Um servidor proxy (em português, 'procurador' ou 'representante') é um sistema de computador ou uma aplicação que se interpõe entre o cliente (usuário) e o servidor de destino (Internet ou outro serviço). Ele foi originalmente inventado para adicionar estrutura e encapsulamento aos sistemas distribuídos.
A necessidade de um proxy surgiu com a necessidade de conectar uma rede local (LAN) à Internet através de um computador que compartilha sua conexão. Dessa forma, ele se torna um ponto único de saída para os usuários em segmentos de rede corporativa, o que é vital para o controle e a autorização de ações.
As principais vantagens de se usar um proxy incluem:
Restringir o acesso a páginas e filtrar conteúdo.
Controlar o acesso de usuários (por tempo ou autenticação).
Realizar cache de arquivos.
Atuar como um centralizador de tráfego.
Proporcionar anonimato ao substituir o endereço do remetente dentro do pacote.
O funcionamento de um servidor proxy se baseia em atuar como um nó intermediário que processa e repassa o tráfego que passa por ele.
O Fluxo Básico de Comunicação:
Toda comunicação na Internet ocorre por meio de pacotes de dados, onde um cliente envia uma solicitação para um servidor e o servidor envia a resposta.
Em uma conexão direta, o cliente e o servidor conhecem os endereços IP um do outro.
Com a introdução do proxy, a solicitação do cliente é primeiramente enviada ao servidor proxy.
O servidor proxy intercepta o tráfego de rede.
O proxy, então, atua em nome do cliente:
Ele substitui o endereço IP do cliente pelo seu próprio endereço IP.
Ele encaminha a solicitação ao servidor de aplicativos (servidor web).
O servidor de aplicativos processa e envia a resposta de volta ao proxy.
O proxy encaminha a resposta de volta ao cliente.
Em essência, o servidor proxy gerencia a conexão e pode realizar diversas tarefas de processamento, como armazenamento em cache, SSL Bumping (abordaremos esta exceção adiante), autenticação do usuário e filtragem de pacotes de rede.
A posição do proxy na arquitetura da rede define seu propósito, sendo esta uma distinção crucial em exames e arquitetura de sistemas.
Função: Proteger os clientes dentro de uma determinada rede interna.
Mecanismo: O cliente envia a requisição ao proxy, que age como o intermediário para a internet externa.
Uso: É útil quando os dispositivos internos da empresa são os clientes, protegendo e tornando anônimos os dados da rede privada de terceiros. Ele filtra pacotes vindos de redes externas.
Função: Proteger os servidores que hospedam os aplicativos (backends) dos usuários finais.
Mecanismo: Servidor intermediário que monitora e intercepta todo o tráfego de entrada da Internet antes que chegue aos seus aplicativos. O redirecionamento do tráfego (do ponto de entrada para o servidor de destino) pode ser realizado pelo DNAT (Destination Network Address Translation).
Uso: Adiciona uma camada de segurança e anonimato aos servidores de aplicativos/bancos de dados. Pode ser configurado para bloquear fontes de tráfego específicas e só encaminha solicitações que estejam em conformidade com as políticas de segurança.
O uso de um servidor proxy oferece vantagens significativas em termos de segurança, desempenho e controle, sendo um tópico de alta relevância para a área corporativa e, consequentemente, para concursos.
O Proxy de Cache (ou caching proxy) armazena cópias locais de recursos requisitados com frequência (como páginas da web e arquivos), acelerando o acesso para qualquer cliente da rede local.
Vantagens: Diminuição da latência, já que o proxy é requisitado e não o servidor original. Redução significativa do uso da largura de banda, o que resulta em economia, especialmente em grandes organizações ou PSIs (Provedores de Serviço de Internet).
Mecanismo de Atualização (Didática e Detalhada):
O cliente requisita um arquivo (ex: debian_buster.iso).
O Proxy verifica que o arquivo não está no cache. Ele o baixa do servidor externo, armazena uma cópia localmente e entrega ao cliente.
Junto com o arquivo, o Proxy armazena informações críticas, como a data da última modificação do arquivo (Last-Modified).
Em uma requisição subsequente, o Proxy verifica o cache e, antes de baixar novamente, envia uma requisição ao servidor de destino com o cabeçalho If-modified-since (contendo a data que ele armazenou).
Se o arquivo não tiver mudado, o servidor externo retorna o código 304 NOT MODIFIED, e o Proxy entrega a cópia armazenada localmente.
Se houver uma nova versão, a data muda, e o servidor retorna o novo arquivo para ser armazenado e entregue.
O proxy permite o controle administrativo sobre o conteúdo que pode trafegar.
Controle de Acesso: Em empresas, permite restringir o acesso a sites, redes sociais ou conteúdo inadequado, ajudando a manter a produtividade e a segurança.
Registro (Logs): Produz registros detalhados das URLs acessadas por usuários específicos, útil para auditoria ou monitorar estatísticas de uso da largura de banda.
Um proxy reverso pode ser configurado para atuar como um balanceador de carga (Load Balancer).
Balanceador de Carga (LB): Distribui o tráfego de entrada para M instâncias do mesmo backend (serviço) para evitar sobrecarga em um único servidor.
Distinção (Concurso Público): Embora suas funcionalidades se sobreponham (o Nginx pode atuar como Reverse Proxy e Load Balancer), a função principal do LB é a escalabilidade, enquanto o proxy reverso foca na intermediação e segurança antes de passar a requisição.
Os proxies são categorizados em três níveis, baseados na quantidade de informação que eles escondem do servidor de destino (site visitado). A diferença é determinada pela informação contida nos cabeçalhos X-Forwarded-For e Via.
Nível de Anonimato | Nome do Proxy | Comportamento Principal | Cabeçalhos Enviados |
Nível 3 (Mais Baixo) | Transparente (ou Interceptação) | Não esconde o endereço IP real do usuário. A principal vantagem é o cache e a aceleração. | Envia |
Nível 2 | Anônimo | Não revela o IP real, mas revela que o cliente está usando um servidor proxy. | Não envia o IP real em |
Nível 1 (Mais Alto) | Elite | Oculta o IP real e o fato de que um proxy está sendo usado, agindo como um usuário normal da Internet. | Os cabeçalhos |
A escolha do protocolo de proxy é fundamental dependendo da aplicação, sendo o SOCKS5 superior em versatilidade e anonimato que o HTTP tradicional.
O Proxy HTTP usa o Protocolo de Transferência de Hipertexto.
Compatibilidade: Principalmente para navegadores e software que opera sobre TCP.
Funcionalidades: É altamente eficaz para tarefas relacionadas à Internet, oferecendo filtragem de conteúdo e cache de dados.
Anonimato e Segurança: Proxies HTTP transparentes e anônimos modificam os cabeçalhos HTTP, tornando mais fácil para o servidor de destino determinar que você está usando um proxy. Não suporta criptografia nativa, mas pode usar TLS/SSL por meio do método HTTP CONNECT, criando proxies HTTPS.
Velocidade: Adequado para operações de alta solicitação por segundo (ex: web scraping) e carregamento rápido de páginas, mas ineficiente para streaming de vídeo/áudio.
SOCKS é um protocolo de rede da camada de sessão que permite a transmissão de pacotes de dados sem modificação.
Versatilidade: É mais versátil que o HTTP, pois pode ser usado como camada de transporte para diversos protocolos de nível superior, como HTTP, FTP, SMTP, IMAP.
Compatibilidade: SOCKS5 (a versão mais recente) suporta tanto TCP quanto UDP.
Nota sobre UDP (Detalhe Importante): O suporte a UDP no SOCKS5 é crucial para transmissões de streaming (vídeo/áudio) e jogos online, pois o UDP (Protocolo de Datagrama do Usuário) é mais rápido por não garantir a integridade nem a ordem dos pacotes (diferente do TCP).
Anonimato e Segurança: Proxies SOCKS são inerentemente anônimos porque não modificam os pacotes de dados que passam por eles, dificultando a identificação do uso de proxy ou do IP real.
Uso: Ideal para contornar restrições regionais baseadas em IP, compartilhamento P2P e tarefas que exigem alta largura de banda.
Em arquiteturas complexas, as funções de Proxy Reverso, Balanceador de Carga e Gateway de API muitas vezes se sobrepõem, mas suas abstrações e propósitos essenciais são distintos.
Abstração | Definição Primária | Modelo Simplificado (Teoria) | Funções Adicionais (Extensibilidade) |
Proxy Reverso | Esconder o servidor de backend da rede pública. Intermedia a solicitação antes de passá-la ao backend. | 1 entrada, 1 backend. | Pode atuar como Load Balancer. |
Balanceador de Carga (LB) | Distribuir o tráfego de entrada para múltiplas instâncias (M cópias) do mesmo serviço para escalabilidade. | 1 entrada, M cópias do mesmo backend. | Alguns LBs em serviços de nuvem podem ter funcionalidades de API Gateway. |
Gateway de API (GW) | Ponto de entrada único para "agrupar" vários serviços diferentes (N backends) em uma única API pública. | 1 entrada, N backends diferentes. | Insere tarefas fora da lógica de negócios, como segurança, registro, autenticação (inspecionar tokens), limites de chamadas de API, manipulação de solicitações (ex: Lambda), e gerenciamento de cotas. |
Observação: O mesmo instrumento (ex: Nginx) pode desempenhar as funções de proxy reverso, balanceador de carga e gateway de API simultaneamente, dependendo de como é configurado.
Tanto o proxy quanto a VPN são tecnologias intermediárias que aumentam a privacidade e segurança, anonimizando o endereço IP interno da organização. No entanto, a VPN possui aplicações e recursos mais amplos devido ao uso de criptografia.
Característica | Proxy | VPN |
Criptografia | Não criptografa a comunicação por padrão (embora HTTPS/TLS seja possível). | Sempre criptografa a comunicação, usando protocolos como IPsec, criando túneis criptografados. |
Papel na Comunicação | Anonimiza a comunicação entre cliente e servidor. | Anonimiza e criptografa a comunicação. |
Controle de Tráfego de Entrada | Proxy Reverso filtra e distribui tráfego; não controla o tráfego que chega ao proxy. | Conexões VPN só permitem que o tráfego autorizado entre na rede (maior controle sobre quem acessa). |
Balanceamento de Carga | Proxy Reverso pode atuar como balanceador de carga. | VPNs não oferecem funcionalidade de balanceamento de carga. |
A implementação de proxies exige um alto nível de segurança. Hardening é o processo de proteger a rede removendo todos os acessos desnecessários (inbound e outbound) para diminuir as possibilidades de ataque.
Para proteger a rede e evitar que usuários mal-intencionados explorem vulnerabilidades:
Regra de Ouro (Outbound): Comece bloqueando tudo e vá liberando especificamente apenas o que é necessário. Uma porta aberta sem controle pode permitir que programas furem o controle de acesso (ex: Ultrasurf ou Tor).
Criptografia Obrigatória (Inbound): Nunca disponibilize um serviço que use autenticação sem que seja criptografado (SSL/TLS). SMTP, POP, IMAP e HTTP com autenticação devem usar SSL sempre que possível.
Restrição de Origem: Sempre que possível, restrinja o acesso a um determinado serviço apenas a endereços IP fixos conhecidos (parceiros, etc.).
Uso de VPN: Utilize conexões VPN para dar acesso mais geral à rede (servidores de disco, impressoras), em vez de criar múltiplos acessos de entrada no firewall.
Em ambientes corporativos, muitas vezes é necessário inspecionar o tráfego HTTPS dos funcionários para fins de segurança e monitoramento, mesmo que este tráfego seja criptografado. Isso é feito através do SSL Bumping.
O SSL Bumping permite que o proxy (como o Squid) descriptografe o tráfego entre o cliente e o servidor.
Processo de SSL Bumping:
O cliente conecta-se a um site HTTPS via Squid.
O Squid intercepta e estabelece uma conexão criptografada com o cliente.
O Squid estabelece uma conexão criptografada separada com o servidor de destino.
O Squid descriptografa o tráfego (Man-in-the-Middle) e pode filtrá-lo ou registrá-lo.
O Squid retransmite os dados ao cliente, mas assinados com seu próprio certificado (que deve ser adicionado como confiável em todos os dispositivos da rede).
A Exceção de Segurança (MitM Attacks):
Alguns sites modernos são protegidos contra ataques Man-in-the-Middle (MitM) com uma verificação adicional no nível do certificado HTTP na memória. Se o certificado apresentado pelo proxy (o certificado substituído) não corresponder ao original, a conexão pode ser bloqueada, causando problemas para os clientes na rede. Nesses casos, é necessário escrever uma exceção na configuração do proxy para permitir o acesso a esses sites específicos sem inspeção SSL.
Squid é uma das aplicações open-source mais populares e amplamente utilizadas como proxy. Ele é um serviço de infraestrutura que permite implementar autorização, filtragem de conteúdo e atuar como gateway.
O arquivo de configuração clássico do Squid está localizado em /etc/squid/squid.conf.
Um exemplo de configuração básica, definindo a rede local (acl mynet), permitindo acesso (http_access allow) e definindo a porta (http_port):
acl mynet src 192.168.1.0/24
http_access allow mynet
http_access deny all
http_port 3128
cache_mem 256 MB
acl src: Lista nomeada que especifica o segmento de rede.
http_access allow: Permissão para a rede local se conectar ao proxy (a conexão é proibida por padrão).
http_port: Porta na qual o proxy estará escutando (padrão 3128).
cache_mem: Aloca memória para o cache de requisições.
Se um proxy for exposto externamente, a autenticação é crucial para evitar que ele seja usado para mascarar ataques DDoS ou outras atividades maliciosas. A autenticação HTTP clássica pode ser usada (requer a criação prévia de um usuário com htpasswd).
A configuração no squid.conf para aplicar autenticação, exigindo que o usuário se valide antes de conectar (acl authenticated proxy_auth REQUIRED):
# Bloco de rede e porta inalterado
acl mynet src 192.168.1.0/24
http_access allow mynet
http_port 3128
cache_mem 256 MB
# Parâmetros de Autenticação
auth_param basic programme /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic realm 'Proxy Authentication Required'
# Política de Acesso com Autenticação
acl authenticated proxy_auth REQUIRED
http_access allow authenticated
A diretiva auth_param define o parâmetro de autenticação e a biblioteca de verificação de usuário. acl proxy_auth REQUIRED exige validação antes da conexão, e http_access allow authenticated aplica essa regra.
O servidor proxy evoluiu de um simples compartilhador de conexão para uma peça modular essencial nas arquiteturas de rede e segurança corporativa. Seja para acelerar a navegação via cache, para anonimizar o tráfego (especialmente com proxies SOCKS5 ou Elite) ou para garantir a segurança corporativa (Hardening e SSL Bumping), os proxies permanecem no centro da gestão de tráfego.
Com o crescimento da demanda por privacidade e a evolução das ameaças cibernéticas, a integração dos proxies com tecnologias emergentes, como inteligência artificial, promete novas funcionalidades para filtragem e controle de tráfego, garantindo sua utilidade contínua no ambiente da Internet moderna.