt ứng dụng khách VPN trên thiết bị từ xa. Người dùng thiết bị sau đó sử dụng ứng dụng máy khách VPN để kết nối với mạng của tổ chức bạn.
Máy khách VPN tạo ra một kết nối an toàn giữa người dùng từ xa và mạng bằng cách sử dụng IPsec. IPsec là một tập hợp các quy tắc giao tiếp hoặc giao thức bổ sung thêm mã hóa và hoạt động xác thực vào giao thức TCP/IP tiêu chuẩn để tăng cường mức độ an toàn.
VPN dựa trên máy khách bảo vệ dữ liệu mạng bằng cách thiết lập mạch được mã hóa, được gọi là đường hầm IPsec, thực hiện mã hóa tất cả dữ liệu được gửi giữa hai điểm cuối. Trên thực tế, phương pháp này tạo ra một đường hầm giao tiếp riêng giữa người dùng từ xa và mạng của tổ chức bạn.
VPN site-to-site
Site-to-site VPN hoạt động như một mạng riêng nội bộ cho các công ty có nhiều địa điểm tách biệt về mặt địa lý. Giải pháp này kết nối liền mạch và bảo mật các mạng nội bộ khác nhau qua IPsec, cho phép nhân viên trong tổ chức của bạn chia sẻ tài nguyên giữa các mạng nội bộ khác nhau. VPN site-to-site tạo ra một đường hầm giao tiếp riêng giữa các mạng nội bộ.
Điểm tương đồng chính giữa proxy và VPN
Cả máy chủ proxy và mạng riêng ảo (VPN) đều tăng cường tính riêng tư và bảo mật cho các tổ chức. Nhân viên có thể lướt Internet một cách an toàn và ẩn danh bằng máy chủ proxy hoặc VPN. Cả VPN và máy chủ proxy đều ẩn danh địa chỉ IP nội bộ của tổ chức.
Tương tự, các cá nhân có thể sử dụng các dịch vụ VPN hoặc đăng ký với các nhà cung cấp dịch vụ proxy để lướt Internet một cách ẩn danh. Trong trường hợp đó, nhà cung cấp VPN cho phép người dùng cá nhân truy cập Internet qua một đường hầm được mã hóa và dịch vụ proxy định tuyến hoạt động của người dùng Internet thông qua một máy chủ proxy. Có rất nhiều kết nối proxy miễn phí và VPN miễn phí có sẵn trên thị trường cho người dùng cá nhân.
Điểm khác biệt chính giữa proxy và VPN
Đối với các tổ chức, dịch vụ mạng riêng ảo (VPN) có ứng dụng và tính năng rộng hơn so với máy chủ proxy vì VPN có mã hóa. Hầu hết các tổ chức chỉ thích sử dụng VPN thay vì cả VPN và máy chủ proxy.
Tiếp theo, ta sẽ thảo luận về một số điểm khác biệt chính giữa VPN và máy chủ proxy.
Lưu lượng mạng đi
Kết nối proxy chuyển tiếp ẩn địa chỉ IP của nhân viên khỏi máy chủ web mà người dùng truy cập.
Kết nối VPN ẩn địa chỉ IP và vị trí của người dùng để họ không thể bị nhận dạng. Đồng thời, kết nối VPN sử dụng mã hóa toàn diện với IPsec để nhà cung cấp dịch vụ Internet (ISP) hoặc bất kỳ bộ định tuyến bên ngoài nào cũng không thể truy cập dữ liệu người dùng. Nhân viên có thể trao đổi dữ liệu nhạy cảm một cách bảo mật, vì các bên thứ ba chưa được cho phép sẽ không thể đọc thông tin trao đổi được mã hóa.
Lưu lượng mạng đến
Máy chủ proxy ngược có thể sàng lọc và kiểm soát lưu lượng truy cập đến các máy chủ ứng dụng của bạn. Tuy nhiên, chúng vẫn cho phép bất kỳ nguồn bên ngoài nào gửi lưu lượng truy cập đến máy chủ proxy ngược.
Kết nối VPN chỉ cho phép lưu lượng truy cập được cho phép vào mạng. Chỉ những thiết bị có máy khách VPN truy cập từ xa mới có thể truy cập vào mạng công ty. Bằng cách này bạn có thể kiểm soát các kết nối đến tốt hơn.
Cân bằng tải
Máy chủ ứng dụng có thể bị quá tải bởi các yêu cầu web trong giai đoạn cao điểm. Máy chủ proxy ngược có thể hoạt động như một bộ cân bằng tải và phân phối các yêu cầu đến các máy chủ dự phòng.
VPN không cung cấp bất kỳ chức năng cân bằng tải nào.
Tóm tắt các điểm khác biệt giữa proxy và VPN
| Proxy | VPN |
Vai trò trong giao tiếp máy chủ máy khách | Máy chủ proxy ẩn danh cho giao tiếp giữa máy khách và máy chủ. | VPN ẩn danh và mã hóa giao tiếp giữa máy khách và máy chủ. |
Lưu lượng truy cập đến | Máy chủ proxy ngược sàng lọc và phân phối lưu lượng truy cập đến. Bạn không thể kiểm soát lưu lượng truy cập đến máy chủ proxy. | VPN mã hóa lưu lượng truy cập giữa phần mềm máy khách VPN được cài đặt trên các thiết bị từ xa và mạng công ty. Bạn kiểm soát người nào có quyền truy cập mạng. |
Lưu lượng truy cập đi | Máy chủ proxy chuyển tiếp ẩn danh cho lưu lượng truy cập đi. | VPN ẩn danh và mã hóa lưu lượng truy cập đi. |
Trường hợp sử dụng ví dụ | Máy chủ proxy ngược hỗ trợ cân bằng tải và phân phối lưu lượng truy cập. | VPN máy khách cho phép người dùng từ xa kết nối bảo mật với mạng của tổ chức. |