您可以使用两种不同方法进行反向代理。一种方法利用 Proxy Server 的安全性功能来处理事务。另一种方法使用高速缓存在高用量服务器上提供负载平衡。这两种方法均有别于惯用的代理用法,因为它们并不严格在防火墙上运行。
如果您的内容服务器具有必须保持安全的敏感信息(如信用卡号数据库),可在防火墙外部设置一个代理作为内容服务器的替身。当外部客户机试图访问内容服务器时,会将其送到代理服务器。实际内容位于内容服务器上,在防火墙内部受到安全保护。代理服务器位于防火墙外部,在客户机看来就像是内容服务器。
当客户机向站点提出请求时,请求将转到代理服务器。然后,代理服务器通过防火墙中的特定通路,将客户机的请求发送到内容服务器。内容服务器再通过该通路将结果回传给代理。代理将检索到的信息发送给客户机,就像代理是实际的内容服务器一样,如图 14–1 中所示。如果内容服务器返回错误消息,代理服务器可截取该消息并更改标头中列出的任何 URL,然后再将消息发送给客户机。这种措施可防止外部客户机获取内部内容服务器的重定向 URL。
通过这种方式,代理就在安全数据库和可能存在的恶意攻击之间提供了另一道屏障。如果侥幸攻击成功,作恶者充其量也仅限于访问单个事务中所涉及的信息,而不至于获得整个数据库的访问权。未经授权的用户无法到达真正的内容服务器,因为防火墙通路仅允许代理服务器有权进行访问。
您可以配置防火墙路由器,使其只允许特定端口上的特定服务器(在本例中为其所分配端口上的代理)有权通过防火墙进行访问,而不允许任何其他计算机进出。
当代理服务器与其他计算机之间的一个或多个连接使用安全套接字层 (Secure Sockets Layer, SSL) 协议加密数据时,将会进行安全反向代理。
安全反向代理具有许多用途:
提供从防火墙外部的代理服务器到防火墙内部的安全内容服务器的加密连接
允许客户机安全地连接到代理服务器,协助信息(如信用卡号)的安全传输
由于加密数据时占用开销,因此安全反向代理将会降低各安全连接的速度。但是,因为 SSL 提供了高速缓存机制,所以连接双方可以重复使用先前协商的安全性参数,从而大大降低了后续连接的开销。
客户机安全连接到代理。如果未经授权的用户很少或根本没有机会访问代理与内容服务器之间交换的信息,则此方案很有效,如下图所示。
代理安全连接到内容服务器。如果客户机在防火墙内部而内容服务器在防火墙外部,则此方案很有效。在此方案中,代理服务器可以充当站点之间的安全通道,如下图所示。
客户机安全连接到代理并且代理安全连接到内容服务器。如果需要保护服务器、代理和客户机之间交换的信息的安全,则此方案很有效。在此方案中,代理服务器既可充当站点间的安全通道,又可增加客户机验证的安全性,如下图所示。
有关如何设置上述每种配置的信息,请参见设置反向代理。
除了 SSL 之外,代理还可以使用客户机验证,这种方法要求向代理提出请求的计算机提供证书或其他形式的标识以验证其身份。
您可以在组织中使用多个代理服务器来平衡 Web 服务器之间的网络负载。此模型将利用代理服务器的高速缓存功能创建一个用于负载平衡的服务器池。在这种情况下,代理服务器可以位于防火墙的任意一侧。如果 Web 服务器每天都会收到大量请求,则可以使用代理服务器分担 Web 服务器的负载并提高网络访问效率。
代理服务器充当发往真正服务器的客户机请求的媒介。代理服务器会高速缓存所请求的文档。如果有多个代理服务器,DNS 可以采用“循环复用法”选择其 IP 地址,随机地为请求选择路由。客户机每次都使用同一个 URL,但请求所采取的路由每次都可能经过不同的代理。
使用多个代理来处理对某个高用量内容服务器的请求的优点在于,该服务器可以处理更繁重的负载,并且比其独自处理时的效率更高。在初始启动期间,代理首次从内容服务器检索文档,此后,对内容服务器的请求数会大大下降。
只有 CGI 请求和偶发的新请求必须一路直达内容服务器。其余的请求可以由代理进行处理。例如,假定对服务器的请求中有 90% 都不是 CGI 请求(这表示它们可以进行高速缓存),而且内容服务器每天都会被命中 2 百万次。在此情况下,如果连接三个反向代理,并且每个代理每天处理 2 百万次命中,则每天将能够处理大约 6 百万次命中。请求中有 10% 到达内容服务器,合计约为每个代理每天 200,000 次命中,即总数仅为 600,000 次,从而大大提高效率。命中次数可从约 2 百万次增加到 6 百万次,而内容服务器的负载可相应地从 2 百万次减少到 600,000 次。实际结果依具体情况而定。