本文講述了思科認證之正向代理、反向代理、透明代理。分享給大家供大家參考，具體如下：

套用古龍武俠小說套路來說，代理服務技術(shù)是一門很古老的技術(shù)，是在互聯(lián)網(wǎng)早期出現(xiàn)就使用的技術(shù)。一般實現(xiàn)代理技術(shù)的方式就是在服務器上安裝代理服務軟件，讓其成為一個代理服務器，從而實現(xiàn)代理技術(shù)。常用的代理技術(shù)分為正向代理、反向代理和透明代理。本文就是針對這三種代理來講解一些基本原理和具體的適用范圍，便于大家更深入理解代理服務技術(shù)。

一、正向代理(Forward Proxy)

一般情況下，如果沒有特別說明，代理技術(shù)默認說的是正向代理技術(shù)。關(guān)于正向代理的概念如下：

正向代理(forward)是一個位于客戶端【用戶A】和原始服務器(origin server)【服務器B】之間的服務器【代理服務器Z】，為了從原始服務器取得內(nèi)容，用戶A向代理服務器Z發(fā)送一個請求并指定目標(服務器B)，然后代理服務器Z向服務器B轉(zhuǎn)交請求并將獲得的內(nèi)容返回給客戶端?？蛻舳吮仨氁M行一些特別的設(shè)置才能使用正向代理。如下圖1.1

 
（圖1.1）

從上面的概念中，我們看出，文中所謂的正向代理就是代理服務器替代訪問方【用戶A】去訪問目標服務器【服務器B】

這就是正向代理的意義所在。而為什么要用代理服務器去代替訪問方【用戶A】去訪問服務器B呢？這就要從代理服務器使用的意義說起。

使用正向代理服務器作用主要有以下幾點：

1、訪問本無法訪問的服務器B，如下圖1.2

（圖1.2）

我們拋除復雜的網(wǎng)絡路由情節(jié)來看圖1.2，假設(shè)圖中路由器從左到右命名為R1,R2

假設(shè)最初用戶A要訪問服務器B需要經(jīng)過R1和R2路由器這樣一個路由節(jié)點，如果路由器R1或者路由器R2發(fā)生故障，那么就無法訪問服務器B了。但是如果用戶A讓代理服務器Z去代替自己訪問服務器B，由于代理服務器Z沒有在路由器R1或R2節(jié)點中，而是通過其它的路由節(jié)點訪問服務器B，那么用戶A就可以得到服務器B的數(shù)據(jù)了。

現(xiàn)實中的例子就是“翻墻”。不過自從VPN技術(shù)被廣泛應用外，“翻墻”不但使用了傳統(tǒng)的正向代理技術(shù)，有的還使用了VPN技術(shù)。

2、加速訪問服務器B

這種說法目前不像以前那么流行了，主要是帶寬流量的飛速發(fā)展。早期的正向代理中，很多人使用正向代理就是提速。還是如圖1.2

假設(shè)用戶A到服務器B，經(jīng)過R1路由器和R2路由器，而R1到R2路由器的鏈路是一個低帶寬鏈路。而用戶A到代理服務器Z，從代理服務器Z到服務器B都是高帶寬鏈路。那么很顯然就可以加速訪問服務器B了。  

3、Cache作用

Cache（緩存）技術(shù)和代理服務技術(shù)是緊密聯(lián)系的（不光是正向代理，反向代理也使用了Cache（緩存）技術(shù)。還如上圖所示，如果在用戶A訪問服務器B某數(shù)據(jù)J之前，已經(jīng)有人通過代理服務器Z訪問過服務器B上得數(shù)據(jù)J，那么代理服務器Z會把數(shù)據(jù)J保存一段時間，如果有人正好取該數(shù)據(jù)J，那么代理服務器Z不再訪問服務器B，而把緩存的數(shù)據(jù)J直接發(fā)給用戶A。這一技術(shù)在Cache中術(shù)語就叫Cache命中。如果有更多的像用戶A的用戶來訪問代理服務器Z，那么這些用戶都可以直接從代理服務器Z中取得數(shù)據(jù)J，而不用千里迢迢的去服務器B下載數(shù)據(jù)了。  

4、客戶端訪問授權(quán)

這方面的內(nèi)容現(xiàn)今使用的還是比較多的，例如一些公司采用ISA SERVER做為正向代理服務器來授權(quán)用戶是否有權(quán)限訪問互聯(lián)網(wǎng)，挼下圖1.3

（圖1.3）

圖1.3防火墻作為網(wǎng)關(guān)，用來過濾外網(wǎng)對其的訪問。假設(shè)用戶A和用戶B都設(shè)置了代理服務器，用戶A允許訪問互聯(lián)網(wǎng)，而用戶B不允許訪問互聯(lián)網(wǎng)（這個在代理服務器Z上做限制）這樣用戶A因為授權(quán)，可以通過代理服務器訪問到服務器B，而用戶B因為沒有被代理服務器Z授權(quán)，所以訪問服務器B時，數(shù)據(jù)包會被直接丟棄。

5、隱藏訪問者的行蹤

如下圖1.4 我們可以看出服務器B并不知道訪問自己的實際是用戶A，因為代理服務器Z代替用戶A去直接與服務器B進行交互。如果代理服務器Z被用戶A完全控制（或不完全控制），會慣以“肉雞”術(shù)語稱呼。

（圖1.4）

我們總結(jié)一下 正向代理是一個位于客戶端和原始服務器(origin server)之間的服務器，為了從原始服務器取得內(nèi)容，客戶端向代理發(fā)送一個請求并指定目標(原始服務器)，然后代理向原始服務器轉(zhuǎn)交請求并將獲得的內(nèi)容返回給客戶端。客戶端必須設(shè)置正向代理服務器，當然前提是要知道正向代理服務器的IP地址，還有代理程序的端口。

二、反向代理（reverse proxy）

反向代理正好與正向代理相反，對于客戶端而言代理服務器就像是原始服務器，并且客戶端不需要進行任何特別的設(shè)置?？蛻舳讼蚍聪虼淼拿臻g(name-space)中的內(nèi)容發(fā)送普通請求，接著反向代理將判斷向何處(原始服務器)轉(zhuǎn)交請求，并將獲得的內(nèi)容返回給客戶端。

使用反向代理服務器的作用如下：

1、  保護和隱藏原始資源服務器

如下圖2.1

（圖2.1）

用戶A始終認為它訪問的是原始服務器B而不是代理服務器Z，但實用際上反向代理服務器接受用戶A的應答，從原始資源服務器B中取得用戶A的需求資源，然后發(fā)送給用戶A。由于防火墻的作用，只允許代理服務器Z訪問原始資源服務器B。盡管在這個虛擬的環(huán)境下，防火墻和反向代理的共同作用保護了原始資源服務器B，但用戶A并不知情。

2、  負載均衡

如下圖2.2

（圖2.2） 

當反向代理服務器不止一個的時候，我們甚至可以把它們做成集群，當更多的用戶訪問資源服務器B的時候，讓不同的代理服務器Z（x）去應答不同的用戶，然后發(fā)送不同用戶需要的資源。

當然反向代理服務器像正向代理服務器一樣擁有CACHE的作用，它可以緩存原始資源服務器B的資源，而不是每次都要向原始資源服務器B請求數(shù)據(jù)，特別是一些靜態(tài)的數(shù)據(jù)，比如圖片和文件，如果這些反向代理服務器能夠做到和用戶X來自同一個網(wǎng)絡，那么用戶X訪問反向代理服務器X，就會得到很高質(zhì)量的速度。這正是CDN技術(shù)的核心。如下圖2.3

（圖2.3） 

我們并不是講解CDN，所以去掉了CDN最關(guān)鍵的核心技術(shù)智能DNS。只是展示CDN技術(shù)實際上利用的正是反向代理原理這塊。

反向代理結(jié)論與正向代理正好相反，對于客戶端而言它就像是原始服務器，并且客戶端不需要進行任何特別的設(shè)置?？蛻舳讼蚍聪虼淼拿臻g(name-space)中的內(nèi)容發(fā)送普通請求，接著反向代理將判斷向何處(原始服務器)轉(zhuǎn)交請求，并將獲得的內(nèi)容返回給客戶端，就像這些內(nèi)容原本就是它自己的一樣。

基本上，網(wǎng)上做正反向代理的程序很多，能做正向代理的軟件大部分也可以做反向代理。開源軟件中最流行的就是squid，既可以做正向代理，也有很多人用來做反向代理的前端服務器。另外MS ISA也可以用來在WINDOWS平臺下做正向代理。反向代理中最主要的實踐就是WEB服務，近些年來最火的就是Nginx了。網(wǎng)上有人說NGINX不能做正向代理，其實是不對的。NGINX也可以做正向代理，不過用的人比較少了。  

三、透明代理

    如果把正向代理、反向代理和透明代理按照人類血緣關(guān)系來劃分的話。那么正向代理和透明代理是很明顯堂親關(guān)系，而正向代理和反向代理就是表親關(guān)系了 。

透明代理的意思是客戶端根本不需要知道有代理服務器的存在，它改編你的request fields（報文），并會傳送真實IP。注意，加密的透明代理則是屬于匿名代理，意思是不用設(shè)置使用代理了。

透明代理實踐的例子就是時下很多公司使用的行為管理軟件。如下圖3.1

（圖3.1）

用戶A和用戶B并不知道行為管理設(shè)備充當透明代理行為，當用戶A或用戶B向服務器A或服務器B提交請求的時候，透明代理設(shè)備根據(jù)自身策略攔截并修改用戶A或B的報文，并作為實際的請求方，向服務器A或B發(fā)送請求，當接收信息回傳，透明代理再根據(jù)自身的設(shè)置把允許的報文發(fā)回至用戶A或B，如上圖，如果透明代理設(shè)置不允許訪問服務器B，那么用戶A或者用戶B就不會得到服務器B的數(shù)據(jù)。

最新評論