Immer dann, wenn es um Performance-Steigerung und Absicherung von Servern geht, fällt das Schlagwort “Reverse-Proxy”. Doch was genau ist ein Reverse-Proxy – was ist damit denn nun wirklich gemeint? Zur Netzwerk-Topologie kann man ganz einfach sagen: Hinter einem Reverse-Proxy steckt zumeist ein Webserver.
Man kann sich Reverse-Proxy-Server wie unsichtbare Vermittler vorstellen, die zwischen Clients und Webservern stehen. Ihre Aufgabe ist es, Anfragen von Clients entgegenzunehmen und diese an den geeigneten Server weiterzuleiten. Dabei bleibt dem Client oft verborgen, mit welchem Server er tatsächlich kommuniziert. Doch ein Reverse-Proxy kann weit mehr als nur vermitteln: Er bietet zusätzlichen Schutz für den Webserver und kann dessen Arbeitslast erheblich verringern.
Durch die Implementierung von Sicherheitsmaßnahmen wie Virenscannern, Paketfiltern und Firewalls bietet der Reverse-Proxy eine zusätzliche Schutzschicht für den Webserver. Gleichzeitig verbessert er die Effizienz, indem er Anfragen zwischenspeichert und bei wiederkehrenden Anfragen die gespeicherten Antworten zurückgibt, ohne den Webserver zu belasten.
Mit einem Reverse-Proxy-Server erhält man also nicht nur eine effektive Methode zur Steuerung des Datenverkehrs, sondern auch eine wichtige Komponente zur Verbesserung der Sicherheit und Leistung eines Webservers.
Forward-Proxy und Reverse-Proxy
Ein entscheidender Anwendungsfall ist die Isolation von Systemen. Die Vorteile dieser Vorgehensweise werden besonders dann klar, wenn man den Proxy als zusätzliches Element und Puffer betrachtet. Abhängig von der Situation bringt dies entweder der einen oder der anderen Kommunikationsseite Vorteile. Diese beiden Fälle unterscheiden wir als „Forward-Proxy“ oder eben als „Reverse-Proxy“ – beides wird in den nachfolgenden Abschnitten erläutert.
Forward-Proxy: Schutzschild im lokalen Netz
Ein Forward-Proxy wird typischerweise zur Abschirmung eines lokalen Netzwerks eingesetzt. Stellen wir uns beispielsweise ein Firmennetzwerk vor, dann könnten Anfragen an externe Netzwerke oder ins Internet nicht direkt an den Zielcomputer gerichtet werden, sondern durch einen Proxy im Firmennetzwerk vermittelt werden. Dieser nimmt die Anfrage innerhalb des Netzwerks entgegen und leitet sie dann an den externen Zielserver weiter. Daher bleibt dem Zielsystem die tatsächliche Netzwerkadresse des anfragenden Clients verborgen – es wird lediglich die Adresse des Proxys kommuniziert.
Der Proxy könnte in diesem Kontext weitere sinnvolle Aufgaben übernehmen. Es lassen sich sowohl Anfragen als auch die entsprechenden Antworten des Zielsystems filtern und dadurch eingrenzen. Darüber hinaus kann der Proxy den gesamten Datentransfer durch effektives Caching reduzieren. Wurden zuvor gleiche Anfragen an den Proxy geleitet, kann dieser entscheiden, die zugehörige gecachte Antwort direkt an den Client zurückzugeben. Die eigentliche Anfrage an das externe Zielsystem wird somit überflüssig, was zu einer sehr schnellen Reaktionszeit und reduziertem Traffic führt.
Reverse-Proxy schützt Webserver
Bei einem Reverse-Proxy wird die zuvor beschriebene Topologie umgekehrt. Unser Proxy befindet sich nun nicht mehr im Umfeld des anfragenden Systems, sondern dient zum Schutz des Zielsystems. Unser Zielsystem ist in diesem Fall typischerweise ein Webserver. Ein Client, der eine Anfrage sendet, adressiert in diesem Fall den Proxy und nicht den Webserver. Die Adresse des Webservers bleibt verborgen, was für eine Abschottung sorgt und Angriffe von Hackern oder durch Malware erschwert.
Die Hauptaufgaben zusammengefasst:
- Abschirmung
- Lastverteilung (load balancing)
- Verschlüsselung
- Caching
Abschirmung
Für zusätzliche Sicherheit kann ein Reverse-Proxy auch durch Virenscanner, Paketfilter oder Firewalls sorgen. Da nicht nur Anfragen, sondern auch übertragene Daten zuerst den Proxy passieren, kann dieser alles abschirmen, was den Webserver potenziell gefährdet. Auf diese Weise fungiert er als zusätzliche Sicherheitsschicht, die schädliche Zugriffe erkennt und von möglicherweise sensiblen Daten fernhält.
Proxy assistiert Webserver: Caching & Lastverteilung
Die zuvor beschriebenen Vorteile im Bereich des Cachings sind ebenfalls nicht zu unterschätzen. Wird beispielsweise eine Webseite aufgerufen, so entscheidet der Proxy, ob die Anfrage überhaupt an das Zielsystem weitergeleitet werden muss. Im besten Fall kennt der Proxy bereits die Antwort aus vorherigen Zugriffen und kann diese zurückliefern, ohne den Webserver dafür in Anspruch zu nehmen. Dadurch ergibt sich automatisch eine Lastverteilung (Load-Balancing), da der Proxy einen Großteil der Anfragen selbstständig bearbeiten kann.
Zur Optimierung des Load-Balancings lässt sich ein Reverse-Proxy auch so konfigurieren, dass er Anfragen an verschiedene Webserver weiterleitet. Für den Client erscheint es, als würde er sämtliche Anfragen an ein einziges System stellen. Alle Anfragen sind an die gleiche Netzwerkadresse gerichtet. Der Proxy ist jedoch in der Lage, diese Anfragen aufzuteilen und an verschiedene Systeme zu delegieren, deren Existenz für den Client verborgen bleibt. Die Systeme hinter dem Proxy können unterschiedliche IP-Adressen haben – für den Client richtet sich die Anfrage jedoch immer an eine einzige Adresse, was eine wichtige Voraussetzung für die Auflösung einer Domain ist.
Reverse-Proxy zur Verschlüsselung
Auch die Verschlüsselung von Webseiten kann von einem Reverse-Proxy geleistet werden. Das sorgt dafür, dass der Datenaustausch zwischen dem Proxy und dem Webserver vollkommen unverschlüsselt erfolgen kann. Dies führt zu einer Entlastung des Webservers. Erst wenn der Proxy die unverschlüsselten Daten des Webservers empfängt, führt er eigenständig und autonom die TLS-Verschlüsselung durch, bevor er schließlich die Daten in verschlüsselter Form an den Client zurückgibt.
Zusammenfassung und Fazit
Ein Reverse-Proxy-Server fungiert als Vermittler zwischen Clients und einem oder mehreren spezifischen Servern. Er nimmt Anfragen von Clients entgegen und leitet diese an den passenden Server weiter. Oft ohne dass der Client Kenntnis von den zugrundeliegenden Servern hat. Dabei kann er Aufgaben wie Caching, Lastverteilung und Verschlüsselung übernehmen, um die Leistung und Sicherheit der Netzwerk-Infrastruktur zu optimieren.
Insbesondere bietet der Reverse-Proxy eine Reihe von Vorteilen: Er verbessert die Sicherheit, indem er die Adressen der Server, die er vertritt, verbirgt und zusätzliche Schutzmaßnahmen wie Virenscanner, Paketfilter und Firewalls implementieren kann. Er erhöht die Effizienz durch Caching, indem er Antworten auf wiederkehrende Anfragen speichert und direkt an den Client zurückgibt, was den Verkehr zum eigentlichen Zielsystem reduziert und dessen Belastung verringert. Darüber hinaus kann er die Last auf mehrere Server verteilen, was besonders in Situationen mit hoher Serverbelastung sehr nützlich ist.
Der Reverse-Proxy ermöglicht außerdem die Verschlüsselung der Kommunikation mit den Clients, was die Sicherheit der Datenübertragung verbessert. Der Proxy kann die Verschlüsselung eigenständig durchführen, sodass die Kommunikation zwischen Proxy und Server zeitgleich unverschlüsselt und damit weniger ressourcenintensiv ist.
Insgesamt ist der Reverse-Proxy-Server ein effektives Werkzeug zur Verbesserung der Netzwerksicherheit und -leistung, und seine Bedeutung in modernen IT-Landschaften sollte nicht unterschätzt werden.
