Альфапедия

Обратный прокси

редактировать
Прокси-сервер, соединяющий Интернет с внутренней сетью. Пример сценария: клиент в Интернете ( облако слева) отправляет запрос на обратный прокси- сервер ( красный овал посередине). Прокси-сервер проверяет запрос, определяет, что он действителен и что у него нет запрошенного ресурса в собственном кэше. Затем он пересылает запрос на некоторый внутренний веб-сервер ( овал справа). Внутренний сервер возвращает запрошенный ресурс прокси-серверу, который, в свою очередь, доставляет его клиенту. Клиент в Интернете не знает о внутренней сети и не может определить, взаимодействует ли он с прокси-сервером или напрямую с веб-сервером.

В компьютерных сетях, обратный прокси - сервер представляет собой тип прокси - сервера, который извлекает ресурсы от имени клиента от одного или нескольких серверов. Затем эти ресурсы возвращаются клиенту, как если бы они исходили от самого обратного прокси-сервера. В основном он используется для балансировки нагрузки.

Крупные веб-сайты и сети доставки контента используют обратные прокси-серверы вместе с другими методами для балансировки нагрузки между внутренними серверами. Обратные прокси-серверы могут хранить кеш статического содержимого, что еще больше снижает нагрузку на эти внутренние серверы и внутреннюю сеть. Обратные прокси-серверы также часто добавляют такие функции, как сжатие или шифрование TLS, в канал связи между клиентом и обратным прокси.

Обратные прокси-серверы обычно принадлежат или управляются веб-службой, и клиенты получают к ним доступ из общедоступного Интернета. Напротив, прямой прокси-сервер обычно управляется клиентом (или их компанией), который ограничен частной внутренней сетью, за исключением того, что клиент может запросить прямой прокси-сервер для извлечения ресурсов из общедоступного Интернета от имени клиента.

Обратные прокси-серверы реализованы в популярных веб-серверах с открытым исходным кодом, таких как Apache, Nginx и Caddy. Это программное обеспечение может проверять заголовки HTTP, что, например, позволяет ему на одном IP-адресе ретранслировать запросы на разные внутренние серверы на основе доменного имени HTTP-запроса. Выделенные обратные прокси-серверы, такие как программное обеспечение с открытым исходным кодом HAProxy и Squid, используются некоторыми из крупнейших веб-сайтов в Интернете. Популярные коммерческие поставщики обратных прокси-серверов включают Cloudflare и Imperva.

СОДЕРЖАНИЕ
  • 1 Использование
  • 2 риска
  • 3 См. Также
  • 4 ссылки
Использует
  • Обратные прокси-серверы могут скрывать существование и характеристики исходных серверов.
  • Функции брандмауэра приложений могут защитить от распространенных сетевых атак, таких как атаки типа « отказ в обслуживании» (DoS) или распределенные атаки типа «отказ в обслуживании» (DDoS). Например, без обратного прокси-сервера удалить вредоносное ПО или инициировать удаление вредоносных программ может быть затруднительно.
  • В случае безопасных веб-сайтов веб-сервер может не выполнять шифрование TLS сам, а вместо этого переносит задачу на обратный прокси-сервер, который может быть оснащен оборудованием для ускорения TLS. (См. Прокси-сервер завершения TLS. )
  • Обратный прокси-сервер может распределять нагрузку от входящих запросов на несколько серверов, при этом каждый сервер поддерживает свою собственную область приложения. В случае обратного проксирования веб-серверов обратный прокси-сервер может перезаписывать URL-адрес в каждом входящем запросе, чтобы соответствовать соответствующему внутреннему расположению запрошенного ресурса.
  • Обратный прокси-сервер может снизить нагрузку на свои исходные серверы за счет кэширования статического и динамического содержимого, известного как веб-ускорение. Прокси-кэши такого типа часто могут удовлетворить значительное количество запросов веб-сайтов, что значительно снижает нагрузку на исходный сервер (-ы).
  • Обратный прокси-сервер может оптимизировать контент, сжимая его, чтобы ускорить загрузку.
  • В методе, называемом «кормление с ложечки», динамически генерируемая страница может быть создана сразу и отправлена ​​обратному прокси-серверу, который затем может возвращать ее клиенту понемногу за раз. Программа, генерирующая страницу, не должна оставаться открытой, тем самым высвобождая ресурсы сервера в течение, возможно, продленного времени, которое требуется клиенту для завершения передачи.
  • Обратные прокси-серверы могут работать везде, где несколько веб-серверов должны быть доступны через один общедоступный IP-адрес. Веб-серверы прослушивают разные порты на одной машине, с одним и тем же локальным IP-адресом или, возможно, на разных машинах с разными локальными IP-адресами. Обратный прокси анализирует каждый входящий запрос и доставляет его на нужный сервер в локальной сети.
  • Обратные прокси-серверы могут выполнять A / B-тестирование и многовариантное тестирование без размещения тегов или кода JavaScript на страницах.
  • Обратный прокси-сервер может добавить базовую аутентификацию HTTP-доступа к веб-серверу, не имеющему никакой аутентификации.
Риски
  • Обратный прокси-сервер может отслеживать все IP-адреса, отправляющие через него запросы, а также читать и изменять любой незашифрованный трафик. Таким образом, он может регистрировать пароли или внедрять вредоносное ПО, а также может делать это в случае взлома или запуска злоумышленником.
  • Когда транзитный трафик зашифрован и обратному прокси-серверу необходимо фильтровать / кэшировать / сжимать или иным образом изменять или улучшать трафик, прокси-сервер сначала должен расшифровать и повторно зашифровать обмен данными. Для этого прокси-сервер должен обладать сертификатом TLS и соответствующим закрытым ключом, что увеличивает количество систем, которые могут иметь доступ к незашифрованным данным, и делает его более ценной целью для злоумышленников.
  • Подавляющее большинство утечек внешних данных происходит либо тогда, когда хакерам удается злоупотребить существующим обратным прокси-сервером, который был намеренно развернут организацией, либо когда хакерам удается преобразовать существующий сервер с выходом в Интернет в обратный прокси-сервер. Взломанные или преобразованные системы позволяют внешним злоумышленникам указывать, куда они хотят направлять свои атаки, обеспечивая им доступ к внутренним сетям и системам.
  • Приложения, разработанные для внутреннего использования в компании, обычно не привязаны к общественным стандартам и не обязательно рассчитаны на защиту от всех попыток взлома. Когда организация разрешает внешний доступ к таким внутренним приложениям через обратный прокси-сервер, они могут непреднамеренно увеличить свою собственную поверхность атаки и пригласить хакеров.
  • Если обратный прокси-сервер не настроен для фильтрации атак или не получает ежедневных обновлений для поддержания актуальности своей базы данных сигнатур атак, уязвимость нулевого дня может пройти через неотфильтрованную, что позволяет злоумышленникам получить контроль над системами, которые за обратным прокси-сервером.
  • Использование обратного прокси-сервера третьей стороны (например, Cloudflare, Imperva) передает всю триаду конфиденциальности, целостности и доступности третьей стороне, которая управляет прокси-сервером.
  • Если обратный прокси-сервер обслуживает множество разных доменов, его выход из строя (например, из-за неправильной конфигурации или DDoS-атаки) может вывести из строя все фронтовые домены.
  • Обратные прокси-серверы также могут стать единственной точкой отказа, если нет другого очевидного альтернативного способа прямого доступа к внутреннему серверу.
Смотрите также
использованная литература

Последняя правка сделана 2023-03-31 07:28:05
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте