Mikä on välityspalvelin?

Sisällys

Välityspalvelin toimii välittäjänä asiakkaan (esim. tietokoneen) ja kohdepalvelimen välillä, välittäen pyyntöjä ja lähettäen vastauksia takaisin. Sitä voidaan käyttää anonymisointiin, tietoturvan parantamiseen, pääsyn rajoittamiseen tai yhteyksien nopeuttamiseen välimuistin avulla.

Välityspalvelin on verkossa toimiva viestintärajapinta, joka toimii välittäjänä kahden tietokonejärjestelmän välillä. Välityspalvelimen päätehtävänä on vastaanottaa asiakaspyyntöjä palvelimen puolesta ja välittää ne omalla IP-osoitteellaan kohdetietokoneelle. Tällaisessa viestinnässä lähettäjän ja vastaanottajan välillä ei ole suoraa yhteyttä. Toisinaan pyynnön esittävä järjestelmä ja kohdetietokone eivät edes tiedä, että ne ovat tekemisissä välityspalvelimen kanssa.

Miten välityspalvelin toimii?

Välityspalvelin toimii välittäjänä asiakkaan (esim. tietokoneen tai älypuhelimen) ja internetissä sijaitsevan kohdepalvelimen välillä.

Kun käyttäjä tekee pyynnön, kuten avaa verkkosivun, pyyntöä ei lähetetä suoraan kohdepalvelimelle, vaan ensin välityspalvelimelle. Välityspalvelin käsittelee pyynnön, voi muokata tai analysoida sitä ja välittää sen sitten varsinaiselle palvelimelle. Kun vastaus kohdepalvelimelta saapuu, välityspalvelin vastaanottaa sen, voi käsitellä sitä uudelleen ja lähettää sen takaisin käyttäjälle.

A proxy server is an intermediary between client and server that forwards requests and responses.

Jotkut välityspalvelimet tallentavat usein pyydetyn sisällön välimuistiin, jotta se voidaan toimittaa nopeammin myöhemmissä pyynnöissä ja vähentää palvelimen kuormitusta. Asetuksista riippuen välityspalvelin voi myös suodattaa verkkoliikennettä, esimerkiksi estää tai ohjata tiettyjä pyyntöjä. Lisäksi se voi korvata käyttäjän alkuperäisen IP-osoitteen omallaan, jolloin kohdepalvelin näkee vain välityspalvelimen IP-osoitteen.

Mikä erottaa välityspalvelimet ja VPN-verkot toisistaan?

Proxy-palvelin ja VPN (Virtual Private Network) saattavat ensi silmäyksellä vaikuttaa toimivan samalla tavalla, mutta niiden toimintatapa ja suojaustaso eroavat toisistaan. Proxy-palvelin ohjaa vain yksittäisten sovellusten liikennettä tai selaimen pyyntöjä, kun taas VPN salaa laitteen kaiken internetliikenteen. Tämä tarjoaa paremman tietosuojan ja suojaa tietoja salakuunteluyrityksiltä jopa suojaamattomissa verkoissa.

Toinen ero liittyy IP-osoitteen peittämiseen. Kun välityspalvelin muuttaa IP-osoitetta vain tietyissä pyynnöissä, VPN korvaa käyttäjän koko IP-osoitteen. Lisäksi VPN:t ovat usein tehokkaampia turvallisuuden kannalta kriittisissä sovelluksissa, koska ne suojaavat tietoja hakkereilta ja valvontaohjelmilta. Tämä vaikuttaa kuitenkin myös nopeuteen. VPN:t ovat yleensä hitaampia kuin välityspalvelimet, mikä johtuu ylimääräisestä tietojen salauksesta. Välityspalvelimet puolestaan ovat nopeampia ja helpompia ottaa käyttöön.

Välityspalvelimen määrittäminen

Välityspalvelimen määrittäminen riippuu käytetystä käyttöjärjestelmästä tai sovelluksesta.

Windows: Windowsissa välityspalvelin voidaan määrittää verkkoasetusten kautta. Avaa Asetukset, siirry kohtaan Verkko ja internet ja valitse Välityspalvelin-osio. Siellä voit joko syöttää automaattisen määritysohjelman URL-osoitteen tai määrittää välityspalvelimen manuaalisesti IP-osoitteen ja portin avulla.
macOS: macOS-käyttöjärjestelmässä asetukset tehdään Järjestelmäasetukset-valikossa kohdassa Verkko, jossa välityspalvelin aktivoidaan ja määritetään lisäasetuksissa.
Selain: Verkkoselaimissa välityspalvelin voidaan määrittää selaimen asetusten kautta. Tämä on erityisen hyödyllistä verkko-rajoitusten kiertämisessä.
Mobiililaitteet: Mobiililaitteissa välityspalvelin määritetään kyseisen verkon Wi-Fi-asetuksissa.
Yrityskäyttö: Yrityksissä tai suuremmissa verkoissa välityspalvelin voidaan määrittää erilliselle tietokoneelle tai palomuurille, usein käyttämällä erityisohjelmistoja, kuten Squid tai Microsoft Forefront TMG. Jotkut välityspalvelimet vaativat todennusta, jolloin käyttäjätunnus ja salasana on syötettävä. Määrityksen jälkeen yhteys tulisi testata avaamalla verkkosivu tai tarkistamalla IP-osoite, jotta varmistetaan, että välityspalvelin toimii oikein.

Välityspalvelinten edut ja haitat

Välityspalvelimet tarjoavat lukuisia etuja. Erityisen huomionarvoista on anonymisointi, sillä välityspalvelin voi peittää käyttäjien IP-osoitteet ja suojata siten heidän henkilöllisyyttään internetissä. Lisäksi välityspalvelimet mahdollistavat verkkosivujen välimuistiin tallentamisen, mikä vähentää liikennettä ja nopeuttaa sivujen latautumista. Välityspalvelinta voidaan käyttää myös kuormituksen tasapainottamiseen jakamalla saapuvat pyynnöt useiden palvelimien kesken kuormituksen tasapuolisen jakautumisen varmistamiseksi.

Yrityksissä ja oppilaitoksissa välityspalvelimia käytetään usein tiettyjen verkkosivustojen käytön hallintaan ja ei-toivotun sisällön suodattamiseen. Välityspalvelimen avulla voidaan myös kiertää maantieteellisiä rajoituksia muuttamalla käyttäjän sijaintia. Toinen etu on suoja haitallisilta verkkosivustoilta, sillä välityspalvelin voi estää epäilyttävän liikenteen.

On kuitenkin myös joitakin haittoja. Ilmaiset tai suojaamattomat välityspalvelimet voivat aiheuttaa tietoturvariskin, sillä ne voivat siepata tietoja ja jopa kerätä henkilötietoja. Toisin kuin VPN-verkot, monet välityspalvelimet eivät tarjoa päästä päähän -salausta, minkä vuoksi liikenne on alttiina kolmansien osapuolten sieppauksille. Lisäksi välityspalvelimet voivat hidastaa internetyhteyden nopeutta käyttäjämäärien suuruuden tai huonon konfiguraation vuoksi. Jotkut verkkosivustot tunnistavat ja estävät välityspalvelinten IP-osoitteet, joten pääsy tiettyyn sisältöön on edelleen rajoitettua. Lisäksi oman välityspalvelimen määrittäminen voi olla monimutkaista kokemattomille käyttäjille.

Edut	Haitat
✓ Anonymisointi	✗ Turvallisuusriski, kun käytetään suojaamatonta ohjelmistoa
✓ Nopeuden kasvu välimuistin ansiosta	✗ Internet-nopeuden hidastuminen
✓ Verkkosivustojen käyttöoikeuksien hallinta	✗ Estetyt välityspalvelimen IP-osoitteet estävät toisinaan tahattomasti pääsyn
✓ Maantieteellisten rajoitusten kiertäminen	✗ Joskus ei päästä-päähän-salausta
✓ Epäilyttävän sisällön estäminen
✓ Kuormituksen tasapainottaminen

Välityspalvelimen käyttökohteet

Proxypalvelimen käyttöönottoon on useita syitä. Kahden viestintäkumppanin välisenä välittäjänä tämä verkkokomponentti voi hoitaa monia lisätoimintoja.

Kuormituksen tasapainottaminen ja suodatus

Välityspalvelin mahdollistaa tiedonvaihdon kahden järjestelmän välillä silloinkin, kun suora yhteys ei ole mahdollinen yhteensopimattomien IP-osoitteidenvuoksi – esimerkiksi jos toinen komponentti käyttää IPv4-protokollaa ja toinen uutta IPv6-standardia. Välityspalvelimen kautta kulkeva data voidaan myös suodattaa ja tallentaa välimuistiin, jotta tiettyjä verkkosisältöjä voidaan estää asiakkailta tai hylätä epäilyttävät palvelinpyynnöt automaattisesti.

Lisäksi kuormituksen tasapainottamisen yhteydessä välityspalvelin voi jakaa saapuvat pyynnöt eri kohdejärjestelmille, jotta verkoston kokonaiskuormitus pysyy kohtuullisena. Välityspalvelin on myös palomuurin keskeinen osa, joka suojaa tietokonejärjestelmiä julkisen verkon hyökkäyksiltä.

Välityspalvelin välimuistina

Toinen välityspalvelimen vakiotoiminto on välimuisti. Vastatakseen nopeasti paikallisverkosta tuleviin toistuviin pyyntöihin oikein määritetty välityspalvelin tallentaa väliaikaisesti välimuistiinsa kopion tiedoista, jotka se vastaanottaa internetin palvelimilta. Usein pyydettyä verkkosisältöä ei tarvitse ladata uudelleen joka kerta, vaan se voidaan toimittaa suoraan. Tämä säästää aikaa ja kaistanleveyttä.

Kaistanleveyden hallinta ja kuormituksen jakautuminen

Kun välityspalvelinta käytetään kaistanleveyden hallintaan, se jakaa ennalta määritellyt resurssit verkkoasiakkaille kuormituksen perusteella. Näin varmistetaan, etteivät yksittäiset sovellukset tukkisi kaistanleveyttä kokonaan. Keskitettynä rajapintana välityspalvelin mahdollistaa myös resurssienkulutukseltaan suurten asiakaspyyntöjen tai palvelinvastausten jakamisen eri järjestelmien kesken, mikä takaa tasaisen kuormituksen jakautumisen tietokoneverkossa.

Anonymisointi

Koska välityspalvelimet estävät suoran yhteyden lähettäjän ja vastaanottajan välillä, asiakkaan IP-osoite voidaan piilottaa viestintärajapinnan taakse. Tämä mahdollistaa tietynlaisen nimettömyyden, sillä käyttäjät toimivat ulkoisesti välityspalvelimen IP-osoitteella ja sijainnilla. Maissa, joissa internetin sensuuri on tiukkaa tai tekijänoikeudella suojatun sisällön saatavuus on rajoitettua, ulkomaisia välityspalvelimia käytetään toisinaan maantieteellisten estojen kiertämiseen.

Mitä erilaisia välityspalvelintyyppejä on olemassa?

Yleisen välityspalvelimen määritelmän lisäksi eri välityspalvelintyypeistä käytetään useita nimityksiä, joita ei useinkaan eroteta selvästi toisistaan. Nämä nimitykset liittyvät sekä verkkokomponentin tekniseen toteutukseen että sovelluskohtaisiin eroihin.

Eteenpäin välittävä vs. taaksepäin välittävä välityspalvelin

Välityspalvelimia voidaan käyttää kahteen suuntaan. Eteenpäin välittävä välityspalvelin suojaa asiakkaan verkkoa internetin vaikutuksilta. Jos kohdejärjestelmä, kuten verkkopalvelin, on tarkoitus suojata ylävirran välityspalvelimella, sitä kutsutaan käänteiseksi välityspalvelimeksi.

Välityspalvelin (asiakkaan suojaus): Kun välityspalvelin asennetaan yksityisen verkon (LAN) ja internetin väliseksi rajapinnaksi, paikalliset laitteet voidaan suojata tehokkaasti julkisen verkon vaikutuksilta. Välityspalvelin vastaanottaa LAN-verkosta tulevat pyynnöt ja välittää ne internetissä sijaitsevalle kohdekoneelle käyttäen omaa IP-osoitettaan lähettäjän osoitteena . Internetistä tulevat vastauspaketit eivät siten ole osoitettu LAN-verkon asiakkaalle, vaan ne kulkevat myös välityspalvelimen kautta ennen kuin ne välitetään varsinaiseen kohteeseen. Yleensä välityspalvelin toimii valvontayksikkönä. Vastaavia turvajärjestelmiä ei tarvitse asentaa jokaiselle verkon asiakkaalle, vaan ne voidaan toteuttaa hallittavalla määrällä välityspalvelimia.
Käänteinen välityspalvelin (palvelinsuojaus): Verkkopalvelimia voidaan suojata lisäämällä välityspalvelin julkisen verkon pääsyjen eteen. Internetin asiakkaat eivät pääse suoraan kohdekoneelle. Sen sijaan välityspalvelin vastaanottaa pyynnöt, tarkistaa ne määritettyjen turvallisuussääntöjen mukaisesti ja välittää ne taustapalvelimelle, jos ne katsotaan turvallisiksi.

Sovellustaso vs. piiritaso

Jotkut välityspalvelimet on teknisesti suunniteltu analysoimaan niille välitettäviksi toimitettuja datapaketteja. Toisissa välityspalvelintoteutuksissa ei kuitenkaan ole pääsyä pakettitietoihin. Tällaisissa tapauksissa suodatustoiminnot voidaan toteuttaa lähettäjän IP-osoitteen ja kohdeportin perusteella.

Sovellustason välityspalvelin: Sovellustason välityspalvelin sijaitsee OSI-viitemallin sovelluskerroksessa (kerros 7). Tällaisella välityspalvelimella on toimintoja, joiden avulla se voi analysoida datapaketteja ja estää, muokata tai välittää niitä ennalta määritettyjen sääntöjen mukaisesti. Sovellustason välityspalvelinta kutsutaan myös sovellussuodattimeksi.
Piiritasoiset välityspalvelimet: Piiritasoiset välityspalvelimet toimivat OSI-viitemallin siirtokerroksessa (kerros 4) eivätkä siksi pysty analysoimaan datapaketteja. Tämän tyyppisiä välityspalvelimia käytetään yleensä palomuurisuodatinmoduuleina, ja ne mahdollistavat datapakettien suodattamisen porttien ja IP-osoitteiden kautta. Toisin kuin sovellustason välityspalvelimet, piiritasoiset välityspalvelimet eivät voi vaikuttaa itse viestintään. Sen sijaan suodatus perustuu joko-tai-periaatteeseen. Datapaketit joko läpäisevät suodattimen tai ne estetään.

Erityiset vs. yleiskäyttöiset välityspalvelimet

”Erikoistunut” ja ”yleinen” -termeihin perustuva luokittelu viittaa siihen, vastaako välityspalvelin vain yhdestä viestintäprotokollasta (erikoistunut välityspalvelin) vai toimiiko verkkoliitäntä kaikkien viestintäprotokollien yhteyspisteenä (yleinen välityspalvelin).

Omistettu välityspalvelin: Omistettu välityspalvelin on nimensä mukaisesti määritetty tiettyä viestintäprotokollaa varten. Yleensä eri omistettuja välityspalvelimia käytetään rinnakkain eri protokollien, kuten HTTP:n, FTP:n tai SMTP:n, kanssa.
Yleinen välityspalvelin: Toisin kuin omistettu välityspalvelin, yleinen välityspalvelin ei ole erikoistunut, vaan sitä käytetään useille viestintäprotokollille.

Käytännössä sovellustason välityspalvelin toteutetaan yleensä erillisenä välityspalvelimena. Yleiskäyttöisiä välityspalvelimia puolestaan käytetään yhteystason välityspalvelimina. Tästä syystä näitä termejä käytetään toisinaan synonyymeinä.

Mikä on vä­li­tys­pal­ve­lin?

Miten vä­li­tys­pal­ve­lin toimii?

Mikä erottaa vä­li­tys­pal­ve­li­met ja VPN-verkot toi­sis­taan?

Vä­li­tys­pal­ve­li­men mää­rit­tä­mi­nen

Vä­li­tys­pal­ve­lin­ten edut ja haitat

Vä­li­tys­pal­ve­li­men käyt­tö­koh­teet

Kuor­mi­tuk­sen ta­sa­pai­not­ta­mi­nen ja suodatus

Vä­li­tys­pal­ve­lin vä­li­muis­ti­na

Kais­tan­le­vey­den hallinta ja kuor­mi­tuk­sen ja­kau­tu­mi­nen

Ano­ny­mi­soin­ti

Mitä erilaisia vä­li­tys­pal­ve­lin­tyyp­pe­jä on olemassa?

Eteenpäin välittävä vs. taak­se­päin välittävä vä­li­tys­pal­ve­lin

So­vel­lus­ta­so vs. piiritaso

Erityiset vs. yleis­käyt­töi­set vä­li­tys­pal­ve­li­met