反向代理是什么？
大家去過落伍者吧？大家可以通過IP查看落伍的IP是在韓國，大家可知道，其實落伍的數(shù)據(jù)還是在國內(nèi)。如何做到這樣的呢，這就叫反向代理，在韓國的服務(wù)器將http請求發(fā)送到國內(nèi)服務(wù)器的某個http端口，再將回傳的數(shù)據(jù)返回到韓國，發(fā)送至客戶，這樣就完成了網(wǎng)站實體在國內(nèi)，看起來網(wǎng)站在國外。
這里說一下IIS做反向代理，實現(xiàn)這個功能ISAPI_Rewrite Full版本可以實現(xiàn)。下載ISAPI_Rewrite Full，安裝。
在創(chuàng)建一個網(wǎng)站，這個網(wǎng)站可以用你想要的域名進行訪問到，或者最直接的方法就是空主機頭的網(wǎng)站，再在網(wǎng)站下面創(chuàng)建一個httpd.ini文件，內(nèi)容：

其意思是將www.my.me映射到http://my.xxx.net:81，這里可以自由映射到別的端口。

反向代理（Reverse Proxy）方式是指以代理服務(wù)器來接受internet上的連接請求，然后將請求轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)上的服務(wù)器，并將從服務(wù)器上得到的結(jié)果返回給internet上請求連接的客戶端，此時代理服務(wù)器對外就表現(xiàn)為一個服務(wù)器。
　　通常的代理服務(wù)器，只用于代理內(nèi)部網(wǎng)絡(luò)對Internet的連接請求，客戶機必須指定代理服務(wù)器,并將本來要直接發(fā)送到Web服務(wù)器上的http請求發(fā)送到代理服務(wù)器中。由于外部網(wǎng)絡(luò)上的主機并不會配置并使用這個代理服務(wù)器，普通代理服務(wù)器也被設(shè)計為在Internet上搜尋多個不確定的服務(wù)器,而不是針對Internet上多個客戶機的請求訪問某一個固定的服務(wù)器，因此普通的Web代理服務(wù)器不支持外部對內(nèi)部網(wǎng)絡(luò)的訪問請求。當(dāng)一個代理服務(wù)器能夠代理外部網(wǎng)絡(luò)上的主機，訪問內(nèi)部網(wǎng)絡(luò)時，這種代理服務(wù)的方式稱為反向代理服務(wù)。此時代理服務(wù)器對外就表現(xiàn)為一個Web服務(wù)器，外部網(wǎng)絡(luò)就可以簡單把它當(dāng)作一個標(biāo)準(zhǔn)的Web服務(wù)器而不需要特定的配置。不同之處在于，這個服務(wù)器沒有保存任何網(wǎng)頁的真實數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁或者CGI程序，都保存在內(nèi)部的Web服務(wù)器上。因此對反向代理服務(wù)器的攻擊并不會使得網(wǎng)頁信息遭到破壞，這樣就增強了Web服務(wù)器的安全性。
　　反向代理方式和包過濾方式或普通代理方式并無沖突，因此可以在防火墻設(shè)備中同時使用這兩種方式，其中反向代理用于外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時使用，正向代理或包過濾方式用于拒絕其他外部訪問方式并提供內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問能力。因此可以結(jié)合這些方式提供最佳的安全訪問方式。
　　

代理服務(wù)器充當(dāng)服務(wù)器的替身

如果您的內(nèi)容服務(wù)器具有必須保持安全的敏感信息，如信用卡號數(shù)據(jù)庫，可在防火墻外部設(shè)置一個代理服務(wù)器作為內(nèi)容服務(wù)器的替身。當(dāng)外部客戶機嘗試訪問內(nèi)容服務(wù)器時，會將其送到代理服務(wù)器。實際內(nèi)容位于內(nèi)容服務(wù)器上，在防火墻內(nèi)部受到安全保護。代理服務(wù)器位于防火墻外部，在客戶機看來就像是內(nèi)容服務(wù)器。
　　當(dāng)客戶機向站點提出請求時，請求將轉(zhuǎn)到代理服務(wù)器。然后，代理服務(wù)器通過防火墻中的特定通路，將客戶機的請求發(fā)送到內(nèi)容服務(wù)器。內(nèi)容服務(wù)器再通過該通道將結(jié)果回傳給代理服務(wù)器。代理服務(wù)器將檢索到的信息發(fā)送給客戶機，好像代理服務(wù)器就是實際的內(nèi)容服務(wù)器（參見圖 14-1）。如果內(nèi)容服務(wù)器返回錯誤消息，代理服務(wù)器會先行截取該消息并更改標(biāo)頭中列出的任何 URL，然后再將消息發(fā)送給客戶機。如此可防止外部客戶機獲取內(nèi)部內(nèi)容服務(wù)器的重定向 URL。
　　這樣，代理服務(wù)器就在安全數(shù)據(jù)庫和可能的惡意攻擊之間提供了又一道屏障。與有權(quán)訪問整個數(shù)據(jù)庫的情況相對比，就算是僥幸攻擊成功，作惡者充其量也僅限于訪問單個事務(wù)中所涉及的信息。未經(jīng)授權(quán)的用戶無法訪問到真正的內(nèi)容服務(wù)器，因為防火墻通路只允許代理服務(wù)器有權(quán)進行訪問。
　　圖 14-1 反向代理服務(wù)器就像是真正的內(nèi)容服務(wù)器
　　可以配置防火墻路由器，使其只允許特定端口上的特定服務(wù)器（在本例中為其所分配端口上的代理服務(wù)器）有權(quán)通過防火墻進行訪問，而不允許其他任何機器進出。
　　安全反向代理 當(dāng)代理服務(wù)器與其他機器之間有一個或多個連接使用安全套接字層 (SSL) 協(xié)議加密數(shù)據(jù)時，即會進行安全反向代理。
　　安全反向代理有許多用途：
　　可以提供從防火墻外部代理服務(wù)器到防火墻內(nèi)部安全內(nèi)容服務(wù)器的加密連接。
　　可以允許客戶機安全地連接到代理服務(wù)器，從而有利于安全地傳輸信息（如信用卡號）。
　　安全反向代理會造成各安全連接因加密數(shù)據(jù)所涉及的系統(tǒng)開銷而變慢。但是，由于 SSL 提供了高速緩存機制，所以連接雙方可以重復(fù)使用先前協(xié)商的安全參數(shù)，從而大大降低后續(xù)連接的系統(tǒng)開銷。
　　配置安全反向代理服務(wù)器的方法有三種：
　　Secure client to proxy。如果未經(jīng)授權(quán)的用戶很少或根本沒有機會訪問代理服務(wù)器與內(nèi)容服務(wù)器之間交換的信息，則此方案很有效（參見圖 14-2）。
　　圖 14-2 客戶機安全連接到代理服務(wù)器
　　Secure proxy to content server。如果客戶機在防火墻內(nèi)部而內(nèi)容服務(wù)器在防火墻外部，則此方案很有效。在此方案中，代理服務(wù)器可以充當(dāng)站點之間的安全通道（參見圖 14-3）
　　圖 14-3 代理服務(wù)器安全連接到內(nèi)容服務(wù)器
　　Secure client to proxy and secure proxy to content server。如果需要保護服務(wù)器、代理服務(wù)器和客戶機三者間所交換信息的安全，則此方案很有效。在此方案中，代理服務(wù)器既可起到站點間安全通道的作用，又可增加客戶機驗證的安全性（參見圖 14-4）。
　　圖 14-4 客戶機安全連接到代理服務(wù)器并且代理服務(wù)器安全連接到內(nèi)容服務(wù)器
　　有關(guān)如何設(shè)置上述每種配置的信息，參見設(shè)置反向代理服務(wù)器。
　　除了 SSL 之外，代理服務(wù)器還可以使用客戶機驗證，這種方法要求向代理服務(wù)器提出請求的計算機提供證書（或標(biāo)識表單）以核實其身份。

最新評論