HTTP-туннелирование используется для создания сетевого соединения между двумя компьютерами в условиях ограниченного сетевого подключения, включая брандмауэры , NAT и ACL , а также другие ограничения. Туннель создается посредником, называемым прокси-сервером , который обычно находится в демилитаризованной зоне .
Туннелирование также может обеспечить связь с использованием протокола , который обычно не поддерживается в сети с ограниченным доступом.
Наиболее распространенной формой туннелирования HTTP является стандартизированный метод HTTP CONNECT . [1] [2] В этом механизме клиент запрашивает прокси-сервер HTTP перенаправить TCP- соединение в желаемый пункт назначения. Затем сервер приступает к установлению соединения от имени клиента. После того как соединение установлено сервером, прокси-сервер продолжает пересылать TCP-поток к клиенту и от него. Только первоначальный запрос на соединение является HTTP — после этого сервер просто проксирует установленное TCP-соединение.
Этот механизм позволяет клиенту за HTTP-прокси получать доступ к веб-сайтам с использованием SSL или TLS (т. е. HTTPS). Прокси-серверы также могут ограничивать подключения, разрешая подключения только к порту HTTPS по умолчанию 443, внося хосты в белый список или блокируя трафик, который не похож на SSL.
Клиент подключается к прокси-серверу и запрашивает туннелирование, указав порт и хост-компьютер, к которому он хочет подключиться. Порт используется для указания запрашиваемого протокола. [3]
CONNECTstreamline.t-mobile.com:22 HTTP / 1.1 Прокси-авторизация : базовые закодированные учетные данные
Если соединение было разрешено и прокси-сервер подключился к указанному хосту, прокси-сервер вернет ответ об успехе 2XX. [3]
HTTP / 1.1 200 ОК
Теперь клиент пересылается на удаленный хост. Любые данные, отправленные на прокси-сервер, теперь пересылаются в неизмененном виде на удаленный хост [3] , и клиент может общаться, используя любой протокол, принятый удаленным хостом. В приведенном ниже примере клиент запускает соединение SSH, на что указывает номер порта в исходном запросе CONNECT.
SSH-2.0-OpenSSH_4.3\r\n...
HTTP-туннель также можно реализовать, используя только обычные методы HTTP, такие как POST, GET, PUT и DELETE. Это похоже на подход, используемый в двунаправленных потоках через синхронный HTTP ( BOSH ).
Специальный HTTP-сервер работает вне защищенной сети, а клиентская программа запускается на компьютере внутри защищенной сети. Всякий раз, когда от клиента передается какой-либо сетевой трафик, клиент переупаковывает данные трафика в виде HTTP-запроса и передает данные внешнему серверу, который извлекает и выполняет исходный сетевой запрос для клиента. Ответ на запрос, отправленный на сервер, затем переупаковывается как ответ HTTP и передается обратно клиенту. Поскольку весь трафик инкапсулируется внутри обычных запросов и ответов GET и POST, этот подход работает через большинство прокси-серверов и межсетевых экранов. [а]
{{cite journal}}
: Требуется цитировать журнал |journal=
( помощь )