集成点：网关隧道及中继

Posted 2022-11-22 空方块

1.网关

网关是资源和应用程序之间的粘合剂。

网关可以向数据库发送查询语句，或者生成动态内容：进去请求，出来响应。

客户端和服务端网关：

<客户端协议>/<服务端协议>

#服务器端网关：通过HTTP与客户单对话，通过其他协议与服务器通信（HTTP/*）;

#客户端网关：通过其他协议与客户端对话，通过HTTP与服务端通信(*/HTTP)。

2.协议网关

将HTTP流量导向网关时使用的方式与将流量导向代理的方式一致。最常见的方式，是显示地配置浏览器使用网关，对流量进行透明的拦截，或者反向代理。

2.1.HTTP/*：服务端Web网关

网关收到对FTP资源的HTTP请求：

ftp://ftp.irs.gov/pub/00-index.txt

网关会打开一条原始服务器

FTP端口（端口21）

的FTP连接，通过FTP协议获取对象。

#1：发送USER和PASS命令登陆到服务器上去；

#2：发布CWD命令，转移服务器上合适的目录去；

#3：将下载类型设置为ASCII；

#4：用MDTM获取文档的最后修改时间；

#5：PASV告诉服务器将有被动数据获取请求达到；

#6：用RETR请求进行对象获取；

#7：打开FTP服务器的数据连接，服务器端口由控制信道返回，一旦数据通道打开了，就将对象内容回送给网关。

完成以上步骤后，会将对象放在一条HTTP响应中回送到客户端。

2.2.HTTP/HTTPS：服务器端安全网关

组织可以通过网关对所有输入Web请求加密，以提供额外的隐私和安全性保护。

2.3.HTTPS/HTTP客户端安全加速器网关

网关接收安全的HTTPS流量，对安全流量进行解密，并向Web服务器发送普通的HTTP请求。这些网关中通常都包含专用的解密硬件，比原始服务器服务器有效得多的方式解密安全流量，以减轻原始服务器的符合。但是要确保网关和原始服务器之间的网络是安全的。

3.资源网关

最常见的网关，应用程序服务器，会将目标服务器与网关结合在一个服务器中实现。应用程序服务器是服务器端网关，与客户单通过HTTP进行通信，并与服务器端的应用程序相连。

3.1.CGI

CGI应用程序是独立于服务器的，所以几乎可以用任意语言来实现，Perl、Tcl、C和各种Shell语言。

CGI的处理对用户是不可见的。

分离会造成性能的耗费。为每条CGI请求印发一个新进程的开销是很高，会限制那些使用CGI的服务器性能，并会加重服务器机器资源负担。为此，开发了快速CGI，模拟了CGI，作为持久守护进程运行，消除了为每个请求建立或拆除新进程所带来的性能损耗。

3.2.服务器扩展API

大多数流行的服务器都会为开发者提供一个或多个扩展API。这些扩展通常都会绑定在服务器自身的结构的。如微软、网景、Apache和其他服务器都提供了一些API接口，允许开发者通过这些接口改变服务器的行为，或者为不同的资源提供一些定制的接口。

4.隧道

Web隧道允许用户通过HTTP连接发送非HTTP流量，这样可以在HTTP上捎带其他协议的数据了。

4.1.用CONNECT建立HTTP隧道

Web隧道是用HTTP的CONNECT方法建立起来。CONNECT方法请求隧道网关创建一条到达任意目的服务器和端口的TCP连接，并对客户端和服务器之间的后继数据进行盲转发。

#1：CONNECT请求

CONNECT home.netscape.com:443 HTTP/1.0
User-agent: Mazilla/4.0

#2：CONNECT响应

HTTP/1.0 299 Connection Established
Proxy-agent: Netscape-Proxy/1.1

与普通的HTTP响应不同，这个响应并不需要包含Content-Type首部，不需要报文承载。

4.2.SSL隧道

最初开发Web虽大是为了通过防火墙传输加密的SSL流量，以提高安全性，单有些协议，比如加密SSL，其信息是加密的，无法通过传统的代理服务器转发。隧道会通过HTTP连接来传输SSL流量，以闯过端口80的HTTP防火墙。

4.3.SSL隧道与HTTP/HTTPS网关的对比

HTTP/HTTPS的缺点：

#1：客户端与网关之间的连接是普通的非安全HTTP；

#2：尽管代理是已认证主体，但客户端无法对远程服务器执行SSL客户端认证；

#3：网关要支持完整的SSL实现。

4.4.隧道认证

4.5.隧道的安全性考虑

隧道网关的协议无法验证目前使用的协议是否就是它原本打算经过隧道传输的协议。为了降低对隧道的滥用，网关只能为特定的知名端口，如HTTPS的443打开隧道。