Introduction :

Le but d'un serveur proxy est d'isoler une ou plusieurs machines pour les protéger.
Les machines A doivent se connecter au réseau par l’intermédiaire du serveur Proxy. Ce dernier sert de relais entre le réseau et les machines à cacher. Ainsi,  les machines du réseau B auront l'impression de communiquer avec le proxy, et non les machines A.
Pour les applications du réseau B, l'adresse IP du client sera celle du serveur Proxy. Par exemple, lors d’une connexion à un serveur HTTP, le browser se connecte au serveur proxy et demande l’affichage d’une URL. C’est le serveur proxy qui gère la requête et qui renvoie le résultat à votre browser.
Ainsi, en utilisant un numéro de port différent, le proxy oblige toutes les requête à passer par lui en supprimant les trames dont le numéro de port ne lui correspond pas.
De plus, le proxy possède un avantage supplémentaire en termes de performances. Si deux utilisateurs demandent à peu de temps d’intervalle la même page, celle-ci sera mémorisée dans le proxy, et apparaîtra donc beaucoup plus rapidement par la suite.
Ce procédé est très intéressant en termes de sécurité sur Internet, les machines sont protégées. Le serveur proxy peut filtrer les requêtes, en fonctions de certaines règles.

Architectures :
 

Solution Mono Proxy Serveur

Avec un proxy central sur le réseau d'accès à l'Internet

Le Proxy Server se rattache au réseau Intranet principal.
Lorsque un client d'un site distant recherche une information sur un site Web de la DMZ ou de l'Internet, il accède au Proxy central via le réseau WAN privé de l'entreprise.
Si le proxy serveur contacté dispose de l'information en cache disque local, il renvoie directement l'information demandée au client. Si l'information n'est pas en cache, ou n'est pas à jour, alors il émet une requête vers l'Internet.
L'économie de bande passante est réalisée sur la liaison WAN reliant le réseau interne au réseau Internet.
Pour le client du LAN central, la redirection vers le proxy lui permet de bénéficier du cache disque géré au niveau du proxy.
 
 

 Solution Multi Proxy Serveurs

 Un proxy par site déporté, un proxy sur le LAN central

Le Proxy Server déporté se rattache au réseau Intranet distant
Le proxy Server central se connecte au LAN central..
Lorsque un client d'un site distant recherche une information sur un site Web de la DMZ ou de l'Internet, il accède au Proxy de son réseau. LAN.
Si ce proxy serveur (de proximité!) dispose de l'information en cache disque local, il renvoie directement l'information demandée au client. Si l'information n'est pas en cache, ou n'est pas à jour, alors il émet la requête vers le Proxy Central.
Lorsque le proxy  serveur du LAN central reçoit la requête du proxy déporté, il vérifie la présence dans son cache interne de l'information demandée. Si l'information requise est en cache et à jour, il renvoie au proxy déporté qui mettra à jour son propre cache avant de retourner l'information au client.
L'économie de bande passante est réalisée sur la liaison WAN reliant le réseau déporté au réseau central et sur la liaison WAN vers l'Internet.
 

Afin d'établir une tolérance de pannes entre proxies locaux et central, on ajoutera au script d'auto-configuration des navigateurs client (écrit en langage Javascript), une nouvelle fonctionnalité : si le proxy local ne fonctionne plus, le navigateur se connectera automatiquement au proxy central.
 
 

Solution Proxy Serveur avec firewall et Accès distant

Le Proxy Server déporté se rattache au réseau Intranet distant
Le proxy Server central  connecte le LAN central au WAN commuté (généralement réseau RNIS) vers l'opérateur Internet.
Comme dans les cas précédents, lorsque un client d'un site distant recherche une information sur un site Web, il se connecte d'abord à son proxy puis éventuellement son proxy au proxy central.
Si l'information n'est pas à jour dans le cache du proxy central, celui-ci se connecte automatiquement en dial-out vers le réseau opérateur.

Dans les deux cas évoqués ci dessus, le proxy joue essentiellement le rôle de gestionnaire de cache et assure une optimisation naturelle des flux d'information de type http et ftp.
Il ne se substitue pas au firewall qui joue le rôle de filtreur de paquet, de translateur et d'authentification.
Dans ce dernier cas, le proxy est le point de passage obligé; il doit donc  accepter tous les types de flux sortants (via proxy Winsock ou Socks). Dans ce cas, le masquage d'adresse permet aux clients du réseau LAN d'être "vus" de l'extérieur par l'adresse publique dynamique attribué au proxy au moment de sa connexion  PPP vers l'ISP.