反向代理服务器的工作原理

两个反向代理模型。一个模型利用 Proxy Server 的安全特性来处理事务，另一个利用其高速缓存特性在高用量服务器上提供负载平衡。这两个模型与代理服务器习惯用法的区别在于它们并不严格在防火墙上运行。

代理服务器充当服务器的替身

如果您的内容服务器具有必须保持安全的敏感信息，如信用卡号数据库，可在防火墙外部设置一个代理服务器作为内容服务器的替身。当外部客户机尝试访问内容服务器时，会将其送到代理服务器。实际内容位于内容服务器上，在防火墙内部受到安全保护。代理服务器位于防火墙外部，在客户机看来就像是内容服务器。

当客户机向站点提出请求时，请求将转到代理服务器。然后，代理服务器通过防火墙中的特定通路，将客户机的请求发送到内容服务器。内容服务器再通过该通道将结果回传给代理服务器。代理服务器将检索到的信息发送给客户机，好像代理服务器就是实际的内容服务器（参见图 14-1）。如果内容服务器返回错误消息，代理服务器会先行截取该消息并更改标头中列出的任何 URL，然后再将消息发送给客户机。如此可防止外部客户机获取内部内容服务器的重定向 URL。

这样，代理服务器就在安全数据库和可能的恶意攻击之间提供了又一道屏障。与有权访问整个数据库的情况相对比，就算是侥幸攻击成功，作恶者充其量也仅限于访问单个事务中所涉及的信息。未经授权的用户无法访问到真正的内容服务器，因为防火墙通路只允许代理服务器有权进行访问。

图 14-1 反向代理服务器就像是真正的内容服务器

 

 

可以配置防火墙路由器，使其只允许特定端口上的特定服务器（在本例中为其所分配端口上的代理服务器）有权通过防火墙进行访问，而不允许其他任何机器进出。

安全反向代理

当代理服务器与其他机器之间有一个或多个连接使用安全套接字层 (SSL) 协议加密数据时，即会进行安全反向代理。

安全反向代理有许多用途：

可以提供从防火墙外部代理服务器到防火墙内部安全内容服务器的加密连接。
可以允许客户机安全地连接到代理服务器，从而有利于安全地传输信息（如信用卡号）。

安全反向代理会造成各安全连接因加密数据所涉及的系统开销而变慢。但是，由于 SSL 提供了高速缓存机制，所以连接双方可以重复使用先前协商的安全参数，从而大大降低后续连接的系统开销。

配置安全反向代理服务器的方法有三种：

Secure client to proxy。如果未经授权的用户很少或根本没有机会访问代理服务器与内容服务器之间交换的信息，则此方案很有效（参见图 14-2）。

图 14-2 客户机安全连接到代理服务器

 

 

Secure proxy to content server。如果客户机在防火墙内部而内容服务器在防火墙外部，则此方案很有效。在此方案中，代理服务器可以充当站点之间的安全通道（参见图 14-3）

图 14-3 代理服务器安全连接到内容服务器

 

 

Secure client to proxy and secure proxy to content server。如果需要保护服务器、代理服务器和客户机三者间所交换信息的安全，则此方案很有效。在此方案中，代理服务器既可起到站点间安全通道的作用，又可增加客户机验证的安全性（参见图 14-4）。

图 14-4 客户机安全连接到代理服务器并且代理服务器安全连接到内容服务器




 

有关如何设置上述每种配置的信息，参见设置反向代理服务器。

除了 SSL 之外，代理服务器还可以使用客户机验证，这种方法要求向代理服务器提出请求的计算机提供证书（或标识表单）以核实其身份。

负载平衡代理

可以在一个组织内使用多个代理服务器来平衡各 Web 服务器间的网络负载。在此模型中，可以利用代理服务器的高速缓存特性，创建一个用于负载平衡的服务器池。此时，代理服务器可以位于防火墙的任意一侧。如果 Web 服务器每天都会接收大量的请求，则可以使用代理服务器分担 Web 服务器的负载并提高网络访问效率。

对于客户机发往真正服务器的请求，代理服务器起着中间调停者的作用。代理服务器会将所请求的文档存入高速缓存。如果有不止一个代理服务器，DNS 可以采用“循环复用法”选择其 IP 地址，随机地为请求选择路由。客户机每次都使用同一个 URL，但请求所采取的路由每次都可能经过不同的代理服务器。

可以使用多个代理服务器来处理对一个高用量内容服务器的请求，这样做的好处是内容服务器可以处理更高的负载，并且比其独自工作时更有效率。在初始启动期间，代理服务器首次从内容服务器检索文档，此后，对内容服务器的请求数会大大下降。

只有 CGI 请求和偶发的新请求必须一路直达内容服务器。其余的请求可以由代理服务器进行处理。下面对此进行举例说明。假定对服务器的请求中有 90% 都不是 CGI 请求（这表示它们可以进行高速缓存），而且内容服务器每天都会被命中 2 百万次。在此情况下，如果连接三个反向代理服务器，且每个代理服务器每天处理 2 百万次命中，则每天将能够处理大约 6 百万次命中。请求中有 10% 达到内容服务器，合计约为每个代理服务器每天 200,000 次命中，即总数仅为 600,000，从而效率显著提高。命中次数可从大约 2 百万次增加到 6 百万次，而内容服务器的负载却相应地从 2 百万次减少到 600,000 次。实际结果依具体情况而定。

图 14-5 用于负载平衡的代理服务器

 

 

---

设置反向代理服务器

要设置反向代理服务器，需要两个映射：一个正则映射和一个反向映射。

正则映射用于将请求重定向到内容服务器。当客户机从代理服务器请求文档时，代理服务器需要通过正则映射来获知应从何处获取实际文档。

 

---

注意

不能与提供自动配置文件的代理服务器一起使用反向代理服务器。这是因为该代理服务器可能会返回错误的结果。

---

 

反向映射用于为来自内容服务器的重定向产生代理服务器陷阱。代理服务器将截取重定向指令，然后更改重定向的 URL 以映射到代理服务器。例如，如果客户机所请求的文档已移动或未找到，内容服务器将向客户机返回一条消息，说明它无法在请求的 URL 处找到该文档。内容服务器会在该返回消息中添加一个 HTTP 标头，其中列出了用于获取已移动文件的 URL。为了保持内部内容服务器的保密性，代理服务器可以使用反向映射重定向该 URL。

假定您有一个称为 http://http.site.com/ 的 Web 服务器并且想要为它设置一个反向代理服务器。可以将反向代理服务器称为 http://proxy.site.com/。

需按如下步骤创建一个正则映射和一个反向映射：

访问 Server Manager，然后单击 "URLs" 选项卡。
单击 "Create Mapping" 链接。将显示 "Create Mapping" 页面。
在出现的页面中，输入单个映射的信息。例如：

Regular mapping:

Source prefix: http://proxy.site.com

Source destination: http://http.site.com/

单击 "OK"。返回到页面并创建第二个映射：

Reverse mapping:

Source prefix: http://http.site.com/

Source destination: http://proxy.site.com/

要进行更改，请单击 "OK"。

单击 "OK" 按钮后，代理服务器即会添加一个或多个附加映射。要查看映射，请单击称为 "View/Edit Mappings" 的链接。附加映射将具有以下格式：

from: /

to: http://http.site.com/

这些附加的自动映射针对的是以常规服务器形式连接到反向代理服务器的用户。第一个映射用于捕捉以常规代理服务器形式连接到反向代理服务器的用户。根据具体设置，通常只有第二个映射是必需的，但是这两个映射并存不会使代理服务器出现问题。

 

---

注

如果 Web 服务器有若干 DNS 别名，每个别名都应有一个相应的正则映射。如果 Web 服务器用自身的若干 DNS 别名生成重定向，这些别名中的每一个都应有一个相应的反向映射。

---

 

CGI 应用程序仍在原始服务器上运行，代理服务器从不亲自运行 CGI 应用程序。但是，如果 CGI 脚本指示结果可以进行高速缓存（通过发出 Last-modified 或 Expires 标头暗示存活时间非零），则代理服务器将会高速缓存结果。

 

---

注意

为 Web 服务器制作内容时，请牢记反向代理服务器也将为该内容提供服务，因此，指向 Web 服务器上文件的所有链接都应为相对链接。HTML 文件中决不能含有对主机名的引用，也就是说，所有链接都必须为页面链接：

/abc/def

而不能是全限定主机名，例如：

http://http.site.com/abc/def

---

 

设置安全反向代理服务器

设置安全反向代理服务器需要具备数字证书、证书授权机构和验证方面的知识。

设置安全反向代理服务器大体上与设置非安全反向代理服务器相同。唯一的区别是需要指定 HTTPS 作为要加密文件的协议。

以下指导说明阐述了如何根据所选择的配置方案来设置安全反向代理服务器。为了演示如何设置映射，这些指导说明假定您有一个称为 http.site.com 的 Web 服务器，并且您想要设置一个称为 proxy.site.com 的安全反向代理服务器。按所述步骤进行操作时，请用您的 Web 服务器和代理服务器的名称替代指示说明中使用的示例名称。

Secure Client to Proxy

访问 Server Manager，然后单击 "URLs" 选项卡。
单击 "Create Mapping" 链接。将显示 "Create Mapping" 页面。
在出现的页面中，采用以下方式设置正则映射和反向映射：

Regular mapping:

Source prefix: https://proxy.mysite.com

Source destination: http://http.mysite.com/

Reverse mapping:

Source prefix: http://http.mysite.com/

Source destination: https://proxy.mysite.com/

保存并应用所做的更改。

要查看刚刚创建的映射，请单击称为 "View/Edit Mappings" 的链接。

---

注

此配置仅在代理服务器以安全模式运行时才起作用。换言之，必须启用加密，而且必须从命令行重新启动代理服务器。要从命令行重新启动代理服务器，请转到代理目录，然后键入 ./start。

---

 

Secure Proxy to Content Server

访问 Server Manager，然后单击 "URLs" 选项卡。
单击 "Create Mapping" 链接。将显示 "Create Mapping" 页面。
在出现的页面中，采用以下方式设置正则映射和反向映射：

Regular mapping:

Source prefix: http://proxy.mysite.com

Source destination: https://http.mysite.com/

Reverse mapping:

Source prefix: https://http.mysite.com/

Source destination: http://proxy.mysite.com/

保存并应用所做的更改。要查看刚刚创建的映射，请单击称为 "View/Edit Mappings" 的链接。

 

---

注

此配置仅在内容服务器以安全模式运行时才起作用。

---

 

Secure Client to Proxy and Secure Proxy to Content Server

访问 Server Manager，然后单击 "URLs" 选项卡。
单击 "Create Mapping" 链接。将显示 "Create Mapping" 页面。
在出现的页面中，采用以下方式设置正则映射和反向映射：

Regular mapping:

Source prefix: https://proxy.mysite.com

Source destination: https://http.mysite.com/

Reverse mapping:

Source prefix: https://http.mysite.com/

Source destination: https://proxy.mysite.com/

保存并应用所做的更改。要查看刚刚创建的映射，请单击称为 "View/Edit Mappings" 的链接。

---

注

此配置仅在代理服务器和内容服务器以安全模式运行时才起作用。换言之，必须为代理服务器启用加密，而且必须从命令行重新启动代理服务器。要从命令行重新启动代理服务器，请转到代理目录，然后键入 ./restart。

---

反向代理服务器中的虚拟多重主机

利用虚拟多重主机特性，原始服务器（就本处而言，即为反向代理服务器）可以响应多个 DNS 别名，就好像其中的每个地址都安装了不同的服务器。例如，可有以下 DNS 主机名：

www
specs
phones

其中的每一个都可以映射到同一 IP 地址（反向代理服务器的 IP 地址）。然后，即可使反向代理服务器根据访问它时所用的 DNS 名做出不同的反应。

虚拟多重主机还允许您将单个反向代理服务器作为多个不同 ^*域^* 的宿主服务器。例如：

www.domain-1.com
www.domain-2.com
www.domain-3.com

请注意，可以将多个本地主机名以及多个域全都组合在单个代理服务器中：

www
specs
phones
www.domain-1.com
www.domain-2.com
www.domain-3.com