Forward proxy — client nomidan tashqi serverlarga tarmoq so‘rovi yuboradigan vositachi. Client haqiqiy destination bilan bevosita aloqa o‘rniga proxyga ulanadi, proxy esa so‘rovni internet yoki boshqa tarmoqqa uzatadi. U korporativ egress nazorati, caching, anonimlikning cheklangan shakli, content filtering va audit uchun ishlatiladi. Reverse proxy esa aksincha serverlar nomidan client so‘rovini qabul qiladi.
HTTP proxy oqimi
Oddiy HTTP so‘rovda client proxyga absolute URI bilan murojaat qilishi mumkin:
GET http://example.uz/page HTTP/1.1
Host: example.uz
Proxy destinationga yangi ulanish ochadi, policy’ni tekshiradi va javobni qaytaradi. Hop-by-hop headerlar har hopda qayta ishlanadi. Via header proxy zanjirini ko‘rsatishi mumkin. Client IPni Forwarded yoki X-Forwarded-For bilan uzatish privacy va trust siyosatiga bog‘liq; tashqi client yuborgan eski qiymatga ishonilmaydi.
HTTPS va CONNECT
HTTPS destination uchun client odatda CONNECT host:443 yuboradi. Proxy ruxsat bersa, TCP tunnel ochadi. Keyin TLS handshake client bilan haqiqiy server orasida tunnel ichida o‘tadi va proxy ciphertextni ko‘radi, plaintextni emas. Proxy destination host va trafik hajmi kabi metadata’ni baribir bilishi mumkin.
TLS inspectionda proxy tunnel o‘rniga ikki alohida TLS ulanish tugatadi. U destination uchun dinamik sertifikat yaratadi va client faqat korporativ root CAga ishonsa qabul qiladi. Proxy plaintextni ko‘ra oladi, shu sababli juda yuqori trust va maxfiylik chegarasiga aylanadi. Certificate pinning, mTLS va ayrim ilovalar inspection bilan ishlamasligi mumkin.
Explicit va transparent proxy
Explicit proxy client konfiguratsiyasi, PAC fayli yoki WPAD orqali tanlanadi. Client proxy borligini biladi va HTTP protokolini mos shaklda yuboradi. Transparent proxy trafikni routing yoki interception bilan client konfiguratsiyasiz ushlaydi. HTTPS interception uchun baribir client trust store’iga CA kerak; aks holda sertifikat xatosi yuz beradi.
PAC JavaScriptga o‘xshash FindProxyForURL funksiyasi orqali URL va hostga qarab PROXY, DIRECT yoki fallback tanlaydi. PAC faylning o‘zi ishonchli kanal orqali tarqatiladi. WPAD noto‘g‘ri tarmoqda zararli proxy discovery xavfini keltirishi mumkin.
Access policy
Proxy destination domain, IP, port, user, vaqt va content category bo‘yicha ruxsat beradi. Faqat hostname allowlist yetarli bo‘lmasligi mumkin: DNS rebinding yoki redirect ruxsat etilgan nomdan private IPga olib boradi. Proxy DNS resolutionni o‘zi bajarib, loopback, link-local va internal range’larga egressni cheklaydi.
CONNECTni istalgan portga ruxsat berish proxy orqali SSH, spam yoki ichki tunnel yaratishga imkon beradi. Authentication va per-user audit abuse’ni kuzatadi. Open proxy internet uchun nazoratsiz relayga aylanib, tashkilot IP reputatsiyasi va huquqiy javobgarligiga zarar keltiradi.
Caching va maxfiylik
Forward proxy public cacheable javoblarni ko‘p clientga qayta ishlatishi mumkin. Cache-Control: private, no-store, Vary va authentication headerlari cache keyga ta’sir qiladi. Noto‘g‘ri cache shaxsiy javobni boshqa foydalanuvchiga berishi mumkin. HTTPS tunnelda proxy plaintextni ko‘rmasa HTTP cache qila olmaydi.
Loglarda URL query ichidagi token, shaxsiy ma’lumot yoki search so‘zi chiqishi mumkin. Retention va redaction policy belgilanadi. TLS inspection secure cookie va passwordni ham proxy xotirasida ko‘rsatadi; operator access, malware scanning va audit himoyasi endpoint darajasida bo‘ladi.
Bog‘liq tushunchalar
Proxy server, Reverse proxy, HTTP CONNECT, TLS inspection, PAC file, Egress filtering, Cache