反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个服务器。
通常的代理服务器,只用于代理内部网络对Internet的连接请求,客户机必须指定代理服务器,并将本来要直接发送到Web服务器上的http请求发送到代理服务器中。由于外部网络上的主机并不会配置并使用这个代理服务器,普通代理服务器也被设计为在Internet上搜寻多个不确定的服务器,而不是针对Internet上多个客户机的请求访问某一个固定的服务器,因此普通的Web代理服务器不支持外部对内部网络的访问请求。当一个代理服务器能够代理外部网络上的主机,访问内部网络时,这种代理服务的方式称为反向代理服务。此时代理服务器对外就表现为一个Web服务器,外部网络就可以简单把它当作一个标准的Web服务器而不需要特定的配置。不同之处在于,这个服务器没有保存任何网页的真实数据,所有的静态网页或者CGI程序,都保存在内部的Web服务器上。因此对反向代理服务器的攻击并不会使得网页信息遭到破坏,这样就增强了Web服务器的安全性。 反向代理方式和包过滤方式或普通代理方式并无冲突,因此可以在防火墙设备中同时使用这两种方式,其中反向代理用于外部网络访问内部网络时使用,正向代理或包过滤方式用于拒绝其他外部访问方式并提供内部网络对外部网络的访问能力。因此可以结合这些方式提供最佳的安全访问方式。
代理服务器充当服务器的替身
如果您的内容服务器具有必须保持安全的敏感信息,如信用卡号数据库,可在防火墙外部设置一个代理服务器作为内容服务器的替身。当外部客户机尝试访问内容服务器时,会将其送到代理服务器。实际内容位于内容服务器上,在防火墙内部受到安全保护。代理服务器位于防火墙外部,在客户机看来就像是内容服务器。 当客户机向站点提出请求时,请求将转到代理服务器。然后,代理服务器通过防火墙中的特定通路,将客户机的请求发送到内容服务器。内容服务器再通过该通道将结果回传给代理服务器。代理服务器将检索到的信息发送给客户机,好像代理服务器就是实际的内容服务器(参见图 14-1)。如果内容服务器返回错误消息,代理服务器会先行截取该消息并更改标头中列出的任何 URL,然后再将消息发送给客户机。如此可防止外部客户机获取内部内容服务器的重定向 URL。 这样,代理服务器就在安全数据库和可能的恶意攻击之间提供了又一道屏障。与有权访问整个数据库的情况相对比,就算是侥幸攻击成功,作恶者充其量也仅限于访问单个事务中所涉及的信息。未经授权的用户无法访问到真正的内容服务器,因为防火墙通路只允许代理服务器有权进行访问。 图 14-1 反向代理服务器就像是真正的内容服务器 可以配置防火墙路由器,使其只允许特定端口上的特定服务器(在本例中为其所分配端口上的代理服务器)有权通过防火墙进行访问,而不允许其他任何机器进出。 安全反向代理 当代理服务器与其他机器之间有一个或多个连接使用安全套接字层 (SSL) 协议加密数据时,即会进行安全反向代理。 安全反向代理有许多用途: 可以提供从防火墙外部代理服务器到防火墙内部安全内容服务器的加密连接。 可以允许客户机安全地连接到代理服务器,从而有利于安全地传输信息(如信用卡号)。 安全反向代理会造成各安全连接因加密数据所涉及的系统开销而变慢。但是,由于 SSL 提供了高速缓存机制,所以连接双方可以重复使用先前协商的安全参数,从而大大降低后续连接的系统开销。 配置安全反向代理服务器的方法有三种:
Secure client to proxy。如果未经授权的用户很少或根本没有机会访问代理服务器与内容服务器之间交换的信息,则此方案很有效(参见图 14-2)。 图 14-2 客户机安全连接到代理服务器
Secure proxy to content server。如果客户机在防火墙内部而内容服务器在防火墙外部,则此方案很有效。在此方案中,代理服务器可以充当站点之间的安全通道(参见图 14-3) 图 14-3 代理服务器安全连接到内容服务器
Secure client to proxy and secure proxy to content server。如果需要保护服务器、代理服务器和客户机三者间所交换信息的安全,则此方案很有效。在此方案中,代理服务器既可起到站点间安全通道的作用,又可增加客户机验证的安全性(参见图 14-4)。 图 14-4 客户机安全连接到代理服务器并且代理服务器安全连接到内容服务器 有关如何设置上述每种配置的信息,参见设置反向代理服务器。 除了 SSL 之外,代理服务器还可以使用客户机验证,这种方法要求向代理服务器提出请求的计算机提供证书(或标识表单)以核实其身份。
分享到:
相关推荐
反向代理服务器是一种重要的网络架构组件,它在客户端与服务器之间扮演中介的角色。通过反向代理,服务器可以对外隐藏真实的IP地址,从而增强网站的安全性。具体来说,当用户发起对某网站的访问请求时,请求首先到达...
### 使用Apache配置反向代理服务器 #### 一、反向代理的基本概念 反向代理(Reverse Proxy)是一种网络架构模式,其中代理服务器接收来自互联网的请求,并将其转发给内部网络中的真实服务器。处理完请求后,代理...
Nginx (engine x) 是一个轻量级的、高性能的、基于 Http 的、反向代理服务器,静态 web 服务器。 Nginx 最初是由俄罗斯人 Igor Sysoev(伊戈尔·赛索耶夫)使用 C 语言为俄罗斯访问量第 二的 Rambler.ru 站点开发的...
Nginx 是一个很牛的高性能Web和反向代理服务器,它具有很多非常优越的特性: 在高连接并发的情况下,Nginx是Apache服务器不错的替代品:Nginx在美国是做虚拟主机生意的老板们经常选择的软件平台之一。能够支持高达 ...
centos 7 部署 nginx 反向代理服务器及部署架构 1、安装部署Centos7服务器 2、安装部署Nginx服务 3、设置反向代理 4、内部服务器反向代理架构 以上内容包含在PPT中,配有图片,希望对大家的学习工作有所帮助。 如果...
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,...
基于 Linux-nginx-反向代理服务器的应用研究 知识点: 1. 反向代理服务器的概念和特点 反向代理服务器是一种代理服务器,它的对象是服务器集群,而不是客户端。反向代理服务器可以提高系统性能和解决后期的动态...
### Nginx反向代理服务器配置基础教程 #### 一、系统架构 在现代Web服务部署中,Nginx作为一款高性能的HTTP和反向代理Web服务器,被广泛应用于负载均衡、反向代理以及静态资源服务等多个场景。本文将详细介绍如何...
"基于Linux-Nginx反向代理服务器的应用研究" 本文主要研究了在Linux平台下通过Nginx的反向代理功能来实现负载均衡的方法。反向代理服务器是相对于正向代理服务器而言的,反向代理的对象是服务器集群。通过反向代理...
2. Nginx 是一个很牛的高性能Web和反向代理服务器, 它具有有很多非常优越的特性: 在高连接并发的情况下,Nginx是Apache服务器不错的替代品: Nginx在美国是做虚拟主机生意的老板们经常选择的软件平台之一. 能够...
Nginx是一个高性能的开源Web服务器和反向代理服务器,也常被用作负载均衡器、HTTP缓存以及邮件代理服务器。其灵活性、高性能和可扩展性使其成为许多...Nginx可以作为反向代理服务器,接受Internet上的连接请求,然
【轻量级HTTP服务器反向代理服务器】 在IT领域,HTTP服务器是用于处理HTTP协议请求的应用程序,它们接收客户端(通常是浏览器)的请求并返回相应的网页内容。轻量级HTTP服务器指的是那些资源消耗低、性能高效且易于...
总的来说,Nginx反向代理服务器是现代Web架构中的重要组件,它能够帮助构建高效、稳定、安全的分布式服务系统,提升网站的可用性和响应速度。对于运维人员来说,熟练掌握Nginx的配置和管理是提升服务质量的关键技能...
Nginx 是一个很强大的高性能Web和反向代理服务器,Nginx 是一个安装非常的简单,配置文件非常简洁(还能够支持perl语法),Bugs非常少的服务器:Nginx 启动特别容易,并且几乎可以做到7*24不间断运行,即使运行数个...
Nginx是一个高性能的HTTP和反向代理服务器,由伊戈尔·赛索耶夫为Rambler.ru站点开发,以其稳定性、高效性和低资源消耗而著名。它支持高并发连接,最高可达50,000个并发连接数,因此被许多大型网站如百度、京东、...
Nginx是一款在全球范围内广泛应用的高性能开源Web服务器和反向代理服务器,它的设计目标是高并发、低内存占用以及稳定性。Nginx以其独特的事件驱动、异步非阻塞I/O模型,在处理大量并发连接时表现出色,尤其适合高...
本教程主要关注的是如何配置Nginx作为反向代理服务器的基础知识,特别是针对Centos 6.6 x64操作系统。 首先,我们来看一下Nginx反向代理的基本概念。反向代理是一种网络服务技术,它充当了客户端和实际服务器之间的...