反向代理服务器功能剖析-电脑资料.doc

反向代理效劳器功能剖析 电脑资料 从传统意义上讲，Proxy Server即代理效劳器是指位于用户计算机网络与互联网之间的效劳器，其功能就是代理网络用户去取得网络信息,可以把它理解为网络信息的中转站， “透明代理效劳器”指的是在客户端完全不知晓的情况下，对代理效劳器进行配置，使其可以处理用户请求。其缺点是代理效劳器不支持SSL，但是用户浏览器不需要对普通通信（即明文通信）配置，很多情况下，它与高速缓存代理效劳器一起使用，代理效劳器从其高速缓存中访问图片和其它文件，而无需每次都占用互联网带宽从web效劳器上获取。 反向代理效劳器（Reverse Proxy Server），通过在繁忙的WEB效劳器和Inter之间增加一个高速的WEB缓冲效劳器来降低实际的WEB效劳器的负载，提高对WEB页面的访问速度。反向代理效劳器位于用户WEB效劳器和互联网之间。当一个连接进入时，反向代理效劳器会决定所执行的操作，然后向后端的WEB效劳器发出请求。反向代理效劳器相当重要，它们常常肩负多种任务。 反向代理效劳器可以是一个SSL终结器。这意味着SSL授权证书及其密钥都被装在代理效劳器上，连同这些站点的对应IP地址。SSL因此被终止在代理效劳器，而且对后端效劳器的请求将会以纯文本的形式传送。这在通常情况下确实不错，但如果你的终端网络是不平安的，网络骗术可通过平安通道获取所需要的效劳请求。 在这儿我们要探讨一下虚拟主机和SSL。虚拟主机的概念是基于站点名称的，在连接报头数据方面起作用。当发出了请求后，支持虚拟主机的WEB效劳器会为不同的内容效劳，这些内容是基于被请求站点的。本质上讲，这意味着你可以将多个域名指向一个相同的IP地址。如果启用了SSL，必须与特定的IP地址相结合，而且SSL授权证书必须与站点的名称相匹配，此站点正是用户试图访问的站点。SSL对话在数据发送之前进行，因而效劳器只有一个选择，即一个授权证书呈现一个IP地址。如果在一个SSL连接建立之后，却发现请求的URL属于另一个站点，WEB浏览器会通知用户。如果它不如此工作，SSL就毫无意义了。 一个代理效劳器也可以是一个负载平衡器， 反向代理效劳器可以充当一种WEB效劳器的应用层防火墙。实际上，它包含两个方面：进入的请求受到代理效劳器中所配置的规那么和策略的制约，而WEB效劳器被封闭起来，与外部世界隔离，从而有效地抵消了跨站点的脚本攻击。 反向代理效劳器还经常担当内容过滤器的职责，虽然过滤与防火墙息息相关，但反向代理却拥有更佳的性能。大多数代理效劳器厂商实施一种阻止某些关键字或内容类型的机制。这可以是防止恶意代码攻击真实效劳器的另一个层次。 前端代理效劳器可以执行的大量任务也可以被反向代理效劳器完成。一台高速缓存效劳器，如squid，可以在多种配置中与反向代理效劳器协同工作。如果反向代理效劳器不支持高速缓存，很多站点会选择通过一个高速缓存代理来配置对后端效劳器的访问，这样图像和其它静态内容就不必从真实效劳器中检索。许多反向代理效劳器也可以将一些特定的任务，如图片出租给一个完全独立的效劳器。这些代理效劳器通常被称为“WEB加速器”。 有许多代理效劳器产品能够以反向代理效劳器模式运行，在此我们只关注几个的开源产品。Apache2.2现在伴随着模块代理效劳平衡器一起使用。Apache依靠模块代理支持反向代理效劳器已有很长时间了，但是通过使用平衡器模块，Apache可以实现更加复杂和更有弹性的配置。当然，配置并非十分简单，Apache本身资源密集而且对内存要求很高。 Pound是一个反向代理效劳器及负载平衡器，可以终止SSL连接。配置相当简易，它与Apache相比的极大优势在于它经过精心编制、小巧灵活。许多Pound用户给出了其相当惊人的吞吐量统计，当然它也一直是可靠有效的。 模板,内容仅供参考