代理服務(wù)器是使用非常普遍的一種將局域網(wǎng)主機聯(lián)入互聯(lián)網(wǎng)的一種方式，使用代理上網(wǎng)可以節(jié)約緊缺的IP地址資源，而且可以阻斷外部主機對內(nèi)部主機的訪問，使 內(nèi)部網(wǎng)主機免受外部網(wǎng)主機的攻擊。但是，如果想讓互聯(lián)網(wǎng)上的主機訪問內(nèi)部網(wǎng)的主機資源（例如：Web站點），又想使內(nèi)部網(wǎng)主機免受外部網(wǎng)主機攻擊，一般的 代理服務(wù)是不能實現(xiàn)的，需要使用反向代理來實現(xiàn)。

　　本文將詳細(xì)介紹反向代理服務(wù)的概念以及如何利用反向代理服務(wù)器提高WEB服務(wù)器的性能和安全性。

　　一．反向代理的概念

　　什么是反向代理呢？其實，反向代理也就是通常所說的WEB服務(wù)器加速，它是一種通過在繁忙的WEB服務(wù)器和Internet之間增加一個高速的WEB緩沖服務(wù)器（即：WEB反向代理服務(wù)器）來降低實際的WEB服務(wù)器的負(fù)載。典型的結(jié)構(gòu)如下圖所示：

　　Web服務(wù)器加速（反向代理）是針對Web服務(wù)器提供加速功能的。它作為代理Cache，但并不針對瀏 覽器用戶，而針對一臺或多臺特定Web服務(wù)器（這也是反向代理名稱的由來）。實施反向代理（如上圖所示），只要將Reverse Proxy Cache設(shè)備放置在一臺或多臺Web服務(wù)器前端即可。當(dāng)互聯(lián)網(wǎng)用戶訪問某個WEB服務(wù)器時，通過DNS服務(wù)器解析后的IP地址是Reverse Proxy Server的IP地址,而非原始Web服務(wù)器的IP地址,這時Reverse Proxy Server設(shè)備充當(dāng)Web服務(wù)器，瀏覽器可以與它連接，無需再直接與Web服務(wù)器相連。因此，大量Web服務(wù)工作量被卸載到反向代理服務(wù)上。不但能夠防 止外部網(wǎng)主機直接和web服務(wù)器直接通信帶來的安全隱患，而且能夠很大程度上減輕web服務(wù)器的負(fù)擔(dān)，提高訪問速度。

　　二．      反向代理和其它代理的比較

　　下面將對幾種典型的代理服務(wù)作一個簡單的比較。在網(wǎng)絡(luò)上常見的代理服務(wù)器有三種：

　　1． 標(biāo)準(zhǔn)的代理緩沖服務(wù)器

　　一個標(biāo)準(zhǔn)的代理緩沖服務(wù)被用于緩存靜態(tài)的網(wǎng)頁（例如：html文件和圖片文件等）到本地網(wǎng)絡(luò)上的一臺主機上（即代理服務(wù)器）。當(dāng)被緩存的頁面被第二次訪問的時候，瀏覽器將直接從本地代理服務(wù)器那里獲取請求數(shù)據(jù)而不再向原web站點請求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡(luò)帶寬，而且提高了訪問速度。但是，要想實現(xiàn)這種方式，必須在每一個內(nèi)部主機的瀏覽器上明確指明代理服務(wù)器的IP地址和端口號。客戶端上網(wǎng)時，每次都把請求送給代理服務(wù)器處理，代理服務(wù)器根據(jù)請求確定是否連接到遠(yuǎn)程web服務(wù)器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標(biāo)文件，則直接將文件傳給用戶即可。如果沒有的話則先取回文件，先在本地保存一份緩沖，然后將文件發(fā)給客戶端瀏覽器。

　　2． 透明代理緩沖服務(wù)器

　　透明代理緩沖服務(wù)和標(biāo)準(zhǔn)代理服務(wù)器的功能完全相同。但是，代理操作對客戶端的瀏覽器是透明的（即不需指 明代理服務(wù)器的IP和端口）。透明代理服務(wù)器阻斷網(wǎng)絡(luò)通信，并且過濾出訪問外部的HTTP（80端口）流量。如果客戶端的請求在本地有緩沖則將緩沖的數(shù)據(jù) 直接發(fā)給用戶，如果在本地沒有緩沖則向遠(yuǎn)程web服務(wù)器發(fā)出請求，其余操作和標(biāo)準(zhǔn)的代理服務(wù)器完全相同。對于Linux操作系統(tǒng)來說，透明代理使用 Iptables或者Ipchains實現(xiàn)。因為不需要對瀏覽器作任何設(shè)置，所以，透明代理對于ISP（Internet服務(wù)器提供商）特別有用。

　　3． 反向代理緩沖服務(wù)器

　　反向代理是和前兩種代理完全不同的一種代理服務(wù)。使用它可以降低原始WEB服務(wù)器的負(fù)載。反向代理服務(wù)器承擔(dān)了對原始WEB服務(wù)器的靜態(tài)頁面的請求，防止原始服務(wù)器過載。它位于本地WEB服務(wù)器和Internet之間，處理所有對WEB服務(wù)器的請求，阻止 了WEB服務(wù)器和Internet的直接通信。如果互聯(lián)網(wǎng)用戶請求的頁面在代理服務(wù)器上有緩沖的話，代理服務(wù)器直接將緩沖內(nèi)容發(fā)送給用戶。如果沒有緩沖則先向WEB服務(wù)器發(fā)出請求，取回數(shù)據(jù)，本地緩存后再發(fā)送給用戶。這種方式通過降低了向WEB服務(wù)器的請求數(shù)從而降低了WEB服務(wù)器的負(fù)載。

　　三．反向代理工作原理

　　反向代理服務(wù)器位于本地WEB服務(wù)器和Internet之間,如下圖所示：

　　當(dāng)用戶瀏覽器發(fā)出一個HTTP請求時，通過域名解析將請求定向到反向代理服務(wù)器（如果要實現(xiàn)多個WEB 服務(wù)器的反向代理，需要將多個WEB服務(wù)器的域名都指向反向代理服務(wù)器）。由反向代理服務(wù)器處理器請求。反向代理一般只緩存可緩沖的數(shù)據(jù)（比如html網(wǎng) 頁和圖片等），而一些CGI腳本程序或者ASP之類的程序不緩存。它根據(jù)從WEB服務(wù)器返回的HTTP頭標(biāo)記來緩沖靜態(tài)頁面。有四個最重要HTTP頭標(biāo) 記：

• Last-Modified: 告訴反向代理頁面什么時間被修改
• Expires: 告訴反向代理頁面什么時間應(yīng)該從緩沖區(qū)中刪除
• Cache-Control: 告訴反向代理頁面是否應(yīng)該被緩沖
• Pragma: 告訴反向代理頁面是否應(yīng)該被緩沖.

例如：在默認(rèn)情況下，ASP頁面返回” Cache-control: private.” ，所以ASP頁面時不會在反向代理服務(wù)器緩存的

     反向代理服務(wù)器（Reverse Proxy Server）一般被置于源服務(wù)器的前端，如圖中所示。它配備有大容量的內(nèi)存和高速磁盤，用于緩存客戶的請求，所以反向代理服務(wù)器又稱為加速服務(wù)器。

圖:反向代理服務(wù)器

    對于客戶送過來的請求，反向代理服務(wù)器的工作方式如下：

·            使用反向代理服務(wù)器后，客戶端送過來的請求會首先送到反向代理服務(wù)器。

·            反向代理服務(wù)器先查自己緩存的內(nèi)容（動態(tài)內(nèi)容或靜態(tài)內(nèi)容）。

·            如果客戶請求內(nèi)容在緩存中，則直接將結(jié)果反饋給客戶，此次請求完成。

·            如果客戶請求內(nèi)容不在緩存中，它會根據(jù)后面的各個HTTP服務(wù)器（或內(nèi)容服務(wù)器）的運行情況，做負(fù)載均衡處理，將請求進(jìn)一步送到某個http 服務(wù)器（或內(nèi)容服務(wù)器）。

·            后端服務(wù)器作處理后，反饋結(jié)果給反向代理服務(wù)器。

·            對于后端服務(wù)器反饋過來的結(jié)果，它會將結(jié)果緩存（動態(tài)內(nèi)容或靜態(tài)內(nèi)容）起來，并進(jìn)一步送給客戶端，此次請求完成。

    反向代理服務(wù)器通常要為一個請求同時維護(hù)兩個會話：與客戶端的會話和與后端服務(wù)器的對話。和普通的代理不同，反向代理服務(wù)器一般只代理一臺或者有限的幾臺服務(wù)器，對于客戶而言，反向代理服務(wù)器對于他們就相當(dāng)于源服務(wù)器，對于源服務(wù)器而言，反向代理服務(wù)器通常就是唯一的客戶，因為一般客戶不和源服務(wù)器直接通信。典型情況下，源服務(wù)器對于客戶或者客戶對于源服務(wù)器，都是不可見的。

反向代理服務(wù)器的作用

    代理服務(wù)器起著客戶機中繼站的作用。它轉(zhuǎn)發(fā)請求并接收響應(yīng)，這使它成為高速緩存結(jié)果以便重用的理想場所。這類代理服務(wù)器稱為高速緩存代理，它具有以下作用：

·            加快對客戶的響應(yīng)時間，減輕后端源服務(wù)器（即內(nèi)容服務(wù)器）負(fù)載

    使用反向代理服務(wù)器后，由于它具有大容量緩存，可以緩存多個靜態(tài)/動態(tài)頁面，當(dāng)有客戶請求送過來時，如能夠直接在緩存中找到請求結(jié)果，就可以直接反饋給客戶，而不用再將請求送給后端服務(wù)器。這樣就加快了對客戶的響應(yīng)時間，同時也減輕了后端源服務(wù)器的負(fù)載。

·            保障后端源服務(wù)器（即內(nèi)容服務(wù)器）的安全

    對Internet上的客戶端而言，它只能接觸到反向代理服務(wù)器，因此反向代理服務(wù)器就成為后端服務(wù)器的屏障，保障了后端服務(wù)器的安全。

·            減少源服務(wù)器（即內(nèi)容服務(wù)器）節(jié)點之間占用的網(wǎng)絡(luò)帶寬

    使用反向代理服務(wù)器后，它具有的大容量緩存可以減少源服務(wù)器的網(wǎng)絡(luò)通訊量。這樣就減少源服務(wù)器（即內(nèi)容服務(wù)器）節(jié)點之間占用的網(wǎng)絡(luò)帶寬。

·            對源服務(wù)器進(jìn)行負(fù)載均衡(Load Balance)。

    當(dāng)后端源服務(wù)器有多個時，反向代理服務(wù)器可以根據(jù)后端各個服務(wù)器當(dāng)前負(fù)載情況，做負(fù)載均衡處理，有選擇的將當(dāng)前請求送給最空閑的后端服務(wù)器。