Ein Reverse Proxy leitet Anfragen von außen an Server im Inneren eines lokalen Netzwerks weiter. Ein Forward Proxy hingegen übermittelt Datenverkehr aus dem lokalen Netz nach außen. Der wesentliche Unterschied zwischen einem Forward und einem Reverse Proxy ist also die Richtung des Datenverkehrs. Beide Typen von Proxys sind für Ihr lokales Netz eine nützliche Ergänzung, müssen aber auch korrekt eingesetzt und konfiguriert werden.

Was ist ein Proxy ganz allgemein?

Ein Proxy ist eine Schnittstelle für Kommunikation in Datennetzen, also ein Prozess auf einem Computer, der Daten zwischen anderen Geräten oder Prozessen vermittelt.

Ein Prozess verbindet sich also mit einem Proxy statt mit einem anderen Prozess. Für die Kommunikation muss der Prozess also nur eine Verbindung mit dem Proxy herstellen können und auch nur mit dem Proxy Daten austauschen. Darin liegt auch der wesentliche Sinn eines Proxys.

Für einen Prozess kann es unter Umständen nicht erkennbar sein, dass er über ein Proxy mit einem anderen Prozess Daten austauscht. Die Funktionalität des Proxys kann je nach Anwendung auch ganz unterschiedlich sein. Die Daten können einfach weitergereicht, aber auch umadressiert und nach vorgegebenen Kriterien gefiltert werden.

Was ist ein Reverse Proxy?

Die Richtung des Datenverkehrs über ein Proxy wird sinnvollerweise vom internen Netzwerk Ihrer Organisation aus gesehen. In diesem Sinn greifen externe Clients über ein Reverse Proxy von außen auf Ihre internen Server zu. Über ein Forward Proxy hingegen verbinden sich interne Clients mit Servern außerhalb Ihres eigenen Netzwerks. Solche Proxys verwenden Sie  dafür, den Zugang Ihrer Mitarbeiter zum Internet auf gewünschte Weise zu steuern. Als Beispiel können Sie den Zugriff zu den Webseiten von Social Media aus Ihren Netzwerk verhindern.

Anwendungen für Reverse Proxys

Sicherheit: Reverse Proxys können den Datenverkehr von außen zu Ihren Servern kontrollieren und filtern. Die Funktionen einer Firewall werden oft von einem Reverse Proxy wahrgenommen.

– Steuerung des Zugriffs auf Ihre Server: Fällt einer Ihrer Webserver aus, kann ein Kunde von einem Reverse Proxy eine nützlichere Fehlermeldung erhalten als vom Webserver selbst. Auch eine Umleitung des Datenverkehrs lässt sich mittels eines Reverse Proxys bewerkstelligen.

Single-Sign-On: Es wird in vielen Fällen vorkommen, dass Sie Ihren Kunden verschiedene Dienstleistungen anbieten wollen, für die eine Anmeldung notwendig ist. Mehrere solche Anwendungen mit einer eigenen Registrierung sind mühsam für Kunden und können zu ihrer Abwanderung führen. Mit einem Reverse Proxy können Sie mehrere Anmeldungen auf verschiedenen Servern zu einer einzigen Anmeldung beim Proxy reduzieren.

Mehr zum Thema:
Was ist ein Compiler?

Schnellere kryptografische Funktionen: Für die Sicherung des Datenverkehrs mit Ihren Servern sind Verschlüsselung und Authentifizierung notwendig. Diese Funktionen erfordern Arithmetik mit großen Zahlen und sind entsprechend rechenintensiv. Werden sie auf einem Reverse Proxy ausgeführt, ergibt sich daraus ein schnellerer Aufbau einer Verbindung Ihrer Kunden mit Ihren Servern.

Verteilung einer Belastung: Vergrößert sich die Zahl Ihrer Kunden, werden Sie mehrere Webserver für die Bewältigung der immer größeren Anzahl von Anfragen benötigen. Es ist von Vorteil, wenn Ihre Kunden trotzdem alle unter einer IP-Adresse auf Ihre Dienstleistungen zugreifen können. Je nach Auslastung stellen Sie einfach hinter einem Reverse Proxy einen oder mehrere Webserver bereit. Das Reverse Proxy übernimmt dann die Aufteilung der Anfragen auf die verschiedenen Server. Oft eingehende Anfragen kann ein solches Proxy auch aus einem eigenen Cache beantworten, was die Geschwindigkeit der Anwendung noch weiter erhöht.

Ersetzen eines VPN: Für Anonymisierung verwenden viele Nutzer ein virtuelles privates Netzwerk, um ihren Standort und ihre IP-Adresse vor einem Server zu verschleiern. Ein Reverse Proxy kann diese Funktion auch übernehmen. Wie im Fall eines VPN muss der Benutzer aber dem Betreiber des Reverse Proxy vertrauen können.

Technische Umsetzung eines Reverse Proxy

Nachdem ein Reverse Proxy auch sicherheitsrelevante Funktionen ausführt, ist eine quelloffene Umsetzung sehr zu empfehlen. Damit können Sie oder unabhängige Experten den Programmcode überprüfen und so sicherstellen, dass das Proxy wie vorgesehen funktioniert und keine Hintertüren aufweist. Die gebräuchlichsten OpenSource Reverse Proxys sind Squid und Nginx. Sie werden oft zusammen mit dem Apache HTTP Server verwendet. Daneben kommt immer häufiger auch das Opensource-Produkt HAProxy zum Einsatz.

Neben den angesprochenen Vorteilen haben Reverse Proxys aber auch potentiell problematische Seiten. Ein Reverse Proxy muss Daten von allen von Ihnen verwendeten Internetprotokollen behandeln können. Dafür muss es entsprechend konfiguriert werden. Kommt es bei dieser Konfiguration zu Fehlern, kann dies Ihre Datensicherheit gefährden und zu Sicherheitslücken führen.

Es sollte auch klar sein, dass ein Reverse Proxy vor Ihrem lokalen Netzwerk für Zugriffe durch Ihre Kunden unbedingt notwendig ist, sobald es einmal aktiviert wurde. Es ist also sehr zu empfehlen, hier eine Redundanz vorzusehen und sicherzustellen, dass das Reverse Proxy auch wirklich immer zur Verfügung steht.

Mehr zum Thema:
Was ist LibreOffice?
Letzte Artikel von Daniel Faust (Alle anzeigen)