Reverse Proxy Server 應用

通常，大家都使用過代理伺服器（Proxy Server），基本上是讓 Client端存取網路時，透過 Proxy Server來降低網路頻寬消耗，更進階的，則是管制網路流量，進而提供分析報表。

Photo by Nikita rud on Unsplash

前陣子在工作上，遇到一個較少接觸的應用服務，但其實也不算新東西。這個應用與 Proxy Server有類似的功能，只是與 Proxy Server的功能剛好為反向，有點像 ARP與 RARP的關係，這個服務名稱叫反向代理伺服器（Reverse Proxy Server）。

Proxy Server的應用是一般很常見的做法，而 Reverse Proxy Server則是在資安問題頻傳時，企業最常搭配使用的架構。

企業的主機服務採用二階層模式，實際的主機配置內部 IP（TRUST區），而主機前端對應建置一台或多台的 Reverse Proxy Server在 DMZ區。當外部使用者連到主機時，是利用 Reverse Proxy Server做為呈現的代理主機，因此 Client是不能直接連到內部主機。

如果用一般地情境來解釋的話：

• 代理：老爸（Client）之前欠銀行錢，半毛都沒有還，所以沒辦法再跟銀行（Server）貸款。但是家中急需用錢呀！於是老爸跟女兒（Proxy）借了身份證、印章與法定代理人文件來貸款。銀行只知道錢借給信用紀錄良好的女兒，而不知道實際上拿到錢的那個沒還錢的老爸。
• 反向代理：DHL每天都會有成千上百個人去寄貨，但寄貨者（Client）只知道他跟 DHL窗口接洽（Reverse Proxy），卻不知道是 DHL的哪位員工看到了他的寄件單並且去做後續處理，而寄貨者（Client）實際上也不在乎是誰看到他的，只要貨有順利寄出就好。

總結：「代理隐藏真實 Client，反向代理隱藏真實 Server」

現今，網路應用設備更廣泛，再加上網路設備的逐漸平價化，有些企業會採用負載平衡設備（ Load Balance Device）來取代Reverse Proxy Server，也可以利用 NAT方式將主機隱藏於該設備之後。（甚至可以做入侵防範與網路辨識來源的功能）

此外，你還會想要去了解：

• What Is a Reverse Proxy Server?
• [基礎觀念系列] Web Server & Nginx — (1)
• 後疫時代全球零信任網路發展趨勢
• 鳥哥的 Linux私房菜：防火牆與 NAT 伺服器
• 鳥哥的 Linux私房菜：區網控制者： Proxy 伺服