反向代理服務(wù)器（或反向代理）促進(jìn)用戶(hù)對(duì) Web 服務(wù)器/應(yīng)用程序服務(wù)器的請(qǐng)求和服務(wù)器的響應(yīng)。負(fù)載均衡器接收用戶(hù)請(qǐng)求，將它們相應(yīng)地分配給一組服務(wù)器，然后將每個(gè)服務(wù)器的響應(yīng)轉(zhuǎn)發(fā)給其各自的用戶(hù)。從上面的簡(jiǎn)要定義可以看出，反向代理和負(fù)載均衡器有一些重疊的功能。

例如，它們都充當(dāng)在客戶(hù)端-服務(wù)器模型中轉(zhuǎn)發(fā)請(qǐng)求和響應(yīng)的中間節(jié)點(diǎn)。雖然它們?cè)诒砻嫔峡雌饋?lái)相似，但它們是兩種不同的架構(gòu)，在網(wǎng)絡(luò)安全中扮演著不同的角色。本文詳細(xì)解開(kāi)反向代理和負(fù)載均衡器之間的差異，以消除兩者之間的任何混淆。

什么是反向代理服務(wù)器？

反向代理服務(wù)器是用戶(hù)和 Web 服務(wù)器之間的中間設(shè)備或應(yīng)用程序。反向代理是一種代理服務(wù)器，旨在通過(guò)確保用戶(hù)永遠(yuǎn)不會(huì)與原始服務(wù)器直接通信來(lái)增強(qiáng) Web 服務(wù)器的安全性。

反向代理如何工作？

典型的反向代理操作如下：

1. 用戶(hù)發(fā)出HTTP請(qǐng)求（通過(guò)防火墻），例如將網(wǎng)站的 URL 輸入到他們的 Web 瀏覽器中。
2. 反向代理接收用戶(hù)的請(qǐng)求。
3. 反向代理“允許”或“拒絕”用戶(hù)的請(qǐng)求。
4. 如果允許，反向代理會(huì)將請(qǐng)求轉(zhuǎn)發(fā)到 Web 服務(wù)器。如果被拒絕，它會(huì)向用戶(hù)發(fā)送錯(cuò)誤或重定向消息。
5. Web 服務(wù)器將響應(yīng)（網(wǎng)站數(shù)據(jù)）發(fā)送回反向代理。
6. 反向代理將服務(wù)器的響應(yīng)轉(zhuǎn)發(fā)給用戶(hù)。

反向代理從它們的配置方式接收它們的名稱(chēng)——“反向”到標(biāo)準(zhǔn)代理服務(wù)器（或正向代理）。正向代理位于用戶(hù)和 Internet 之間，而反向代理位于網(wǎng)絡(luò)邊緣和 Internet 之間。

反向代理的類(lèi)型

反向代理有硬件和軟件兩種形式。

有許多流行的開(kāi)源反向代理軟件解決方案，例如：

• Apache HTTP 服務(wù)器
• 阿帕奇交通服務(wù)器
• HAProxy
• NGINX
• 磅
• Tr?f?k
• 清漆 HTTP 緩存

Web 應(yīng)用程序防火墻 (WAF) 是一種反向代理，通常部署在商業(yè)用例中。WAF 監(jiān)控 Web 流量并保護(hù)組織的 Web 應(yīng)用程序免受網(wǎng)絡(luò)攻擊，例如SQL 注入、敏感數(shù)據(jù)盜竊、跨站點(diǎn)腳本和其他漏洞。另一種類(lèi)型的反向代理是第 7 層負(fù)載均衡器。第 7 層負(fù)載均衡器將 Web 請(qǐng)求分發(fā)到多個(gè)服務(wù)器，以提高客戶(hù)端網(wǎng)絡(luò)性能和用戶(hù)體驗(yàn)。

反向代理的好處

雖然反向代理的主要目標(biāo)是保護(hù)服務(wù)器端操作，但它的功能為客戶(hù)端和服務(wù)器都提供了好處。

增強(qiáng)的安全性

• 威脅防護(hù)：由于位于網(wǎng)絡(luò)邊緣，反向代理可防止惡意客戶(hù)端直接訪問(wèn)和利用組織內(nèi)部網(wǎng)絡(luò)中的 任何漏洞。
• 隱私：反向代理隱藏源服務(wù)器的 IP 地址以增加數(shù)據(jù)安全性，防止 Internet 服務(wù)提供商 (ISP)、Web 服務(wù)和數(shù)據(jù)中心監(jiān)控其流量并可能導(dǎo)致數(shù)據(jù)泄露。
• 過(guò)濾：它們能夠?qū)⒛承┛蛻?hù)端 IP 地址列入黑名單并限制客戶(hù)端可以發(fā)起的連接數(shù)量，這有助于防止DDoS 攻擊。

負(fù)載均衡

組織可以使用反向代理在多個(gè)后端服務(wù)器之間均勻高效地分配流量。負(fù)載平衡有助于防止站點(diǎn)關(guān)閉，因?yàn)樵诎l(fā)生網(wǎng)絡(luò)中斷或 DDoS 攻擊時(shí)，流量可以重新路由到備用服務(wù)器（而不是依賴(lài)于一臺(tái)服務(wù)器）。

網(wǎng)絡(luò)加速

反向代理可實(shí)現(xiàn)更快的 Web 服務(wù)器響應(yīng)時(shí)間，改善站點(diǎn)加載時(shí)間和用戶(hù)體驗(yàn)。他們使用各種網(wǎng)絡(luò)加速技術(shù)來(lái)實(shí)現(xiàn)更高的速度。

• 緩存：每次 Web 服務(wù)器發(fā)送響應(yīng)時(shí)，反向代理都會(huì)存儲(chǔ)它的本地副本。下次用戶(hù)發(fā)出相同的請(qǐng)求時(shí)，代理可以直接響應(yīng)用戶(hù)，而不是把請(qǐng)求轉(zhuǎn)發(fā)到 Web 服務(wù)器，減少了響應(yīng)時(shí)間，也減輕了服務(wù)器的負(fù)載。
• 壓縮：反向代理使用壓縮算法來(lái)減少發(fā)送服務(wù)器響應(yīng)所需的帶寬，從而提高流量速度。
• SSL/TLS 卸載：反向代理可以對(duì)所有傳入的請(qǐng)求和響應(yīng) 執(zhí)行 SSL加密和身份驗(yàn)證。

由于代理充當(dāng)SSL連接的端點(diǎn)而不是 Web 服務(wù)器，因此 Web 服務(wù)器可以更快地提供內(nèi)容。

什么是負(fù)載均衡器？

負(fù)載均衡器充當(dāng)用戶(hù)和一組服務(wù)器之間的中介。負(fù)載平衡器用于減輕高流量服務(wù)器的壓力。它們將客戶(hù)端請(qǐng)求路由到最合適的服務(wù)器，從而最大限度地提高網(wǎng)絡(luò)速度和效率。通過(guò)確保運(yùn)營(yíng)效率，負(fù)載平衡器可幫助組織為其 IT 基礎(chǔ)架構(gòu)建立可擴(kuò)展的基礎(chǔ)。

負(fù)載均衡器如何工作？

通常，負(fù)載均衡器的操作如下：

1. 用戶(hù)發(fā)出請(qǐng)求，例如 HTTP 請(qǐng)求——將網(wǎng)站的 URL 輸入到他們的 Web 瀏覽器中。
2. 負(fù)載均衡器接收用戶(hù)的請(qǐng)求。
3. 負(fù)載均衡器將請(qǐng)求發(fā)送到一組不同服務(wù)器中的單個(gè)服務(wù)器。
4. 所選服務(wù)器將響應(yīng)（網(wǎng)站數(shù)據(jù)）發(fā)送回負(fù)載平衡器。
5. 負(fù)載均衡器將服務(wù)器的響應(yīng)轉(zhuǎn)發(fā)給用戶(hù)。

雖然上面的示例解釋了負(fù)載均衡器如何處理 Web 請(qǐng)求，但負(fù)載均衡器可以支持許多其他協(xié)議，具體取決于它們的類(lèi)型。負(fù)載均衡器選擇將用戶(hù)請(qǐng)求轉(zhuǎn)發(fā)到哪個(gè)服務(wù)器的方式取決于它使用的算法。

負(fù)載平衡算法

負(fù)載平衡算法是一組規(guī)則，用于確定在一組不同的服務(wù)器中選擇哪個(gè)服務(wù)器。

有幾種類(lèi)型的負(fù)載平衡算法。

• 哈希：根據(jù)預(yù)定義的密鑰選擇服務(wù)器，例如客戶(hù)端的 IP 地址。 ?
• 最少連接：向處理最少現(xiàn)有客戶(hù)端連接的服務(wù)器發(fā)送請(qǐng)求。?
• 最短響應(yīng)時(shí)間：使用最快響應(yīng)時(shí)間和最少活動(dòng)連接的組合公式。?
• 兩種選擇的力量：隨機(jī)選擇兩臺(tái)服務(wù)器，然后選擇具有最少活動(dòng)連接的服務(wù)器。 ?
• Round Robin：以順序方式在服務(wù)器之間分發(fā)請(qǐng)求。

負(fù)載均衡器的類(lèi)型

負(fù)載均衡器按照它們使用的數(shù)字系統(tǒng)以及它們運(yùn)行的??開(kāi)放系統(tǒng)互連 (OSI) 模型的特定層進(jìn)行分類(lèi)。

數(shù)字系統(tǒng)負(fù)載均衡器

硬件負(fù)載平衡器設(shè)備

硬件負(fù)載平衡器設(shè)備通常在數(shù)據(jù)中心中找到。它們是通常在傳輸層 (L4) 或應(yīng)用層 (Layer 7) 上運(yùn)行的物理設(shè)備。

軟件負(fù)載均衡器 (SLB)

軟件負(fù)載平衡器可作為負(fù)載平衡器即服務(wù) (LBaaS) 購(gòu)買(mǎi)，例如，作為應(yīng)用交付控制器 (ADC) 的一個(gè)功能，或者可以直接安裝到服務(wù)器上。

OSI 層的負(fù)載均衡器

應(yīng)用程序負(fù)載均衡器（7 級(jí)負(fù)載均衡器或反向代理）

應(yīng)用程序負(fù)載均衡器在 OSI 模型的第 7 層（最高層）上運(yùn)行。它根據(jù)應(yīng)用程序級(jí)變量（例如 URL、HTTP 標(biāo)頭和 SSL）分發(fā) Web 請(qǐng)求。第 7 層負(fù)載均衡器是一個(gè)反向代理，因?yàn)樗幚響?yīng)用程序級(jí)別的請(qǐng)求——HTTP 運(yùn)行的層。

網(wǎng)關(guān)負(fù)載均衡器

網(wǎng)關(guān)負(fù)載平衡器在第 3 層 (L3) 上運(yùn)行。由于所有流量都流經(jīng)一個(gè)入口和出口點(diǎn)，因此易于擴(kuò)展。

全局服務(wù)器負(fù)載均衡器

全局服務(wù)器負(fù)載均衡器可以連接到世界各地的服務(wù)器。它響應(yīng)來(lái)自地理上最接近請(qǐng)求用戶(hù)的服務(wù)器的用戶(hù)請(qǐng)求。

網(wǎng)絡(luò)負(fù)載均衡器（四級(jí)負(fù)載均衡器）

網(wǎng)絡(luò)負(fù)載平衡器在第 4 層 (L4) 上運(yùn)行。它根據(jù)網(wǎng)絡(luò)變量分配流量，包括 IP 協(xié)議、源 IP、源端口、目標(biāo) IP 和目標(biāo)端口。

負(fù)載均衡器的好處

負(fù)載平衡器能夠在多個(gè)高流量服務(wù)器之間有效地分配用戶(hù)請(qǐng)求的能力為客戶(hù)端-服務(wù)器模型提供了許多互惠互利的好處。

增強(qiáng)的用戶(hù)體驗(yàn)

負(fù)載均衡器執(zhí)行健康檢查以識(shí)別服務(wù)器中斷，然后將用戶(hù)流量重新路由到正常運(yùn)行的服務(wù)器。他們通過(guò)攔截給用戶(hù)的錯(cuò)誤響應(yīng)消息或向服務(wù)器發(fā)送直接請(qǐng)求來(lái)進(jìn)行健康檢查，這些請(qǐng)求需要特定的響應(yīng)來(lái)表明服務(wù)器是健康的。負(fù)載均衡器在服務(wù)器錯(cuò)誤事件中的干預(yù)意味著用戶(hù)體驗(yàn)到的錯(cuò)誤消息要少得多并避免響應(yīng)延遲。

更高的可靠性

負(fù)載均衡器在多服務(wù)器部署中實(shí)現(xiàn)，確保請(qǐng)求均勻高效地分布。通過(guò)防止服務(wù)器過(guò)載和流量瓶頸，負(fù)載均衡器為用戶(hù)提供了更高的可靠性。許多服務(wù)器而不是單個(gè)服務(wù)器的可用性確保了用戶(hù)請(qǐng)求仍然得到滿(mǎn)足，即使在發(fā)生中斷的情況下也是如此。

會(huì)話(huà)持久性

由于HTTP/S是一種無(wú)狀態(tài)協(xié)議，會(huì)話(huà)持久性并不直觀，但對(duì)于許多應(yīng)用程序有效執(zhí)行而言是必需的。例如，電子商務(wù)網(wǎng)站等 Web 應(yīng)用程序依靠會(huì)話(huà)持久性來(lái)保持購(gòu)物籃處于活動(dòng)狀態(tài)。負(fù)載平衡器確保特定用戶(hù)（即來(lái)自特定 IP 地址）的請(qǐng)求在會(huì)話(huà)期間始終發(fā)送到同一臺(tái)服務(wù)器。

反向代理和負(fù)載均衡器有什么區(qū)別？

反向代理和負(fù)載均衡器都提高了應(yīng)用交付網(wǎng)絡(luò)的性能，但它們?cè)谶@種優(yōu)化中扮演的角色并不完全相同。反向代理特別是 7 級(jí)負(fù)載均衡器，專(zhuān)門(mén)處理 Web 請(qǐng)求。負(fù)載均衡器可以在 OSI 模型的 3-7 級(jí)上運(yùn)行，在 Web 請(qǐng)求之上處理多種類(lèi)型的請(qǐng)求，例如 DNS、SSL、TCP。

反向代理可以執(zhí)行負(fù)載均衡器的其他角色。例如，反向代理還可以：

• 作為 WAF 運(yùn)行
• 執(zhí)行 Web 加速，例如緩存、TLS/SSL 卸載、壓縮
• 提供網(wǎng)絡(luò)安全 機(jī)制，例如威脅防護(hù)、IP隱藏、網(wǎng)頁(yè)過(guò)濾

負(fù)載均衡器的主要作用是將用戶(hù)請(qǐng)求分發(fā)到多個(gè)服務(wù)器。反向代理可用于促進(jìn)用戶(hù)和單個(gè)服務(wù)器之間的請(qǐng)求。