Reversproxyer brukes som en mellomliggende nettverkskomponent for å sikre serverne til offentlige nettjenester. De mottar serverforespørsler på vegne av serverne og videresender dem til brukerne.

Hvordan fungerer en omvendt proxy?

I hovedsak fungerer en proxy-server som en kommunikasjonsformidler i nettverket, ved at den mottar forespørsler og videresender dem til en målserver på vegne av klienten. En omvendt proxy er plassert mellom klienter (f.eks. nettlesere) og backend-servere (f.eks. webservere, databaseservere eller applikasjoner). Den aktiveres når en klientforespørsel sendes, og avgjør om og til hvilken intern serverkomponent forespørselen skal sendes. Prosessen følger disse fire grunnleggende trinnene:

  1. Mottak av klientforespørsel: Den omvendte proxyen aksepterer HTTP-, HTTPS- eller andre forespørsler, som FTP eller WebSocket.
  2. Analyse av forespørselen: Proxyen undersøker om forespørselen er gyldig, om den utgjør noen sikkerhetsrisikoer, og om det finnes en versjon i hurtigbufferen.
  3. Videresending til riktig server: Hvis forespørselen ikke kan besvares fra cachen, sender den omvendte proxyen forespørselen til en av de interne serverne.
  4. Svar til klienten: Den omvendte proxyen mottar svaret fra backend-serveren, behandler det videre om nødvendig (f.eks. kryptering) og sender det tilbake til den forespørrende klienten.
Image: Schematic representation of a reverse proxy
Reverse proxy and web server are located in a shared internal network

Hva er forskjellen sammenlignet med fremoverproxyer?

Mens omvendte proxyer, som nevnt tidligere, plasseres mellom klienter og backend-servere, plasseres fremoverproxyer mellom klienter og internett. En fremoverproxy kanaliserer alle klientforespørsler og videresender dem med sin egen avsenderadresse til målserverne på internett. Serverresponser når også først proxyen før de distribueres til de respektive klientenhetene. Disse forblir anonyme – med mindre det er en transparent proxy. Mens en fremoverproxy beskytter klienter i det interne nettverket mot eksterne trusler, sikrer en reversproxy servere i et offentlig nettverk og optimaliserer tilgjengeligheten deres.

Mens omvendte proxyer gir klare fordeler for serverstrukturer gjennom funksjoner som lastfordeling og ulike sikkerhetsfunksjoner, ligger styrkene til fremoverproxyer i beskyttelsen av klientene.

Image: Schematic representation of a forward proxy
Unlike a reverse proxy, the forward proxy is located in a shared internal network with the clients.

Bruksområder for omvendte proxyservere

Ved å samle klientforespørsler kan omvendte proxyer utøve stor kontroll over innkommende trafikk. Dette gjør det blant annet mulig å tilby flere servere under samme URL, fordele forespørsler jevnt mellom ulike servere og øke hastigheten på datahenting gjennom caching. Nedenfor følger de viktigste bruksområdene for en omvendt proxyserver.

Lastfordeling

En omvendt proxy plassert foran gjør det mulig å koble en URL til ulike servere i det private nettverket. Dette fordeler innkommende forespørsler på flere servere. Slik lastfordeling forhindrer overbelastning av enkeltstående systemer og kompenserer ved feil. Hvis en server ikke er tilgjengelig på grunn av maskinvare- eller programvarefeil, omfordeler proxyens lastfordelingsmodul innkommende forespørsler til de gjenværende serverne. Dette sikrer tilgjengeligheten av servertjenestene selv ved feil.

Caching

For å øke hastigheten på servertjenester kan omvendte proxyer tilby en funksjon som gjør det mulig å lagre innhold som blir ofte forespurt i hurtigbufferen. Denne hurtigbufferingen gjør at proxyserveren kan besvare gjentatte forespørsler helt eller delvis på egen hånd. Statisk innhold som bilder eller CSS-stylesheets lagres i proxyens cache. Som et resultat trenger lite eller ingen data hentes fra backend-serveren, noe som betydelig øker tilgangshastigheten til webtjenester. Men fordi innhold som endres raskt ikke alltid sikrer at proxyens cache har den aktuelle versjonen, er det en risiko for å levere utdatert informasjon til klienter som ber om det.

Beskyttelses- og sikkerhetstiltak

En omvendt proxy fungerer som et slags skjold for backend-serverne og kan i denne rollen tilby ulike sikkerhetsfunksjoner:

  • DDoS-beskyttelse: Omvendte proxyer kan oppdage og blokkere mistenkelig eller uvanlig høy trafikk under DDoS-angrep før den når backend-serverne.
  • Web Application Firewall (WAF): Mange omvendte proxyer inkluderer en WAF som kan filtrere skadelige forespørsler som SQL-injeksjoner eller Cross-Site Scripting (XSS).
  • Hvitlisting og svartelisting av IP-adresser: Den omvendte proxyen kan blokkere visse IP-adresser eller tillate tilkoblinger kun fra bestemte nettverk om nødvendig.
  • Skjuling av backend-servere: Den omvendte proxyen hindrer at de interne IP-adressene til backend-serverne blir synlige for offentligheten, noe som gjør angrep vanskeligere.

Kryptering

For å redusere belastningen på backend-serverne kan man også bruke omvendte proxy-servere til kryptering. I dette tilfellet dekrypterer den klientens SSL/TLS-forespørsel (f.eks. en HTTPS-tilkobling), videresender de dekrypterte dataene til backend-serverne og sender det tilhørende svaret tilbake til klienten i kryptert form. Den interne kommunikasjonen kan foregå enten kryptert eller ukryptert.

Anonymisering

En omvendt proxy kan også brukes til å anonymisere trafikken ved å skjule klientenes opprinnelige IP-adresser eller erstatte dem med sine egne IP-adresser. Dette bidrar til å beskytte klientenes personvern, siden de faktiske IP-adressene ikke vil være synlige i loggene. I tillegg muliggjør dette geografisk lastfordeling: forespørsler kan dirigeres til den nærmeste serveren avhengig av brukerens geografiske plassering.

Komprimering

Med riktig programvare kan en omvendt proxy brukes til å komprimere innkommende og utgående data. Et populært program for komprimering av nettsteder er gzip, som ofte brukes sammen med webserverne Apache eller NGINX.

Go to Main Menu