Mejor respuesta
REVERSE PROXY
Si comprende un servidor web, comprende un servidor proxy REVERSE. ES SÓLO UN SERVIDOR WEB. Con algunas capacidades adicionales, como el reenvío de URL. En otras palabras, puede usar IIS (o apache o su SERVIDOR WEB favorito) como un servidor proxy REVERSO. ¿Por qué necesitaría este servidor web adicional, cuando su servidor web existente ya realiza la mayoría de las tareas relevantes (autenticación, etc.)?
Hay varios escenarios. Por ejemplo – si desea enviar condicionalmente todas las solicitudes SEGURAS (https) a otro servidor. Necesitaría una REGLA que se pareciera a esto (en IIS):
OTROS USOS DE LOS PROXIES INVERSOS
Dado que los proxies inversos son servidores web completos, PUEDE realizar una autenticación completa en las solicitudes entrantes de los clientes. Por ejemplo – desea agregar una etapa adicional de autenticación (por ejemplo, una autenticación de identidad abierta mediante Google o Facebook) y desea realizar este paso ANTES de que su servidor web procese la solicitud. Un proxy inverso es ideal para realizar esta tarea.
El escenario de caso de uso clave aquí es que desea realizar alguna tarea específica del servidor web SIN TOCAR o MODIFICAR su aplicación o servidor web existente, y sin permitir que los clientes saber que el proxy existe. Ingrese el proxy inverso.
¿CÓMO MANTENGA EL PROXY INVERSO SU IDENTIDAD DESCONOCIDA (NO DESEA QUE NADIE SEA QUE EXISTE UN PROXY INVERSO)?
El cliente envía la solicitud directamente al servidor de origen. Cuando el servidor proxy está en modo de proxy inverso, intercepta la solicitud antes de que llegue al servidor de origen.
Por lo general, esto se hace configurando la entrada DNS para el servidor de origen (es decir, el servidor de origen anunciado hostname) para que se resuelva en la dirección IP del servidor proxy.
PROXY (FORWARD PROXY)
Los proxies directos son de hecho, no es muy diferente de los proxies REVERSE, con una diferencia clave. Un proxy de reenvío funciona para DAR SERVICIO al navegador del cliente directamente (generalmente un GRUPO de máquinas cliente, en una red interna). El usuario del cliente normalmente es CONSCIENTE del proxy FORWARD (de hecho, normalmente tiene que CONFIGURARlo en su navegador cliente, normalmente lo configura en IE—> Configuración de Internet—> Conexiones—> Configuración de LAN). Este SERVICIO DIRECTO de un navegador CLIENTE implica bloquear una solicitud del navegador del cliente (por ejemplo, si el navegador de un empleado de la empresa está intentando acceder a Iniciar sesión o Registrarse ), o puede bloquear la IP del cliente en conjunto (p. ej., si la máquina cliente está intentando piratear un servidor).
En todos los demás aspectos, un proxy Forward es muy similar a un proxy REVERSE – es un SERVIDOR WEB completo – puede controlar las solicitudes entrantes, y puede realizar autenticación, etc.
DIFERENCIA CLAVE ENTRE SERVIDOR PROXY INVERSO Y ADELANTE
El La diferencia clave radica en los casos de uso: normalmente funciona para BLOQUEAR el acceso para una máquina cliente (o un grupo de máquinas cliente). Por el contrario, un proxy REVERSE funciona en nombre del servidor web y es completamente INVISIBLE para las máquinas cliente. Las máquinas cliente ni siquiera SABEN que están accediendo a un proxy inverso; en lo que a ellos respecta, están accediendo al SERVIDOR WEB.
FIREWALLS – NETWORK FIREWALLS VERSUS FIREWALLS DE APLICACIÓN
Los cortafuegos pueden existir como paquetes de software que se ejecutan en su computadora o como cortafuegos de hardware en enrutadores de red. A diferencia de los servidores proxy, los firewalls están diseñados más como controladores de tráfico que como redireccionadores.
USANDO AMBOS COMO PARTE DE SU SOLUCIÓN DE SEGURIDAD
- Utilice un servidor PROXY para controlar quién o qué se conecta a su RED.
- Utilice cortafuegos en las computadoras locales para controlar qué entra en cada computadora.
Para obtener más consejos sobre redes y computación en la nube, siga mis páginas de FB
Computación en la nube para principiantes, Seminario sobre la nube
Respuesta
Cortafuegos
Servidor proxy de nivel de aplicación
El cortafuegos es un enrutador (computadora que puede reenviar paquetes entre dos o más redes) con algunas reglas de restricción aplicadas. La mayoría de los enrutadores actuales se pueden utilizar como un cortafuegos sencillo (la mayoría de los enrutadores permiten definir restricciones). Se aplica por ejemplo a enrutadores Cisco, sistemas Linux, … Pero el firewall real es más complicado. Implementa mecanismos para permitir agujeros abiertos dinámicamente para conexiones entrantes (para sesiones FTP por ejemplo) y más.
El servidor proxy de aplicación es una computadora que puede manejar solicitudes en algunos protocolos de comunicación (HTTP, FTP, SOCKS , ..). Para cada protocolo utilizado, se debe habilitar el servicio de proxy apropiado.
El cortafuegos funciona a nivel de paquete. Puede aplicar reglas a los paquetes (verificando la dirección IP de origen / destino, el puerto de origen / destino, …) para decidir si el paquete se reenviará o rechazará.
El proxy funciona a nivel de protocolo de aplicación. No funcionan a nivel de paquete, por lo que no pueden reenviar paquetes.
La estación cliente debe configurarse para usar el firewall como puerta de enlace predeterminada.
Las aplicaciones en la PC cliente tienen para ser configurado para usar un servidor proxy para acceder a servidores de Internet.
Si deshabilita el firewall (solo funciona el enrutador), todas las estaciones LAN tienen acceso directo y completo a Internet. Puede imaginar el firewall como un conjunto de reglas restrictivas (todo está habilitado cuando estas reglas están inactivas). Entonces puede eliminar / cambiar algunas reglas para crear un agujero (rango) de puerto por ejemplo.
Si deshabilita el proxy, no hay forma de conectarse desde la LAN a los servidores de Internet.
Los servicios que usan protocolos TCP / IP de bajo nivel (ping, traceroute, ..) funcionarán detrás del firewall (si no están deshabilitados por las restricciones del firewall).
Los servicios que usan TCP / de bajo nivel Los protocolos IP (ping, traceroute, ..) no funcionarán detrás del proxy.