Mi az a fordított proxy? A biztonsági architektúra alapvető összetevői

A fordított proxy szerverek közbenső hálózati komponenseként szolgálnak a nyilvános online szolgáltatások szervereinek biztonságához. A szerverek nevében fogadják a szerverkérelmeket, és továbbítják azokat a felhasználóknak.

Hogyan működik a fordított proxy?

Lényegében a proxy szerver a hálózatban kommunikációs közvetítőként működik, fogadja a kéréseket, és azokat a kliens nevében továbbítja a célszervernek. A fordított proxy az ügyfelek (pl. webböngészők) és a háttérszerverek (pl. webszerverek, adatbázis-szerverek vagy alkalmazások) között helyezkedik el. Akkor aktiválódik, amikor egy ügyfél kérését kapja, és eldönti, hogy a kérést továbbítsa-e, és ha igen, akkor melyik belső szerverkomponensnek. A folyamat a következő négy alapvető lépésből áll:

1. Az ügyfél kérésének fogadása: A fordított proxy elfogadja a HTTP, HTTPS vagy más kérések, például FTP vagy WebSocket kérések.
2. A kérelem elemzése: A proxy megvizsgálja, hogy a kérelem érvényes-e, jelent-e biztonsági kockázatot, és van-e elérhető cache-elt verziója.
3. Továbbítás a megfelelő szerverhez: Ha a kérésre nem lehet a cache-ből válaszolni, a fordított proxy a kérést az egyik belső szerverhez továbbítja.
4. Válasz az ügyfélnek: A fordított proxy megkapja a választ a háttérszerverről, szükség esetén tovább feldolgozza (pl. titkosítás), majd visszaküldi a kérő ügyfélnek.

Mi a különbség a forward proxy-kkal szemben?

Míg a korábban említett fordított proxy szerverek az ügyfelek és a háttérszerverek között helyezkednek el, az előre irányított proxy szerverek az ügyfelek és az internet között helyezkednek el. Az előre irányított proxy szerverek az összes ügyfélkérelmet továbbítják, és saját feladó címükkel továbbítják azokat az interneten található célszervereknek. A szerver válaszai is először a proxyhoz érkeznek, mielőtt továbbítják őket a megfelelő kliens eszközökhöz. Ezek névtelenek maradnak, kivéve, ha átlátszó proxyról van szó. Míg az előre irányuló proxy a belső hálózatban lévő klienseket védi a külső fenyegetésektől, a fordított proxy a nyilvános hálózatban lévő szervereket védi és optimalizálja azok elérhetőségét.

Míg a fordított proxy szerverek olyan funkciók révén egyértelmű előnyöket kínálnak a szerverstruktúrák számára, mint a terheléselosztás és a különböző biztonsági funkciók, az előre irányuló proxy szerverek erőssége a kliens védelmében rejlik.

A fordított proxy alkalmazási területei

Az ügyfélkérelmek csomagolása lehetővé teszi a fordított proxy szerverek számára a bejövő forgalom hatékony ellenőrzését. Ez többek között lehetővé teszi, hogy ugyanazon URL alatt több szervert is biztosítsanak, a kérelmeket egyenletesen osszák el a különböző szerverek között, és a gyorsítótár segítségével felgyorsítsák az adatok lekérését. Az alábbiakban bemutatjuk a fordított proxy szerver legfontosabb alkalmazási területeit.

Terheléselosztás

Az előtérben elhelyezett fordított proxy lehetővé teszi, hogy egy URL-t a magánhálózat különböző szervereivel összekapcsoljanak. Ez a bejövő kéréseket több szerver között osztja szét. Az ilyen terheléselosztás megakadályozza az egyes rendszerek túlterhelését és kompenzálja a meghibásodásokat. Ha egy szerver hardver- vagy szoftverhiba miatt elérhetetlen, a proxy terheléselosztó modulja a bejövő kéréseket a többi szerverre osztja szét. Ez biztosítja a szerver szolgáltatások rendelkezésre állását még meghibásodások esetén is.

Gyorsítótár

A szerver szolgáltatások felgyorsítása érdekében a fordított proxy szerverek olyan funkciót kínálhatnak, amely lehetővé teszi a gyakran lekért tartalmak gyorsítótárazását. Ez a gyorsítótárazás lehetővé teszi a proxy szerver számára, hogy az ismétlődő kéréseket részben vagy teljesen önállóan megválaszolja. A statikus tartalmak, például a képek vagy a CSS stíluslapok a proxy gyorsítótárában kerülnek tárolásra. Ennek eredményeként alig vagy egyáltalán nem kell adatokat lekérni a háttérszerverről, ami jelentősen felgyorsítja a webszolgáltatásokhoz való hozzáférést. Mivel azonban a gyorsan változó tartalom nem mindig garantálja, hogy a proxy gyorsítótárában a legfrissebb verzió található, fennáll a kockázata, hogy elavult információkat továbbítanak a kérő klienseknek.

Védelmi és biztonsági intézkedések

A fordított proxy egyfajta pajzsként működik a háttérszerverek számára, és ebben a szerepkörben különböző biztonsági funkciókat tud nyújtani:

• DDoS védelem: A fordított proxy szerverek képesek felismerni és blokkolni a gyanús vagy szokatlanul nagy forgalmat DDoS támadások során, mielőtt az eléri a háttérszervereket.
• Webalkalmazás-tűzfal (WAF): Sok fordított proxy tartalmaz egy WAF-ot, amely képes szűrni a rosszindulatú kéréseket, mint például az SQL-behatolások vagy a Cross-Site Scripting (XSS).
• IP-fehérlista és feketelista: A fordított proxy szükség esetén blokkolhat bizonyos IP-címeket, vagy csak meghatározott hálózatokból engedélyezhet kapcsolatokat.
• Háttérszerverek elrejtése: A fordított proxy megakadályozza, hogy a háttérszerverek belső IP-címei nyilvánosan láthatóak legyenek, ami megnehezíti a támadásokat.

Titkosítás

A háttérszerverek terhelésének csökkentése érdekében a titkosításhoz fordított proxy szerverek is használhatók. Ebben az esetben a kliens SSL/TLS-kérését (pl. HTTPS-kapcsolat) visszafejtik, a visszafejtett adatokat továbbítják a háttérszervereknek, és a megfelelő választ ismét titkosítva visszaküldik a kliensnek. A belső kommunikáció titkosítva vagy titkosítás nélkül is történhet.

Anonimizálás

A fordított proxy a forgalom anonimizálására is használható azáltal, hogy elrejti az ügyfelek eredeti IP-címeit, vagy azokat a saját IP-címeivel helyettesíti. Ez segít megvédeni az ügyfelek magánéletét, mivel a tényleges IP-címek nem lesznek láthatóak a naplófájlokban. Ezenkívül ez lehetővé teszi a földrajzi terheléselosztást: a kérések a felhasználó földrajzi helyétől függően a legközelebbi szerverre irányíthatók.

Tömörítés

A megfelelő szoftverrel a fordított proxy használható a bejövő és kimenő adatok tömörítésére. A weboldalak tömörítésére népszerű program a gzip, amelyet gyakran az Apache vagy NGINX webszerverekkel együtt használnak.