許多企業使用代理服務器來路由和保護網絡之間的流量。然而，對于這與反向代理有何不同，人們常常會感到困惑。在這篇文章中，我們將剖析這兩個概念并解釋管理員如何使用反向代理來輕松進行訪問管理控制。

什么是代理服務器？

代理服務器，有時稱為轉發代理，是在客戶端和另一個系統之間路由流量的服務器，通常在網絡外部。通過這樣做，它可以根據預設策略調節流量，轉換和屏蔽客戶端 IP 地址，強制執行安全協議，并阻止未知流量。

具有共享網絡的系統，例如商業組織或數據中心，通常使用代理服務器。代理服務器公開一個與客戶端交互的接口，而不必在客戶端本身內強制執行所有策略和路由管理邏輯。

什么是反向代理服務器？

反向代理是代理服務器的一種。與用于保護客戶端的傳統代理服務器不同，反向代理用于保護服務器。反向代理是一個服務器，它接受來自客戶端的請求，將請求轉發到許多其他服務器中的另一個，并將實際處理請求的服務器的結果返回給客戶端，就好像代理服務器自己處理了請求一樣. 客戶端只與反向代理服務器直接通信，它不知道其他服務器實際處理了它的請求。

傳統的轉發代理服務器允許多個客戶端將流量路由到外部網絡。例如，企業可能有一個代理來路由和過濾員工流量到公共互聯網。另一方面，反向代理代表多個服務器路由流量。

反向代理有效地充當客戶端、用戶和應用程序服務器之間的網關。它處理所有訪問策略管理和流量路由，并保護實際處理請求的服務器的身份。

反向代理配置

通過反向代理路由客戶端流量，管理員可以簡化安全管理。他們可以將后端服務器配置為僅接受直接來自代理的流量，然后在代理本身上配置精細的訪問控制配置。

例如，管理員可以將反向代理的防火墻配置為將特定 IP 地址列入白名單或黑名單。代理后面的所有現有服務器都將受到相應的保護，每當管理員將新的后端服務器添加到配置為僅接受來自代理服務器的請求的網絡時，新的后端服務器都會根據代理配置受到保護。

使用反向代理還可以讓管理員在不中斷流量的情況下輕松地交換后端服務器。因為客戶端直接與代理交互，他們只需要知道它的主機名，不需要擔心后端網絡拓撲的變化。除了簡化客戶端配置外，管理員還可以配置反向代理來負載平衡流量，以便將請求更均勻地分配到后端服務器并提高整體性能。

用例：入職和離職

將新用戶加入網絡時，管理員必須配置訪問控制和防火墻，以確保用戶可以訪問適當的資源。傳統上，管理員必須配置用戶需要訪問的每臺服務器。在擁有許多服務器的大型組織中，這可能是一個耗時且容易出錯的過程。

但是，使用反向代理，管理員可以直接在代理服務器上配置訪問權限，并讓用戶通過它路由所有流量。因此，后端服務器只需要直接信任代理并與之通信。這極大地簡化了配置過程，并有助于確保通過單一來源正確授予和撤銷訪問權限。

為訪問管理設置反向代理

雖然反向代理可以大大簡化管理網絡訪問的過程，但正確設置和配置它可能會變得復雜。它需要為主機提供適當的規范，配置操作系統和防火墻，決定使用哪個代理軟件（例如NGINX或HAProxy），在代理配置文件中枚舉和配置下游服務器，設置審計日志，并配置所有下游服務器中的防火墻。

管理員將需要優化代理軟件以適應性能和可用性要求。例如，當下游服務器出現故障時，管理員應配置代理服務器以快速重新路由流量以避免停機。

在規模上，開箱即用的配置很少足夠，因此測試變得很重要。每當配置發生變化時，您都需要一種方法來針對具有代表性的測試環境運行足夠的負載，并密切監控對性能和可用性的影響，以驗證配置是否能夠滿足生產環境的需求。

手動構建反向代理與購買軟件

鑒于實施、測試和優化反向代理所涉及的所有步驟，您可以選擇購買無需所有定制工作即可提供此功能的軟件。訪問管理軟件可以提供所有這些功能，同時還可以管理正在進行的維護和用戶管理。

除了提供標準的反向代理功能外，訪問管理軟件還具有許多獨特的優勢：

1) 用戶訪問的靈活性。通過抽象出防火墻和訪問控制的復雜性，訪問管理軟件可以提供更高級別的概念，例如用戶組。此功能使管理員可以輕松地從各種預定義組中分配和刪除用戶，并允許軟件自動實施訪問策略。

2) 旨在提高可靠性。在分布式系統中，服務器可能會發生故障并且可能會發生網絡中斷。訪問管理軟件可以輕松檢測故障服務器并將流量重新路由到工作服務器，以避免用戶出現任何明顯的停機時間。

3）負載均衡能力。單個服務器在遇到大量流量時可能會遇到困難，這會降低性能并增加請求延遲。訪問管理軟件可以幫助管理流量并平衡所有服務器的負載，確保均勻分布。