系统集成论坛

标题: 什么是反向代理服务器？ [打印本页]

作者: 思考的牛 时间: 2011-2-22 13:56
标题: 什么是反向代理服务器？
反向代理（Reverse Proxy）方式是指以代理服务器来接受internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个服务器。

　　　　通常的代理服务器，只用于代理内部网络对Internet的连接请求，客户机必须指定代理服务器,并将本来要直接发送到Web服务器上的http请求发送到代理服务器中。由于外部网络上的主机并不会配置并使用这个代理服务器，普通代理服务器也被设计为在Internet上搜寻多个不确定的服务器,而不是针对Internet上多个客户机的请求访问某一个固定的服务器，因此普通的Web代理服务器不支持外部对内部网络的访问请求。当一个代理服务器能够代理外部网络上的主机，访问内部网络时，这种代理服务的方式称为反向代理服务。此时代理服务器对外就表现为一个Web服务器，外部网络就可以简单把它当作一个标准的Web服务器而不需要特定的配置。不同之处在于，这个服务器没有保存任何网页的真实数据，所有的静态网页或者CGI程序，都保存在内部的Web服务器上。因此对反向代理服务器的攻击并不会使得网页信息遭到破坏，这样就增强了Web服务器的安全性。　　反向代理方式和包过滤方式或普通代理方式并无冲突，因此可以在防火墙设备中同时使用这两种方式，其中反向代理用于外部网络访问内部网络时使用，正向代理或包过滤方式用于拒绝其他外部访问方式并提供内部网络对外部网络的访问能力。因此可以结合这些方式提供最佳的安全访问方式。

代理服务器充当服务器的替身

　　如果您的内容服务器具有必须保持安全的敏感信息，如信用卡号数据库，可在防火墙外部设置一个代理服务器作为内容服务器的替身。当外部客户机尝试访问内容服务器时，会将其送到代理服务器。实际内容位于内容服务器上，在防火墙内部受到安全保护。代理服务器位于防火墙外部，在客户机看来就像是内容服务器。

　　当客户机向站点提出请求时，请求将转到代理服务器。然后，代理服务器通过防火墙中的特定通路，将客户机的请求发送到内容服务器。内容服务器再通过该通道将结果回传给代理服务器。代理服务器将检索到的信息发送给客户机，好像代理服务器就是实际的内容服务器（参见图 14-1）。如果内容服务器返回错误消息，代理服务器会先行截取该消息并更改标头中列出的任何 URL，然后再将消息发送给客户机。如此可防止外部客户机获取内部内容服务器的重定向 URL。

　　这样，代理服务器就在安全数据库和可能的恶意攻击之间提供了又一道屏障。与有权访问整个数据库的情况相对比，就算是侥幸攻击成功，作恶者充其量也仅限于访问单个事务中所涉及的信息。未经授权的用户无法访问到真正的内容服务器，因为防火墙通路只允许代理服务器有权进行访问。

　　图 14-1 反向代理服务器就像是真正的内容服务器

　　可以配置防火墙路由器，使其只允许特定端口上的特定服务器（在本例中为其所分配端口上的代理服务器）有权通过防火墙进行访问，而不允许其他任何机器进出。　　安全反向代理当代理服务器与其他机器之间有一个或多个连接使用安全套接字层 (SSL) 协议加密数据时，即会进行安全反向代理。

　　安全反向代理有许多用途：
　　可以提供从防火墙外部代理服务器到防火墙内部安全内容服务器的加密连接。
　　可以允许客户机安全地连接到代理服务器，从而有利于安全地传输信息（如信用卡号）。
　　安全反向代理会造成各安全连接因加密数据所涉及的系统开销而变慢。但是，由于 SSL 提供了高速缓存机制，所以连接双方可以重复使用先前协商的安全参数，从而大大降低后续连接的系统开销。

　　配置安全反向代理服务器的方法有三种：
　　Secure client to proxy。如果未经授权的用户很少或根本没有机会访问代理服务器与内容服务器之间交换的信息，则此方案很有效（参见图 14-2）。

　　图 14-2 客户机安全连接到代理服务器

　　Secure proxy to content server。如果客户机在防火墙内部而内容服务器在防火墙外部，则此方案很有效。在此方案中，代理服务器可以充当站点之间的安全通道（参见图 14-3）
　　图 14-3 代理服务器安全连接到内容服务器

　　Secure client to proxy and secure proxy to content server。如果需要保护服务器、代理服务器和客户机三者间所交换信息的安全，则此方案很有效。在此方案中，代理服务器既可起到站点间安全通道的作用，又可增加客户机验证的安全性（参见图 14-4）。
　　图 14-4 客户机安全连接到代理服务器并且代理服务器安全连接到内容服务器

　　有关如何设置上述每种配置的信息，参见设置反向代理服务器。

　　除了 SSL 之外，代理服务器还可以使用客户机验证，这种方法要求向代理服务器提出请求的计算机提供证书（或标识表单）以核实其身份。

作者: 思考的牛 时间: 2011-2-22 13:56
反向代理服务器功能剖析

从传统意义上讲，Proxy Server即代理服务器是指位于用户计算机网络与互联网之间的服务器，其功能就是代理网络用户去取得网络信息,可以把它理解为网络信息的中转站。如果 WEB浏览器配置为使用代理服务器的话，所有的请求都只会通过代理转发，代理服务器会按照用户的要求向站点发出访问请求，并针对各种应用依次采用不同的过滤规则。

　　“透明代理服务器”指的是在客户端完全不知晓的情况下，对代理服务器进行配置，使其可以处理用户请求。其缺点是代理服务器不支持SSL，但是用户浏览器不需要对普通HTTP通信（即明文HTTP通信）配置，很多情况下，它与高速缓存代理服务器一起使用，代理服务器从其高速缓存中访问图片和其它文件，而无需每次都占用互联网带宽从web服务器上获取。

　　反向代理服务器（Reverse Proxy Server），通过在繁忙的WEB服务器和Internet之间增加一个高速的WEB缓冲服务器来降低实际的WEB服务器的负载，提高对WEB页面的访问速度。反向代理服务器位于用户WEB服务器和互联网之间。当一个HTTP连接进入时，反向代理服务器会决定所执行的操作，然后向后端的WEB服务器发出请求。反向代理服务器相当重要，它们常常肩负多种任务。

　　反向代理服务器可以是一个SSL终结器。这意味着SSL授权证书及其密钥都被装在代理服务器上，连同这些站点的对应IP地址。SSL因此被终止在代理服务器，而且对后端服务器的请求将会以纯文本的形式传送。这在通常情况下确实不错，但如果你的终端网络是不安全的，网络骗术可通过安全通道获取所需要的服务请求。

　　在这儿我们要探讨一下虚拟主机和SSL。虚拟主机的概念是基于站点名称的，在连接HTTP报头数据方面起作用。当发出了HTTP请求后，支持虚拟主机的WEB服务器会为不同的内容服务，这些内容是基于被请求站点的。本质上讲，这意味着你可以将多个域名指向一个相同的IP地址。如果启用了SSL，必须与特定的IP地址相结合，而且SSL授权证书必须与站点的名称相匹配，此站点正是用户试图访问的站点。SSL对话在HTTP数据发送之前进行，因而服务器只有一个选择，即一个授权证书呈现一个IP地址。如果在一个SSL连接建立之后，却发现请求的URL属于另一个站点，WEB浏览器会通知用户。如果它不如此工作，SSL就毫无意义了。

　　一个代理服务器也可以是一个负载平衡器。负载平衡从其基本意义上讲，其工作方式不外乎两种，实际工作时可以某一种方式运行。第一种工作方式即智能地在IP层循环访问一组服务器，第二种方式通过使用代理服务器来做一些更加智能的工作。一组服务器可以使用DNS轮询为站点服务。多个DNS记录可以配送给一个主机名，因此连接就会从这一组服务器中选择一个。当然，这对于使用SSL站点进行管理真是一种痛苦。路由器也可以以相似的方式实现负载平衡，这就要求保存现有的状态从而使后续的请求可以被传送到适当的服务器。不过，如此运作的大多数设备都只是充当一个代理服务器。使用代理服务器实现负载平衡很有意义，特别是在考虑了它所提供的其它特性以后。

　　反向代理服务器可以充当一种WEB服务器的应用层防火墙。实际上，它包含两个方面：进入的请求受到代理服务器中所配置的规则和策略的制约，而 WEB服务器被封闭起来，与外部世界隔离，从而有效地抵消了跨站点的脚本攻击。

　　反向代理服务器还经常担当内容过滤器的职责，虽然过滤与防火墙息息相关，但反向代理却拥有更佳的性能。大多数代理服务器厂商实施一种阻止某些关键字或内容类型的机制。这可以是防止恶意代码攻击真实服务器的另一个层次。

　　前端代理服务器可以执行的大量任务也可以被反向代理服务器完成。一台高速缓存服务器，如squid，可以在多种配置中与反向代理服务器协同工作。如果反向代理服务器不支持高速缓存，很多站点会选择通过一个高速缓存代理来配置对后端服务器的访问，这样图像和其它静态内容就不必从真实服务器中检索。许多反向代理服务器也可以将一些特定的任务，如图片出租给一个完全独立的服务器。这些代理服务器通常被称为“WEB加速器”。

　　有许多代理服务器产品能够以反向代理服务器模式运行，在此我们只关注几个免费的开源产品。Apache2.2现在伴随着模块代理服务平衡器一起使用。Apache依靠模块代理支持反向代理服务器已有很长时间了，但是通过使用平衡器模块，Apache可以实现更加复杂和更有弹性的配置。当然，配置并非十分简单，Apache本身资源密集而且对内存要求很高。

　　Pound是一个反向代理服务器及负载平衡器，可以终止SSL连接。配置相当简易，它与Apache相比的极大优势在于它经过精心编制、小巧灵活。许多Pound用户给出了其相当惊人的吞吐量统计，当然它也一直是可靠有效的。

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)