TCP/IP. Обычно прокси-серверы запускают несколько программ (прокси), которые могут быть защищенными и доверительными. Это специализированные программы, и каждый поддерживаемый протокол должен обладать собственной службой прокси или обрабатываться общим прокси. Прокси может быть также и прозрачной программой, создаваемой для передачи пакетов в любой данный порт через границы сети.

Прокси (proxy) действует по команде клиента или пользователя для доступа к услугам сети и защищает каждую сторону от прямого равноправного (pear-to-pear) соединения. Клиенты устанавливают соединения, выполняя три стадии организации соединения с прокси-сервером. После этого прокси устанавливает соединение с удаленным сервером.

Прокси-сервер высылает данные, которые поступили к нему от клиента, на искомый сервер, а также пересылает данные, полученные от искомого сервера, клиенту. Строго говоря, прокси-сервер является как сервером, так и клиентом. Он является сервером в отношении своего клиента и клиентом в отношении искомого сервера.
Этапы организации соединения через прокси требуют различные уровни аутентификации или доверия программному обеспечению, которое будет использовано для установки соединений. Далее приводится пример типов соединений, которые устанавливаются с помощью прокси для связи внутренней сети с Интернетом:
1. Пользователь производит запрос служб Интернета, таких как HTTP, FTP, Telnet.
2. Программные средства пользователя направляют запросы службам Интернета в соответствии с политикой безопасности.
3. Прокси обеспечивают соединения, функционируя в качестве шлюзов для удаленных служб.
4. Прокси организовывают связь, необходимую для установки соединения с внешней системой, защищая системы, находящиеся за брандмауэром так, что для внешних систем они оказываются невидимыми.
5. Весь трафик, маршрутизируемый между внутренним пользователем и внешними системами, обрабатывается посредством прокси-шлюзов.

Обычно прокси-сервер работает на двустороннем барьерном хосте или шлюзе и поддерживает один или более Интернет протоколов (см. рис. 12). Барьерными, или бастионными, хостами (bastion hosts) являются укрепленные системы, сконфигурированные для работы с Интернетом. Двусторонний шлюз состоит из хост-системы с двумя сетевыми интерфейсами: один интерфейс для внутренней защищенной сети и один для внешней сети. Эти хосты запрещают прямой трафик между сетями и могут использоваться для функций регистрации и аудита проходящего через них трафика. Хост не выполняет маршрутизацию пакетов между двумя соединенными сетями, поскольку перенаправление IP пакетов невозможно. Двусторонний шлюз полностью блокирует IP-трафик между внешней и внутренней сетью. Прокси-серверы в шлюзе обеспечивают службы и возможность соединения с Интернетом. Во избежание случайной пересылки IP-трафика может оказаться очень полезным явный запрет возможности перенаправления IP-пакетов.

В качестве примера простой конфигурации двустороннего шлюза можно привести использование прокси-служб для электронной почты. Служба брандмауэра принимает всю электронную почту, адресуемую внутренним пользователям, и пересылает ее внутренним системам или централизованному внутреннему почтовому серверу. Для конечного пользователя такой тип соединения является прозрачным. Соединение выглядит так, как будто оно является прямым соединением между внутренней системой пользователя и внешней системой.

Рис. 12. Двусторонний хост (бастионный) с прокси-службами.

Поскольку данные передаются между внутренним клиентом и бастионным хостом, информация о внутреннем IP-адресе клиента, а также некоторая информация о протоколе защищаются от широкого вещания в Интернете. Изучая некоторые особенности пакетов – включая установки по умолчанию для поля Time to Live (TTL – время жизни), размера окна и опций TCP – можно определить операционную систему клиента. Для определения действий, которые можно осуществить в отношении системы клиента, злоумышленник может использовать технологию идентификации операционной системы клиента, известную под названием passive fingerprinting ("пассивное снятие отпечатков (пальцев)").