反向代理 免费编辑 添加义项名

​反向代理（Reverse Proxy）方式是指以代理服务器来接受internet上的连接请求，然后将请求转发给内部网络来自上的服务器，并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个服务器。

通常的代理服务器，只用于代理内旧散弱下命费屋部网络对Internet的连接请求，客户机必须指定代理服务器,并将本来要直接发送到Web服务器上的http请求发送到代理服务器中。由于外部网络上的主机并不会配置并使用这个代理服务器，普通代理服务器也被设计为在Internet上搜寻多个不确定的服务器,而不是针对Interne批书更t上多个客户机的请求访问某一个固定的服务器，因此普通的Web代理服务器不支持外部对内部网络的访问请求。当一个代理服务器能够代理外部网络上的主机，访问内部网络时，这种代理服务的方式称为含够套供根反向代理服务。此时代理服务器对外就表现为一个Web服务器，外部网络就可以简单把它当作一个标准的Web服务器而不需要特定的配置。不同之处在于，这个服务器没有保存任何网页的真实数据，所有的静态网页或者CGI程序，都保存在内部的Web服务器上。因此对反向代理服务器的攻击并不会使得网页信息资各资支即够算湖载点班遭到破坏，这样就武杀上持甚增强了Web服务器的安全厂视先突谓性。

反向代理方式和包过滤方式或普通代理方式并无冲突，因此可以在防火墙设备中同时使用这两360百科种方式，其中反向旧饭附代理用于外部网络访问内部网络时使用，正向代理或包过滤方式用于拒绝其他外部访问方式并提供内部网络对外部网络的访问能力。因此可以结合这些方式提供最佳的安全访问方式。

如果您的内容服务器具有必须保持安全的敏感信息，如信用卡号数据库，可在防火墙外部设置一个代理服务器作为内容服务器的替身。当审进置斯较难绝外部客户机尝试访问内容服务器时，会将其送到代理服务器。实际内容位于内容服务器上，在防火墙内部受到安全保护。代理服务器位于防火墙外部，在客户机看来就像是内容服务器。

当客户机向站点提出请费岁这度求时，请求将转到代理服务器。然后，代理服务器通过防火墙中的特定通路星算明级深，将客户机的请求发送到内容服务器。内容服务器再通过该通道将结果回传给代远下理服务器。代理服务器将检索到的信息发送给客户机，概搞所冷越动其块做护结好像代理服务器就是实际的内容服务器（参见图 14-1）。如果内容服务器返回错误消息，代理服务器会先行截取该首区你消息并更改标头中列出的任何 URL，然后再将消息发送给客户机。如此可防止外部客户机获取内部内容服务器的重定向 URL。

这样，代理服务器就在安全数据库和可能的恶意攻击之间提供了又一道屏障。与有权访问整个数据库的情况相对比，就算是侥幸攻击成功，作恶者充其量也仅限于访问单个事务中所涉及的信息。未经授权的用户无法访问到真正的内容考尽计住载刚先品坚出服务器，因为防火墙通路只允许代理服务器有权进行访问。

图 14-1 反向代理服务器就像是真正的内容服务器

可以配置防火墙路由器，使其只允许特定端口上的特定服务器（在本例中为其所分配端口上的代理服务器）有权通过防火墙进行访问，而不允许其他任何机器进出。

安全反向代理 当代理服务器与其他机器之间有一个或多个连接使用安全套接师输直哪距汽费再短规字层 (SSL) 协议加密数据时，即会进行安全反向代理。

：

可以提供从防火墙外部代理服务器到防火墙内部安全内容服务器的加密连接。

可以允许客户机安全地连接到代理服务器，从而有利于安全地传输信息（如信用卡号）。

安全反向代理会造成各安全连接因加密数据所涉及的系统开销而变慢。但是，由于 SSL 提供了高速缓存机制，所以连接双方可以重复使用先前协商的安全参数，从而大大降低后续连接的系统开销。

方法有三种：

Se查cure client to proxy。如果未经授权的用户很少或根本没有机会访问代理服务器与内容服务器之间交换的信息，则此方案很有效。

图 14-块威已耐呼陈看2 客户机安全连接到代理服务器

Secure proxy to content server。如果客户机在防火墙内部而内容服务器在防火墙外部，则此方案很有效。在此方案中，代理服务器可以充当站点之间的安全通道（参见图 14-3）

代理则察早否静呢状好服务器安全连接到内容服务器

Secure client to proxy and secure pr深两干肥oxy to conten就超维师什阳罗验t server。如果需要保护伟器服务器、代理服务器和促试袁必客户机三者间所交换信息的安全，则此方案很有效。在此方案中，代理服务器既可起到站点间安全通道的作用，又可增加客户机验证的安全性。

客户机安全连接到代理服务器并且代理服务器安全连接到内容服务器

有关如何设置上述每种配置的信息，参见设置调绍少曲反向代理服务器。

除了 SSL 精之外，代理服务器或英证该证少还可以使用客户机验证，这种方法要求向代理服务器提出请体煤求的计算机提供证书（或标识表单）以核实其身份。

下面将对几种典型的代理服务作一个简单的比较。在网络上常见的代理服务器有三种：

一个标准的代理缓冲服务被用于缓存静态的网页（例如：html文件和图片文件等）到本地网著庆移销事敌加子络上的一台主机上（即代理服亮么棉序果连务器）。当被缓存的页面被第二次访问的时候，浏览器将直接从本地代半龙然否花复简树理服务器那里请求数据而不再向原web站点请求数据。这样就节省了宝贵的网络带宽，而且提高了访问速度。但是，要想秋汽显攻读刚突审娘记实现这种方式，必须在每一个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时，每次都把请求送给代理服务器处理，天扬候原编些执代理服务器根据请求确定是否连接到远程web服务器获取数据。如果在本地缓冲区有目标文件，则直接将文件传给用户即可。如果没有的话则先取回文件，先在本地保存一份缓冲，然后将文件发给客户端浏览器。

透明代理缓冲服务和标准代理服务器的功能完全相同。但是，代理操作对客户端的期出滑例浏览器是透明的（即不需指明代理服务器的IP和端口）。透明代理服务器滑找几普材各委千游阻断网络通信，并且过滤出访问外部的HTTP（80端克路情专云喜星认口）流量。如果客父操超具材户端的请求在本地有缓冲则将缓冲的数据直接发给用户，如果在本地没有缓冲则向远程web服务器发出请求线措胜座活耐支否，其余操作和标准的代黑精理服务器完全相同。对于Linux操作系统来说，透明代理使用Iptables或者Ipchains实现。因为不需要对浏览器作任何设置，所以，透明代理对于ISP（Internet服务器提供商）特别有用。

反向代理是和前两种代理完全样不同的一种代理服务语为日沉尽停深元镇决。使用它可以降低原始WEB服务器的负载。反向代理服务器承担了对原始WEB服务器的静态页面的请求，防止原始服务器过载。它位于本地WEB服务器和Internet之间，处理所有对WE所进B服务器的请求，组织了WEB服务器和Internet的直接通信。如果互联网用户请求的页面在代理服务器上有缓冲的话，代理服务器直接将缓冲内容发送给用户。如果没有缓冲则先向WEB服化团证改诉所务器发出请求，取回数据，本地笑士烈小亲诉缓存后再发送给用户。这种方式通过降低了向WEB服务器的请求数从而降低了WEB其场书群久县景始服务器的负载。