概述:
反向代理方式:代理服務器接收internet發(fā)送的連接請求,然后將請求轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡上的服務器钮追,并將內(nèi)部服務器對請求的處理結果轉(zhuǎn)發(fā)給internet上請求連接的客戶端,此時代理服務器對外的表現(xiàn)為一個服務器闺金;
通常的代理服務器狼牺,只用于代理服務內(nèi)部對internet的連接請求,客戶端必須制定代理服務器事示,并將本來要直接發(fā)送給web服務器上的http請求發(fā)送到代理服務器中早像,當一個代理服務器能夠代理外部網(wǎng)絡上的主機來訪問內(nèi)部網(wǎng)絡上的主機,訪問內(nèi)部網(wǎng)絡時肖爵,這種代理服務的方式稱為反向代理服務卢鹦;
反向代理的服務器的工作原理;
反向代理服務器通常有兩種模型劝堪,它可以作為內(nèi)容服務器的替身冀自,也可以作為內(nèi)容服務器集群的負載均衡器。
1.作為內(nèi)容服務器的替身
如果您的內(nèi)部服務器具有必須保持安全的敏感信息秒啦,如信用卡號數(shù)據(jù)庫熬粗,可在防火墻外部設置一個代理服務器作為內(nèi)容服務器的替身。當外部客戶機嘗試訪問內(nèi)部服務器時帝蒿,會將其請求送向代理服務器荐糜。實際內(nèi)容位于內(nèi)部服務器上,在防火墻內(nèi)部受到安全保護葛超。代理服務器位于防火墻外部暴氏,在客戶機看來就像是內(nèi)容服務器;
當客戶向站點提出請求時绣张,請求將轉(zhuǎn)到代理服務器答渔。然后,代理服務器通過防火墻中的特定通路侥涵,將客戶機的請求發(fā)送到內(nèi)容服務器沼撕。內(nèi)容服務器再通過該通道將結果回傳給代理服務器。代理服務器 將檢索到的信息發(fā)送給客戶機芜飘,好像代理服務器就是實際的內(nèi)容服務器务豺。如果內(nèi)容服務器返回錯誤消息,代理服務器會先行截取該消息并更改標頭中列出的任何url嗦明,然后再將消息發(fā)送給客戶機笼沥。如此可防止外部客戶機獲取內(nèi)部內(nèi)容服務器的重定向url;
這樣娶牌,代理服務器就在安全數(shù)據(jù)庫和可能惡意攻擊之間提供了又一到屏障奔浅。與有訪問整個數(shù)據(jù)庫的情況相對比,就算是僥幸攻擊成功诗良,作惡者充其量也僅限于訪問單個事務中所涉及的信息汹桦。未授權的用戶無法訪問到真正的內(nèi)容服務器,因為防火墻通路只允許代理服務器有權進行訪問鉴裹;
可以配置防火墻路由器舞骆,使其只允許特定端口上的特定服務器(在本例中為其所分配端口上的代理服務器)有權通過防火墻進行訪問,而不允許其他任何機器進出径荔;
2.作為內(nèi)容服務器集群的負載均衡器使用
可以在一個組織內(nèi)使用多個代理服務器來平衡個web服務器將的網(wǎng)絡負載葛作。在此模型中,可以利用代理服務器的高速緩存特性猖凛,創(chuàng)建一個用于負載平衡的服務器池赂蠢。此時,代理服務器可以位于防火墻的任意一側(cè)辨泳。如果web服務器每天都會接受大量的請求虱岂,則可以使用代理服務器分擔web服務器的負載并提高網(wǎng)絡訪問效率。
對于客戶機發(fā)往真正的服務器的請求菠红,代理服務器起著中間調(diào)停者的作用第岖。代理服務器會將所請求的文檔存入高速緩存。如果有不止一個代理服務器试溯,dns可以采用“循環(huán)復用法”選擇其ip地址蔑滓,隨機地為請求選擇路由。客戶機每次都使用同一個url键袱,但請求所采取的路由每次都可能經(jīng)過不同的代理服務器燎窘;
可以使用多個代理服務器來處理對一個高用量內(nèi)容服務器的請求,這樣做的好處是內(nèi)容服務器可以處理更高的負載蹄咖,并且比其獨自工作時更有效率褐健。在初始啟動期間,代理服務器首次從內(nèi)容服務器檢索文檔澜汤,此后蚜迅,對內(nèi)容服務器的請求數(shù)會大大下降;
