反向代理（Reverse Proxy）方式是指以代理服務(wù)器來接受internet上的連接請求，然后將請求轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)上的服務(wù)器，并將從服務(wù)器上得到的結(jié)果返回給internet上請求連接的客戶端，此時代理服務(wù)器對外就表現(xiàn)為一個服務(wù)器。

反向代理的概述[ ]

通常的代理服務(wù)器，只用于代理內(nèi)部網(wǎng)絡(luò)對Internet的連接請求，客戶機必須指定代理服務(wù)器,并將本來要直接發(fā)送到Web服務(wù)器上的http請求發(fā)送到代理服務(wù)器中。由于外部網(wǎng)絡(luò)上的主機并不會配置并使用這個代理服務(wù)器，普通代理服務(wù)器也被設(shè)計為在Internet上搜尋多個不確定的服務(wù)器,而不是針對Internet上多個客戶機的請求訪問某一個固定的服務(wù)器，因此普通的Web代理服務(wù)器不支持外部對內(nèi)部網(wǎng)絡(luò)的訪問請求。當(dāng)一個代理服務(wù)器能夠代理外部網(wǎng)絡(luò)上的主機，訪問內(nèi)部網(wǎng)絡(luò)時，這種代理服務(wù)的方式稱為反向代理服務(wù)。此時代理服務(wù)器對外就表現(xiàn)為一個Web服務(wù)器，外部網(wǎng)絡(luò)就可以簡單把它當(dāng)作一個標(biāo)準(zhǔn)的Web服務(wù)器而不需要特定的配置。不同之處在于，這個服務(wù)器沒有保存任何網(wǎng)頁的真實數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁或者CGI程序，都保存在內(nèi)部的Web服務(wù)器上。因此對反向代理服務(wù)器的攻擊并不會使得網(wǎng)頁信息遭到破壞，這樣就增強了Web服務(wù)器的安全性。

反向代理方式和包過濾方式或普通代理方式并無沖突，因此可以在防火墻設(shè)備中同時使用這兩種方式，其中反向代理用于外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時使用，正向代理或包過濾方式用于拒絕其他外部訪問方式并提供內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問能力。因此可以結(jié)合這些方式提供最佳的安全訪問方式。

反向代理的用途[ ]

安全反向代理有許多用途：

• 可以提供從防火墻外部代理服務(wù)器到防火墻內(nèi)部安全內(nèi)容服務(wù)器的加密連接。
• 可以允許客戶機安全地連接到代理服務(wù)器，從而有利于安全地傳輸信息（如信用卡號）。
• 安全反向代理會造成各安全連接因加密數(shù)據(jù)所涉及的系統(tǒng)開銷而變慢。但是，由于SSL提供了高速緩存機制，所以連接雙方可以重復(fù)使用先前協(xié)商的安全參數(shù)，從而大大降低后續(xù)連接的系統(tǒng)開銷。

配置安全反向代理服務(wù)器的方法[ ]

配置安全反向代理服務(wù)器的方法有三種：

• Secure client to proxy。如果未經(jīng)授權(quán)的用戶很少或根本沒有機會訪問代理服務(wù)器與內(nèi)容服務(wù)器之間交換的信息，則此方案很有效；
• Secure proxy to content server。如果客戶機在防火墻內(nèi)部而內(nèi)容服務(wù)器在防火墻外部，則此方案很有效。在此方案中，代理服務(wù)器可以充當(dāng)站點之間的安全通道；
• Secure client to proxy and secure proxy to content server。如果需要保護服務(wù)器、代理服務(wù)器和客戶機三者間所交換信息的安全，則此方案很有效。在此方案中，代理服務(wù)器既可起到站點間安全通道的作用，又可增加客戶機驗證的安全性；

相關(guān)條目[ ]

• 代理服務(wù)器

參考來源[ ]

• http://baike.baidu.com/view/1165595.htm