La ventaja de un proxy no es principalmente que la IP pública no esté visible en la LAN interna, pero sí tiene un mejor control de lo que los clientes pueden hacer y de lo que no. Solo algunos ejemplos para ilustrar la ventaja de los proxies explícitos:
Autenticación y registro centrados en el usuario
Con un proxy explícito, puede imponer la autenticación adecuada en el proxy, lo que significa que usted sabe qué usuario se está conectando. De esta manera, puede hacer cumplir las políticas específicas del usuario, hacer el registro específico del usuario, etc. Sin un proxy explícito, por lo general, asocia la dirección IP del cliente con un usuario específico que solo funciona cuando cada usuario tiene su propia dirección IP interna (es decir, no con servidores de terminal o similares).
Independencia de los puertos de destino
Con un proxy explícito, todas las solicitudes de http://example.com/
, http://example.com:8080
o http://example.com:8000
se enviarán directamente al proxy y el proxy se conectará a los puertos dados (80, 8080, 8000). Sin ese proxy explícito, inspeccionar el tráfico en busca de malware, etc. es mucho más difícil. En efecto, necesitaría tener filtros independientes de puerto como los que ofrecen algunos firewalls de próxima generación. Pero se sabe que estos filtros independientes de puerto tienen problemas, es decir, a menudo se puede engañar al firewall para que asuma el protocolo incorrecto y, por lo tanto, utiliza la inspección incorrecta .
Independencia de la dirección IP de destino
Una forma común de omitir la inspección "transparente" es enviar información contradictoria. Por ejemplo, si un firewall debería bloquear el sitio incorrecto pero debería permitir el sitio bueno, se podría intentar configurar el encabezado del Host en la solicitud HTTP a buen sitio, pero luego conectarse a la dirección IP del sitio incorrecto. Muchos servidores web no comprueban en absoluto el encabezado del host y, por lo tanto, el sitio defectuoso serviría para el contenido, incluso si el encabezado del Host no coincide.
Una inspección transparente típica solo se ve en el encabezado del Host y decide que la solicitud puede pasar porque, según el encabezado del Host, el objetivo es buen sitio. En su lugar, un proxy explícito obtiene la URL completa, aplica la política a la URL y solo si la política permite el acceso continúa con la conexión al host dado, es decir, la dirección IP de destino está determinada por el proxy y no por el navegador.
Mejor separación entre sitios internos y externos
Si un navegador está configurado para realizar todas las solicitudes a través de un proxy, el proxy podría usarse para separar sitios internos y externos. Es decir. puede negar el acceso a sitios internos o, al menos, restringir las solicitudes de origen cruzado de sitios externos a sitios internos y, por lo tanto, proteger contra ataques típicos de la Web 2.0 desde el exterior (CSRF, XSS, DNS) ...