Обратный прокси - Reverse proxy

Обратный прокси-сервер, принимающий запросы из Интернета и перенаправляющий их на серверы во внутренней сети. Те, кто делает запросы к прокси, могут не знать о внутренней сети.

В компьютерная сеть, а обратный прокси это тип Прокси сервер который извлекает ресурсы от имени клиент от одного или нескольких серверы. Эти ресурсы затем возвращаются клиенту, как если бы они исходили от самого обратного прокси-сервера.^[1] В отличие от прямой прокси, который является посредником для связанных клиентов с любым сервером, обратный прокси-сервер является посредником для связанных с ним серверов, с которыми может связаться любой клиент. Другими словами, доверенное лицо связан с клиентом (ами), а обратный прокси связан с сервером (ами); Обратный прокси-сервер обычно является внутренним прокси-сервером, который используется в качестве «внешнего интерфейса» для контроля и защиты доступа к серверу в частной сети.

Довольно часто популярные веб-серверы используют функцию обратного проксирования, защищая платформу приложений от более слабых возможностей HTTP. В этом контексте «более слабый» означает ограничения в способности обрабатывать чрезмерную нагрузку и ограничение в обработке всего разнообразия форматов запросов, которые могут соответствовать HTTP (S) 1.x, HTTP (S) 2.x или запросов, которые могут трудно обнаружить. Обратный прокси-сервер в таких случаях может преобразовывать запросы HTTPS в запросы HTTP, буферизовать входящие запросы на основе нагрузки «экранированного» сервера (ов), обрабатывать файлы cookie / данные сеанса или преобразовывать один запрос в несколько запросов, а затем синтезировать ответы, среди других возможностей.

Использование обратных прокси

Обратные прокси могут скрыть существование и характеристики исходные серверы.
Брандмауэр приложений функции могут защитить от распространенных веб-атак, таких как атака отказа в обслуживании (DoS) или распределенные атаки типа «отказ в обслуживании» (DDoS). Без обратного прокси, удаление вредоносных программ или запуск разборки, например, может быть сложно.
На случай, если безопасные веб-сайты, веб-сервер может не выполнять TLS шифрование сам, но вместо этого выгружает задачу на обратный прокси, который может быть оснащен Ускорение TLS оборудование. (Увидеть Прокси-сервер завершения TLS.)
Обратный прокси может распределить нагрузку от входящих запросов к нескольким серверам, причем каждый сервер поддерживает свою собственную область приложения. В случае обратного проксирования веб-серверы обратному прокси-серверу, возможно, придется переписать URL в каждом входящем запросе, чтобы соответствовать соответствующему внутреннему расположению запрошенного ресурса.
Обратный прокси-сервер может снизить нагрузку на исходные серверы за счет кеширование статический контент и динамический контент, известный как веб-ускорение. Прокси-кеши такого типа часто могут удовлетворить значительное количество запросов веб-сайтов, что значительно снижает нагрузку на исходный сервер (-ы).
Обратный прокси-сервер может оптимизировать контент, сжатие это для того, чтобы ускорить загрузку.
В технике под названием «кормление с ложечки»^[2], динамически сгенерированная страница может быть создана сразу и передана обратному прокси-серверу, который затем может возвращать ее клиенту понемногу за раз. Программа, генерирующая страницу, не должна оставаться открытой, тем самым высвобождая ресурсы сервера в течение возможно длительного времени, которое требуется клиенту для завершения передачи.
Обратные прокси-серверы могут работать везде, где должны быть доступны несколько веб-серверов через один общедоступный IP-адрес. Веб-серверы прослушивают разные порты на одном компьютере, с одним и тем же локальным IP-адресом или, возможно, на разных машинах с разными локальными IP-адресами. Обратный прокси-сервер анализирует каждый входящий запрос и доставляет его на нужный сервер в пределах локальная сеть.
Обратные прокси могут работать A / B тестирование и многомерное тестирование без размещения тегов JavaScript или кода на страницах.
Обратный прокси-сервер может добавить базовую аутентификацию доступа HTTP к веб-серверу, не имеющему никакой аутентификации.^[3]

Риски обратных прокси

Обратный прокси-сервер HTTP / S может читать и изменять весь трафик и IP-адреса веб-пользователей, проходящих через него. Чтобы фильтровать / кэшировать / сжимать или иным образом изменять трафик, он должен иметь возможность расшифровывать и повторно шифровать трафик HTTPS и, таким образом, обладать соответствующим закрытым ключом сертификата TLS. Таким образом, очевидно, что он может регистрировать все пароли, проходящие через него, или внедрять вредоносное ПО на веб-сайты, а также может делать это в случае взлома или запуска злоумышленником. Обратные прокси тоже единая точка отказа если нет очевидного способа получить доступ к серверу напрямую.

Использование обратного прокси-сервера третьей стороны (например, Cloudflare, Imperva) размещает всю триада конфиденциальности, целостности и доступности в руках указанного третьего лица.

Если обратный прокси-сервер обслуживает множество разных доменов, его выход из строя (например, из-за неправильной конфигурации или DDoS-атаки) может вывести из строя все фронтальные домены.^[4]

Смотрите также

Трансляция сетевых адресов

использованная литература

^ «Прямые и обратные прокси». Фонд программного обеспечения Apache. Получено 26 августа 2018.
^ Запись вики "squid-cache" на SpoonFeeding"". Франческо Чемолли. Получено 9 февраля 2011.
^ «Можно ли добавить базовую аутентификацию доступа HTTP через HAProxy?». serverfault.com.
^ https://finance.yahoo.com/news/cloudflare-outage-knocks-major-sites-170213763.html

[apache-forward-reverse-1] «Прямые и обратные прокси». Фонд программного обеспечения Apache. Получено 26 августа 2018.

[spoon-feeding-2] Запись вики "squid-cache" на SpoonFeeding"". Франческо Чемолли. Получено 9 февраля 2011.

[3] «Можно ли добавить базовую аутентификацию доступа HTTP через HAProxy?». serverfault.com.

[4] ttps://finance.yahoo.com/news/cloudflare-outage-knocks-major-sites-170213763.html

[1]

[2]

[3]

[4]