Teskari proksi-server - Reverse proxy

Internetni ichki tarmoqqa ulaydigan proksi-server.
Internetdan so'rovlar olib, ularni ichki tarmoqdagi serverlarga yuboradigan teskari proksi-server. Proksi-serverga so'rov yuboradiganlar ichki tarmoq haqida bilmasligi mumkin.

Yilda kompyuter tarmoqlari, a teskari proksi-server ning bir turi proksi-server nomidan resurslarni oladigan mijoz bir yoki bir nechtasidan serverlar. Keyin ushbu resurslar teskari proksi-serverning o'zi tomonidan paydo bo'lgandek ko'rinib, mijozga qaytariladi.[1] A dan farqli o'laroq oldinga proksi-server, bu bog'liq mijozlar uchun har qanday server bilan bog'lanish uchun vositachi, teskari proksi-server - bu bog'liq serverlar uchun har qanday mijoz bilan bog'lanish uchun vositachi. Boshqacha qilib aytganda, a ishonchli vakil mijoz (lar) bilan bog'liq, a teskari proksi-server server (lar) bilan bog'langan; teskari proksi - bu odatda shaxsiy tarmoqdagi serverga kirishni boshqarish va himoya qilish uchun "oldingi" sifatida ishlatiladigan ichki proksi.

Ko'pincha, mashhur veb-serverlar teskari proksi-server funktsiyalaridan foydalanadilar, zaifroq HTTP imkoniyatlarining dastur doiralarini himoya qiladilar. Shu nuqtai nazardan, "zaif" degani haddan tashqari yukni ko'tarish qobiliyatining cheklanishi va HTTP (S) 1.x, HTTP (S) 2.x ga mos kelishi mumkin bo'lgan turli xil so'rov formatlari bilan ishlashdagi cheklovlar yoki mumkin bo'lgan so'rovlar. aniqlash qiyin bo'lishi. Bunday hollarda teskari proksi-server HTTPS so'rovlarini HTTP so'rovlariga o'zgartirishi, "himoyalangan" server (lar) ning yuklanishiga asoslangan kiruvchi so'rovlarni bufer qilishi, cookie-fayllar / sessiya ma'lumotlari bilan ishlashi yoki bitta so'rovni bir nechta so'rovlarga aylantirishi va javoblarni sintez qilishi mumkin, boshqa imkoniyatlar qatorida.

Orqaga ishonchli vakillardan foydalanish

  • Teskari vakillar mavjudligini va xususiyatlarini yashirishi mumkin kelib chiqishi serverlari.
  • Ilova xavfsizlik devori funktsiyalari a kabi keng tarqalgan veb-hujumlardan himoya qilishi mumkin xizmatni rad etish hujumi (DoS) yoki tarqatilgan xizmatni rad etish hujumlari (DDoS). Teskari proksi-serversiz, zararli dasturlarni olib tashlash yoki boshlash olib tashlash, masalan, qiyin bo'lishi mumkin.
  • Bo'lgan holatda xavfsiz veb-saytlar, veb-server bajarilmasligi mumkin TLS shifrlash o'zi, lekin buning o'rniga vazifani jihozlangan bo'lishi mumkin bo'lgan teskari proksi-serverga yuklang TLS tezlashishi apparat. (Qarang TLS bekor qilish bo'yicha proksi-server.)
  • Teskari proksi-server mumkin yukni taqsimlash kirish so'rovlaridan bir nechta serverlarga, har bir server o'z dastur maydonini qo'llab-quvvatlaydi. Teskari proksi-server holatida veb-serverlar, teskari proksi-ni qayta yozishi kerak bo'lishi mumkin URL manzili so'ralgan manbaning tegishli ichki joylashuviga mos kelish uchun har bir keladigan so'rovda.
  • Orqaga proksi-server kelib chiqadigan serverlarga yukni kamaytirishi mumkin keshlash statik tarkib va dinamik tarkib sifatida tanilgan veb-tezlashtirish. Ushbu turdagi proksi-keshlar ko'pincha veb-saytlarning ko'p sonli so'rovlarini qondirishi va kelib chiqish serverlari (lar) iga yukni sezilarli darajada kamaytirishi mumkin.
  • Teskari proksi tomonidan tarkibni optimallashtirish mumkin siqish yuklash vaqtini tezlashtirish uchun.
  • "Qoshiq bilan boqish" deb nomlangan texnikada[2], dinamik ravishda yaratilgan sahifa birdaniga ishlab chiqarilishi va teskari proksi-serverga xizmat qilishi mumkin, so'ngra uni mijozga bir vaqtning o'zida ozgina qaytarishi mumkin. Sahifani yaratadigan dastur ochiq qolmasligi kerak, shuning uchun mijoz uzatishni yakunlashi kerak bo'lgan uzoq vaqt davomida server resurslarini bo'shatadi.
  • Teskari proksi-serverlar bir nechta veb-serverlarga bitta ochiq IP-manzil orqali kirish kerak bo'lgan joyda ishlashi mumkin. Veb-serverlar bir xil kompyuterdagi turli xil portlarda, bir xil mahalliy IP-manzil bilan yoki, ehtimol, har xil mahalliy IP-manzillarga ega bo'lgan turli xil kompyuterlarda tinglashadi. Teskari proksi-server har bir kelgan so'rovni tahlil qiladi va uni ichidagi kerakli serverga etkazib beradi mahalliy tarmoq.
  • Teskari vakillar bajarishi mumkin A / B sinovlari va ko'p o'zgaruvchan sinov sahifalarga JavaScript teglari yoki kodlarini joylashtirmasdan.
  • Teskari proksi-server hech qanday autentifikatsiyaga ega bo'lmagan veb-serverga asosiy HTTP kirish autentifikatsiyasini qo'shishi mumkin.[3]

Orqaga ishonchli vakillarning xatarlari

HTTP / S teskari proksi-server, u orqali o'tayotgan veb-foydalanuvchilarning barcha trafik va IP-larini o'qishi va o'zgartirishi mumkin. Trafikni filtrlash / keshlash / siqish yoki boshqa usulda o'zgartirish uchun u HTTPS trafigini parolini ochishi va qayta shifrlashi va shu bilan TLS sertifikatining tegishli shaxsiy kalitiga ega bo'lishi kerak. Shunday qilib, u orqali o'tadigan barcha parollarni ro'yxatdan o'tkazishi yoki veb-saytlarga zararli dasturlarni kiritishi mumkin va agar buzilgan yoki zararli tomon tomonidan boshqarilsa. Teskari ishonchli shaxslar ham boshqa muvaffaqiyatsizlikning yagona nuqtasi to'g'ridan-to'g'ri serverga kirishning aniq usuli bo'lmasa.

Uchinchi tomonning teskari proksi-serveridan foydalanish (masalan, Cloudflare, Imperva) butun joylashtiradi maxfiylik, yaxlitlik va mavjudlik uchligi aytilgan uchinchi shaxsning qo'lida.

Agar teskari proksi-server turli xil domenlarning old tomonida bo'lsa, uning ishlamay qolishi (masalan, noto'g'ri konfiguratsiya yoki DDoS hujumi) barcha oldingi domenlarni tushirishi mumkin.[4]

Shuningdek qarang

Adabiyotlar

  1. ^ "Oldinga va teskari vakillar". Apache dasturiy ta'minot fondi. Olingan 26 avgust 2018.
  2. ^ "SpoonFeeding" saytida "squid-cache wiki-ga kirish""". Franchesko Chemolli. Olingan 9 fevral 2011.
  3. ^ "HAProxy orqali asosiy HTTP kirish autentifikatsiyasini qo'shish mumkinmi?". serverfault.com.
  4. ^ https://finance.yahoo.com/news/cloudflare-outage-knocks-major-sites-170213763.html