代理服務器是使用非常普遍的一種將局域網主機聯入互聯網的一種方式,使用代理上網可以節約緊缺的IP地址資源,而且可以阻斷外部主機對內部主機的訪問,使 內部網主機免受外部網主機的攻擊。但是,如果想讓互聯網上的主機訪問內部網的主機資源(例如:Web站點),又想使內部網主機免受外部網主機攻擊,一般的 代理服務是不能實現的,需要使用反向代理來實現。
本文將詳細介紹反向代理服務的概念以及如何利用反向代理服務器提高WEB服務器的性能和安全性。
一.反向代理的概念
什么是反向代理呢?其實,反向代理也就是通常所說的WEB服務器加速,它是一種通過在繁忙的WEB服務器和Internet之間增加一個高速的WEB緩沖服務器(即:WEB反向代理服務器)來降低實際的WEB服務器的負載。典型的結構如下圖所示:
Web服務器加速(反向代理)是針對Web服務器提供加速功能的。它作為代理Cache,但并不針對瀏 覽器用戶,而針對一臺或多臺特定Web服務器(這也是反向代理名稱的由來)。實施反向代理(如上圖所示),只要將Reverse Proxy Cache設備放置在一臺或多臺Web服務器前端即可。當互聯網用戶訪問某個WEB服務器時,通過DNS服務器解析后的IP地址是Reverse Proxy Server的IP地址,而非原始Web服務器的IP地址,這時Reverse Proxy Server設備充當Web服務器,瀏覽器可以與它連接,無需再直接與Web服務器相連。因此,大量Web服務工作量被卸載到反向代理服務上。不但能夠防 止外部網主機直接和web服務器直接通信帶來的安全隱患,而且能夠很大程度上減輕web服務器的負擔,提高訪問速度。
二. 反向代理和其它代理的比較
下面將對幾種典型的代理服務作一個簡單的比較。在網絡上常見的代理服務器有三種:
1. 標準的代理緩沖服務器
一個標準的代理緩沖服務被用于緩存靜態的網頁(例如:html文件和圖片文件等)到本地網絡上的一臺主機上(即代理服務器)。當被緩存的頁面被第二次訪問的時候,瀏覽器將直接從本地代理服務器那里獲取請求數據而不再向原web站點請求數據。這樣就節省了寶貴的網絡帶寬,而且提高了訪問速度。但是,要想實現這種方式,必須在每一個內部主機的瀏覽器上明確指明代理服務器的IP地址和端口號。客戶端上網時,每次都把請求送給代理服務器處理,代理服務器根據請求確定是否連接到遠程web服務器獲取數據。如果在本地緩沖區有目標文件,則直接將文件傳給用戶即可。如果沒有的話則先取回文件,先在本地保存一份緩沖,然后將文件發給客戶端瀏覽器。
2. 透明代理緩沖服務器
透明代理緩沖服務和標準代理服務器的功能完全相同。但是,代理操作對客戶端的瀏覽器是透明的(即不需指 明代理服務器的IP和端口)。透明代理服務器阻斷網絡通信,并且過濾出訪問外部的HTTP(80端口)流量。如果客戶端的請求在本地有緩沖則將緩沖的數據 直接發給用戶,如果在本地沒有緩沖則向遠程web服務器發出請求,其余操作和標準的代理服務器完全相同。對于Linux操作系統來說,透明代理使用 Iptables或者Ipchains實現。因為不需要對瀏覽器作任何設置,所以,透明代理對于ISP(Internet服務器提供商)特別有用。
3. 反向代理緩沖服務器
反向代理是和前兩種代理完全不同的一種代理服務。使用它可以降低原始WEB服務器的負載。反向代理服務器承擔了對原始WEB服務器的靜態頁面的請求,防止原始服務器過載。它位于本地WEB服務器和Internet之間,處理所有對WEB服務器的請求,阻止 了WEB服務器和Internet的直接通信。如果互聯網用戶請求的頁面在代理服務器上有緩沖的話,代理服務器直接將緩沖內容發送給用戶。如果沒有緩沖則先向WEB服務器發出請求,取回數據,本地緩存后再發送給用戶。這種方式通過降低了向WEB服務器的請求數從而降低了WEB服務器的負載。
三.反向代理工作原理
反向代理服務器位于本地WEB服務器和Internet之間,如下圖所示:
當用戶瀏覽器發出一個HTTP請求時,通過域名解析將請求定向到反向代理服務器(如果要實現多個WEB 服務器的反向代理,需要將多個WEB服務器的域名都指向反向代理服務器)。由反向代理服務器處理器請求。反向代理一般只緩存可緩沖的數據(比如html網 頁和圖片等),而一些CGI腳本程序或者ASP之類的程序不緩存。它根據從WEB服務器返回的HTTP頭標記來緩沖靜態頁面。有四個最重要HTTP頭標 記:
- Last-Modified: 告訴反向代理頁面什么時間被修改
- Expires: 告訴反向代理頁面什么時間應該從緩沖區中刪除
- Cache-Control: 告訴反向代理頁面是否應該被緩沖
- Pragma: 告訴反向代理頁面是否應該被緩沖.
例如:在默認情況下,ASP頁面返回” Cache-control: private.” ,所以ASP頁面時不會在反向代理服務器緩存的
反向代理服務器(Reverse Proxy Server)一般被置于源服務器的前端,如圖中所示。它配備有大容量的內存和高速磁盤,用于緩存客戶的請求,所以反向代理服務器又稱為加速服務器。
圖:反向代理服務器
對于客戶送過來的請求,反向代理服務器的工作方式如下:
· 使用反向代理服務器后,客戶端送過來的請求會首先送到反向代理服務器。
· 反向代理服務器先查自己緩存的內容(動態內容或靜態內容)。
· 如果客戶請求內容在緩存中,則直接將結果反饋給客戶,此次請求完成。
· 如果客戶請求內容不在緩存中,它會根據后面的各個HTTP服務器(或內容服務器)的運行情況,做負載均衡處理,將請求進一步送到某個http 服務器(或內容服務器)。
· 后端服務器作處理后,反饋結果給反向代理服務器。
· 對于后端服務器反饋過來的結果,它會將結果緩存(動態內容或靜態內容)起來,并進一步送給客戶端,此次請求完成。
反向代理服務器通常要為一個請求同時維護兩個會話:與客戶端的會話和與后端服務器的對話。和普通的代理不同,反向代理服務器一般只代理一臺或者有限的幾臺服務器,對于客戶而言,反向代理服務器對于他們就相當于源服務器,對于源服務器而言,反向代理服務器通常就是唯一的客戶,因為一般客戶不和源服務器直接通信。典型情況下,源服務器對于客戶或者客戶對于源服務器,都是不可見的。
反向代理服務器的作用
代理服務器起著客戶機中繼站的作用。它轉發請求并接收響應,這使它成為高速緩存結果以便重用的理想場所。這類代理服務器稱為高速緩存代理,它具有以下作用:
· 加快對客戶的響應時間,減輕后端源服務器(即內容服務器)負載
使用反向代理服務器后,由于它具有大容量緩存,可以緩存多個靜態/動態頁面,當有客戶請求送過來時,如能夠直接在緩存中找到請求結果,就可以直接反饋給客戶,而不用再將請求送給后端服務器。這樣就加快了對客戶的響應時間,同時也減輕了后端源服務器的負載。
· 保障后端源服務器(即內容服務器)的安全
對Internet上的客戶端而言,它只能接觸到反向代理服務器,因此反向代理服務器就成為后端服務器的屏障,保障了后端服務器的安全。
· 減少源服務器(即內容服務器)節點之間占用的網絡帶寬
使用反向代理服務器后,它具有的大容量緩存可以減少源服務器的網絡通訊量。這樣就減少源服務器(即內容服務器)節點之間占用的網絡帶寬。
· 對源服務器進行負載均衡(Load Balance)。
當后端源服務器有多個時,反向代理服務器可以根據后端各個服務器當前負載情況,做負載均衡處理,有選擇的將當前請求送給最空閑的后端服務器。