Многие компании используют прокси-серверы для маршрутизации и защиты трафика между сетями. Однако часто возникает путаница в том, чем это отличается от обратного прокси. В этом посте мы проанализируем эти две концепции и объясним, как администраторы могут использовать обратный прокси-сервер для упрощения управления доступом.
Прокси-сервер, иногда называемый прямым прокси-сервером, — это сервер, который направляет трафик между клиентом (-ами) и другой системой, обычно внешней по отношению к сети. Таким образом, он может регулировать трафик в соответствии с предустановленными политиками, преобразовывать и маскировать IP-адреса клиентов, применять протоколы безопасности и блокировать неизвестный трафик.
Системы с общими сетями, такие как бизнес-организации или центры обработки данных, часто используют прокси-серверы на сайте fineproxy. Прокси-серверы предоставляют единый интерфейс, с которым взаимодействуют клиенты, не требуя принудительного применения всех политик и логики управления маршрутами внутри самих клиентов.
Обратный прокси-сервер — это разновидность прокси-сервера. В отличие от традиционного прокси-сервера, который используется для защиты клиентов, обратный прокси-сервер используется для защиты серверов. Обратный прокси-сервер — это сервер, который принимает запрос от клиента, перенаправляет запрос на другой из многих других серверов и возвращает результаты с сервера, который фактически обработал запрос, клиенту, как если бы прокси-сервер сам обработал запрос. Клиент напрямую связывается только с обратным прокси-сервером и не знает, что какой-то другой сервер действительно обработал его запрос.
Традиционный прямой прокси-сервер позволяет нескольким клиентам направлять трафик во внешнюю сеть. Например, у компании может быть прокси-сервер, который направляет и фильтрует трафик сотрудников в общедоступный Интернет. Обратный прокси-сервер, с другой стороны, направляет трафик от имени нескольких серверов.
Обратный прокси-сервер эффективно служит шлюзом между клиентами, пользователями и серверами приложений. Он обрабатывает все управление политикой доступа и маршрутизацию трафика, а также защищает идентификационные данные сервера, который фактически обрабатывает запрос.
Маршрутизируя клиентский трафик через обратный прокси-сервер, администраторы могут упростить администрирование безопасности. Они могут настроить внутренние серверы на прием трафика только непосредственно от прокси, а затем настроить детализированные конфигурации управления доступом на самом прокси.
Например, администраторы могут настроить брандмауэр обратного прокси-сервера для внесения в белый или черный список определенных IP-адресов. Все существующие серверы за прокси-сервером будут защищены соответствующим образом, и всякий раз, когда администраторы добавляют новый внутренний сервер в сеть, который настроен на прием запросов только от прокси-сервера, новый внутренний сервер будет защищен в соответствии с конфигурацией прокси.
Использование обратного прокси-сервера также может позволить администраторам легко менять внутренние и внешние серверы, не прерывая трафик. Поскольку клиенты напрямую взаимодействуют с прокси-сервером, им нужно знать только имя его хоста, и им не нужно беспокоиться об изменениях в топологии внутренней сети. Помимо упрощения конфигурации клиента, администратор может настроить обратный прокси-сервер для балансировки нагрузки трафика, чтобы запросы могли более равномерно распределяться по внутренним серверам и улучшать общую производительность.
При подключении нового пользователя к сети администраторы должны настроить контроль доступа и брандмауэры, чтобы гарантировать, что пользователь может получить доступ к соответствующим ресурсам. Традиционно администратор должен настроить каждый сервер, к которому пользователям нужен доступ. В большой организации с большим количеством серверов это может занять много времени и привести к ошибкам.
Однако с обратным прокси-сервером администраторы могут настраивать права доступа непосредственно на прокси-сервере и заставлять пользователя направлять через него весь трафик. Таким образом, внутренним серверам нужно только доверять прокси-серверу и напрямую взаимодействовать с ним. Это значительно упрощает процесс настройки и помогает обеспечить правильное предоставление и аннулирование доступа, делая это из единого источника.
Хотя обратный прокси-сервер может значительно упростить процесс управления доступом к сети, его настройка и правильная настройка могут быть сложными. Для этого требуется подготовить хост с соответствующими спецификациями, настроить операционную систему и брандмауэр, решить, какое программное обеспечение прокси использовать (например, NGINX или HAProxy), перечислить и настроить нижестоящие серверы в файлах конфигурации прокси, настроить ведение журнала аудита и настроить брандмауэры на всех нижестоящих серверах.
Администратору потребуется оптимизировать программное обеспечение прокси-сервера, чтобы оно соответствовало требованиям к производительности и доступности. Например, при выходе из строя нижестоящего сервера администратор должен настроить прокси-сервер для быстрого перенаправления трафика, чтобы избежать простоев.
В масштабе готовых конфигураций редко бывает достаточно, поэтому тестирование становится важным. Всякий раз, когда конфигурации меняются, вам понадобится способ запустить достаточную нагрузку в репрезентативной тестовой среде и внимательно отслеживать влияние как на производительность, так и на доступность, чтобы убедиться, что конфигурации будут соответствовать потребностям производственной среды.
Учитывая все этапы реализации, тестирования и оптимизации обратного прокси-сервера, вы можете купить программное обеспечение, которое может обеспечить эту функциональность без каких-либо дополнительных действий. Программное обеспечение для управления доступом может предоставить все эти функции, а также управлять текущим обслуживанием и управлением пользователями.
Помимо стандартных возможностей обратного прокси, программное обеспечение для управления доступом дает ряд уникальных преимуществ: