Kleine Proxy-Kunde – Reverse Proxy vs. Forward Proxy

Im Alltag des Internets sind Begriffe wie Proxy, Forward-Proxy, Reverse-Proxy vielfach verwendet und oftmals gleichgesetzt. Doch sind Proxies immer Proxies? Sind sie alle gleich? Mit nichten. So unterscheiden sich Forward-Proxies deutlich von Revese-Proxies in ihrem Aufbau und Zweck.

Der nachfolgende Artikel setzt sich mit den beiden Proxy-Typen auseinander und beschreibt deren Zweck und Unterschied. Den unterschiedlichen Typen des Proxies gemein ist, dass sie letztendlich als Stellvertreter agieren. Die aufrufende Person spricht mit dem Stellvertreter und dieser gibt wiederum das Ergebnis zurück, dass er selbst ermittelt.

1. Forward Proxy

Im Bereich von Netzwerken in denen viele Nutzer auf gleiche Informationen im Netzwerk zugreifen kann es sinnvoll sein diesen Zugriff über einen Proxy zu realisieren. Er agiert hier als Zwischenspeicher und Vermittler auf bestimmte Informationen im Netzwerk. Häufig werden Forward Proxies mit Firewalls kombiniert zur Absicherung des firmeninternen Netzwerkes und zur Steuerung des ausgehenden Netzwerkverkehrs.

Abb 1) Forward-Proxy mit Firewall

Jeder Request eines Client durchläuft den Forward-Proxy. Fungiert dieser zudem als Cached-Proxy so erfolgt zusätzlich ein Abgleich

• Erfolgte schon ein Zugriff auf die gewünschte Ressource im Internet?
• Ist das Ergebnis des Aufrufes cacheable?
• Ist das Ergebnis im Cache und noch gültig oder schon veraltet?

Trifft dies zu so wird in diesem Fall das zwischengespeicherte Element dem Client zurückgeliefert ansonsten wird durch die Firewall die gewünschte Ressource aufgerufen und das Ergebnis des Aufrufes an den Client zurückgegeben. Hierfür merkt der Forward-Proxy sich für jeden Aufruf den entsprechenden Client und liefert das Ergebnis des Aufrufes an diesen zurück.

Zur Absicherung des internen Netzes und zur Regelung von Zugriffsrechten kann ein Forward-Proxy ebenfalls Aufrufe an bestimmte Ressourcen im Internet oder den Aufruf bestimmter Dienste unterbinden. Ein gezieltes Umleiten von Aufrufen zum Beispiel an ein Content-Delivery-Network (CDN) ist ebenfalls möglich.

1.1. Nutzen des Forward-Proxy

Der Nutzen eines Forward-Proxy besteht in:

• Absicherung und Reglementierung des ausgehenden Netzwerkverkehrs
• Reduzierung des Netzwerkverkehrs (im Fall von Caching-Forward-Proxy)
• Anonymisierung der internen Clients gegenüber externen Servern; aus Sicht des Servers erfolgt der Aufruf durch den Proxy

2. Reverse Proxy

Befinden sich im Intranet zudem Server, auf deren Dienste von außen zugegriffen werden soll, so kommen Reverse Proxies zum Einsatz. Diese vermitteln den Zugriff der externen Clients auf den oder die entsprechenden Server. Sie agieren als Vermittler der aus Sicht des Servers einen Client darstellt an den. Eine externe Clientanfrage gelangt so über definierte Firewall-Ports und unter Beachtung der Firewall regeln zum Proxy. Dieser stellt die eigentliche Anfrage an den Server und liefert das Ergebnis an den anfragenden Client zurück.

Abb 2) Reverse Proxy

Aus Sicht des Clients sind durch den Reverse Proxy die Server, die letztendlich den eigentlichen Service dem Client realisieren und die Anfragen bearbeiten intransparent / unsichtbar. Er sieht nur den Reverse Proxy der letztendlich seinen Ansprechpartner darstellt, die eigentliche Identität des Servers wird durch den Reverse Proxy versteckt.

2.1. Nutzen des Reverse Proxy

Unter dem Gesichtspunkt der Netzwerksicherheit und Zugriffsregelung stellen Reverse-Proxy einen sog. Single-Point-Of-Administration dar. Sie bieten die Möglichkeit in Form einer einzelnen funktionalen Instanz für Serverzugriffe nachfolgendes zu realisieren:

• Weiterleitung von Aufrufen zu den internen Servern, die den entsprechenden Service bieten
• Zugriffsbeschränkungen auf Dienste und Server
• Lastverteilung zwischen Servern
• Hochverfügbarkeit im Falle eines Ausfalls eines Servers durch verteilen auf andere Server eines Service-Clusters

3. Zusammenfassung

Beide Proxy-Typen dienen der Absicherung bestimmter Gruppen im Internet. Geht es um die Absicherung der Client-Aufrufe vom Intranet ins Internet, so kommt ein Forward-Proxy ins Spiel. Sollen wiederum die Aufrufe externer Clients auf interne Server abgesichert und verteilt werden, so findet ein Reverse-Proxy Anwendung.