Parmi les nombreux services d'infrastructure qui forment un système d'entreprise unifié, il y a Proxy. Son objectif principal est de devenir un nœud intermédiaire dans la transmission du trafic et de remplir la fonctionnalité préétablie de modification/d'analyse des connexions.
Il existe deux types de telles solutions, le proxy direct et le proxy inverse, où le premier redirige le trafic vers l'extérieur via un seul point, et le second inversement du segment externe vers l'interne. Dans cet article, nous examinerons la deuxième variante de sa mise en œuvre et configurerons le service pour qu'il fonctionne.
Qu’est-ce que le proxy inverse ?
Comme nous l'avons mentionné précédemment, le Reverse Proxy est un nœud intermédiaire par lequel le trafic externe passe vers les serveurs, respectivement depuis les clients.
Dans de tels cas, cette solution est due à la nécessité d'équilibrer la charge sur les nœuds, car le traitement des paquets eux-mêmes peut être assez lourd, alors différentes approches pour les équilibrer peuvent le réduire. Il peut également s'agir d'un nœud de contrôle du trafic de passage, par exemple, un WAF local ou un nœud de redirection vers des serveurs ICAP.
Si vous ne disposez pas de ressources suffisantes, vous pouvez effectuer des actions sur des serveurs cloud puissants. Serverspace fournit isolé VPS / VDS serveurs pour une utilisation commune et virtualisée.
Déploiement et configuration
Tout d'abord, choisissons un progiciel qui exécute de telles fonctions de proxy, généralement les serveurs Web simples ont cette fonctionnalité, alors utilisons le Nginx emballage:
Après avoir passé à la configuration de notre service par le répertoire standard /etc/nginx, à l'intérieur nous nous intéressons à deux fichiers qui sont responsables de la configuration globale du service et des hôtes virtuels, passons au deuxième :
cd /etc/nginx/sites-available && nano 000-default.confSi votre fichier d'hôtes virtuels porte un nom différent, accédez à celui-ci avec nano. Examinons la syntaxe de base d'un hôte virtuel, qui est déterminée par le champ SNI dans le paquet réseau entrant :
server {
listen ip:port;
server_name domain_name;
root /path/to/site-file;
index /index.html;
..
location / {}
..
} Remplissez les champs de base avec les métadonnées de votre serveur Web, le port sur lequel votre site Web sera disponible, le nom de domaine qui sera traité, etc. Notez que le champ d'emplacement sera responsable de l'action sur le paquet qui est arrivé au chemin spécifié. Maintenant, il s'agit d'un serveur Web normal, pour en faire un proxy inverse, vous devez ajouter des directives à l'emplacement :
location /date {
proxy_pass http://192.168.1.10:80;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
} 
Pour comprendre la différence entre reverse-proxy et serveur web, comparez les directives des deux chemins /hello et /cats, dans le dernier cas nous spécifions le chemin où résident nos données et dans le premier nous proxy la connexion. Notez que la directive proxy_pass nous permet d'établir une connexion à une ressource et, en tant que client, de transmettre des paquets en les modifiant avec la directive proxy_set_header.
Chacun d’entre eux possède également sa propre fonctionnalité :
- HOST spécifiera les hôtes à atteindre ;
- X-Real-IP spécifiera l'adresse réelle du client avant le proxy ;
- X-Forwarded-For précisera à qui il fait office de proxy ;
- X-Forwarded-Proto spécifiera quel schéma/protocole utiliser.
Les paquets modifiés seront ensuite envoyés vers l'Upstream ou le Backend, où ils seront traités ultérieurement par l'application Web. Sauvegardons le fichier et créons un lien vers la configuration pour le charger automatiquement :
ln -s /etc/nginx/sites-available/000-default.conf /etc/nginx/sites-enabled/000-default.confOu remplacez le nom du fichier par le vôtre et créez également un lien vers la partie activée. Après cela, redémarrez nginx ou faites-lui relire la configuration :
sudo systemctl restart nginx && sudo systemctl status nginx Étant donné que le serveur nginx écoute par défaut toutes les interfaces, le trafic arrivant sur l'appareil sera acheminé par proxy et envoyé vers l'arrière. S'il est nécessaire de pré-terminer le trafic SSL, ajoutez des directives pour son traitement :
ssl_certificate www.example.com.crt;
ssl_certificate_key www.example.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
Après cela, le trafic sera transmis en open source, où d'autres solutions pourront traiter les paquets entrants. Vous trouverez également dans notre base de connaissances des informations sur la manière de configurer WAF sur la base d'une telle solution de proxy inverse !
Conclusion
La configuration d'un serveur proxy inverse est une étape essentielle pour une infrastructure web moderne. En servant d'intermédiaire entre les clients externes et les serveurs internes, un proxy inverse améliore l'équilibrage de charge, renforce la sécurité et permet la terminaison SSL. Nginx À titre d'exemple, nous avons configuré un proxy inverse qui transfère les requêtes, préserve les en-têtes client et prend en charge le trafic SSL. Grâce à cette configuration, vos serveurs internes restent protégés tout en gérant efficacement les requêtes externes. Les proxys inverses offrent également la possibilité d'intégrer des couches de sécurité supplémentaires, telles que les pare-feu d'applications web (WAF), la mise en cache ou la surveillance du trafic.
QFP
- Q1 : Quel est l’objectif principal d’un proxy inverse ?
Un proxy inverse sert d'intermédiaire entre les clients et les serveurs internes. Il répartit le trafic entrant, améliore l'équilibrage de charge, renforce la sécurité et gère la terminaison et la mise en cache SSL. - Q2 : Quel logiciel peut être utilisé comme proxy inverse ?
Les solutions courantes incluent Nginx, Apache, HAProxy et Traefik. Chacun offre des fonctionnalités uniques, avec Nginx étant populaire pour l'intégration et les performances des serveurs Web. - Q3 : Comment fonctionne la terminaison SSL sur un proxy inverse ?
La terminaison SSL permet au proxy de décrypter les données entrantes HTTPTrafic S, le transmettant en clair HTTP vers les serveurs internes. Cela réduit la charge de traitement sur les serveurs back-end et centralise la gestion des certificats. - Q4 : Quels en-têtes doivent être conservés lors de la transmission de requêtes par proxy ?
Les en-têtes importants incluent Host, X-Real-IP, X-Forwarded-For et X-Forwarded-Proto. Ces en-têtes conservent les informations client d'origine et les détails du protocole. - Q5 : Un proxy inverse peut-il améliorer la sécurité ?
Oui. En exposant uniquement le serveur proxy à Internet, les serveurs internes restent masqués. Les proxys inverses permettent également l'intégration avec les pare-feu, les pare-feu d'applications web (WAF) et les outils de surveillance du trafic. - Q6 : Comment puis-je tester si mon proxy inverse fonctionne correctement ?
Après la configuration, redémarrez votre service proxy et accédez à l'URL proxy. Utilisez des outils comme curl, les outils de développement de navigateur ou des services de surveillance pour vérifier que le trafic est correctement transféré et que les en-têtes sont préservés. - Q7 : Un proxy inverse est-il adapté aux sites Web à fort trafic ?
Absolument. Les proxys inverses répartissent les requêtes entrantes sur plusieurs serveurs principaux, améliorant ainsi les performances et la fiabilité des applications à fort trafic.
