正向代理、反向代理、透明代理理解与区分
内容出自:http://z00w00.blog.51cto.com/515114/1031287
套用古龙武侠小说套路来说,代理服务技术是一门很古老的技术,是在互联网早期出现就使用的技术。一般实现代理技术的方式就是在服务器上安装代理服务软件,让其成为一个代理服务器,从而实现代理技术。常用的代理技术分为正向代理、反向代理和透明代理。本文就是针对这三种代理来讲解一些基本原理和具体的适用范围,便于大家更深入理解代理服务技术。
一、正向代理(forward proxy)
1、访问本无法访问的服务器b,如下图
我们抛除复杂的网络路由情节来看图,假设图中路由器从左到右命名为r1,r2假设最初用户a要访问服务器b需要经过r1和r2路由器这样一个路由节点,如果路由器r1或者路由器r2发生故障,那么就无法访问服务器b了。但是如果用户a让代理服务器z去代替自己访问服务器b,由于代理服务器z没有在路由器r1或r2节点中,而是通过其它的路由节点访问服务器b,那么用户a就可以得到服务器b的数据了。现实中的例子就是“fq”。不过自从vpn技术被广泛应用外,“fq”不但使用了传统的正向代理技术,有的还使用了vpn技术。
2、加速访问服务器b
3、cache作用
cache(缓存)技术和代理服务技术是紧密联系的(不光是正向代理,反向代理也使用了cache(缓存)技术。还如上图所示,如果在用户a访问服务器b某数据j之前,已经有人通过代理服务器z访问过服务器b上得数据j,那么代理服务器z会把数据j保存一段时间,如果有人正好取该数据j,那么代理服务器z不再访问服务器b,而把缓存的数据j直接发给用户a。这一技术在cache中术语就叫cache命中。如果有更多的像用户a的用户来访问代理服务器z,那么这些用户都可以直接从代理服务器z中取得数据j,而不用千里迢迢的去服务器b下载数据了。
4、客户端访问授权
这方面的内容现今使用的还是比较多的,例如一些公司采用isa server做为正向代理服务器来授权用户是否有权限访问互联网,挼下图
防火墙作为网关,用来过滤外网对其的访问。假设用户a和用户b都设置了代理服务器,用户a允许访问互联网,而用户b不允许访问互联网(这个在代理服务器z上做限制)这样用户a因为授权,可以通过代理服务器访问到服务器b,而用户b因为没有被代理服务器z授权,所以访问服务器b时,数据包会被直接丢弃。
5、隐藏访问者的行踪
如下我们可以看出服务器b并不知道访问自己的实际是用户a,因为代理服务器z代替用户a去直接与服务器b进行交互。如果代理服务器z被用户a完全控制(或不完全控制),会惯以“肉鸡”术语称呼。
我们总结一下 正向代理是一个位于客户端和原始服务器(origin server)之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须设置正向代理服务器,当然前提是要知道正向代理服务器的ip地址,还有代理程序的端口。
二、反向代理(reverse proxy)
反向代理正好与正向代理相反,对于客户端而言代理服务器就像是原始服务器,并且客户端不需要进行任何特别的设置。客户端向反向代理的命名空间(name-space)中的内容发送普通请求,接着反向代理将判断向何处(原始服务器)转交请求,并将获得的内容返回给客户端。
使用反向代理服务器的作用如下:
1、 保护和隐藏原始资源服务器
如下图
用户a始终认为它访问的是原始服务器b而不是代理服务器z,但实用际上反向代理服务器接受用户a的应答,从原始资源服务器b中取得用户a的需求资源,然后发送给用户a。由于防火墙的作用,只允许代理服务器z访问原始资源服务器b。尽管在这个虚拟的环境下,防火墙和反向代理的共同作用保护了原始资源服务器b,但用户a并不知情。
2、 负载均衡
如下图
当然反向代理服务器像正向代理服务器一样拥有cache的作用,它可以缓存原始资源服务器b的资源,而不是每次都要向原始资源服务器b请求数据,特别是一些静态的数据,比如图片和文件,如果这些反向代理服务器能够做到和用户x来自同一个网络,那么用户x访问反向代理服务器x,就会得到很高质量的速度。这正是cdn技术的核心。如下图2.3
三、透明代理
如果把正向代理、反向代理和透明代理按照人类血缘关系来划分的话。那么正向代理和透明代理是很明显堂亲关系,而正向代理和反向代理就是表亲关系了 .透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改编你的request fields(报文),并会传送真实ip。注意,加密的透明代理则是属于匿名代理,意思是不用设置使用代理了。透明代理实践的例子就是时下很多公司使用的行为管理软件。如下图
用户a和用户b并不知道行为管理设备充当透明代理行为,当用户a或用户b向服务器a或服务器b提交请求的时候,透明代理设备根据自身策略拦截并修改用户a或b的报文,并作为实际的请求方,向服务器a或b发送请求,当接收信息回传,透明代理再根据自身的设置把允许的报文发回至用户a或b,如上图,如果透明代理设置不允许访问服务器b,那么用户a或者用户b就不会得到服务器b的数据。
上一篇: [PHP] 最简单的权限控制设计
下一篇: 冲她撞我的车是法拉利