Reverse Proxy
Ein Reverse Proxy ist ein Server, der zwischen Clients (z.B. Webbrowsern) und Backend-Servern steht. Er nimmt eingehende Anfragen entgegen und leitet sie an die dahinterliegenden Server weiter. Dabei erscheint der Reverse Proxy nach außen wie der eigentliche Webserver, obwohl er die Anfragen nur vermittelt.
Anders als ein klassischer Forward Proxy, der Clients schützt und deren Identität verbirgt, schützt ein Reverse Proxy die Server-Infrastruktur. Er bildet eine Schutzschicht, sodass kein Client direkt mit den Origin-Servern kommuniziert.
Wie funktioniert ein Reverse Proxy?
Der Ablauf einer Anfrage über einen Reverse Proxy folgt einem klar definierten Muster. Wenn du eine Website aufrufst, die einen Reverse Proxy nutzt, kommunizierst du nie direkt mit dem eigentlichen Webserver.
- Anfrage abfangen: Der Client sendet eine HTTP-Anfrage an die öffentliche IP-Adresse. Der Reverse Proxy empfängt diese Anfrage.
- Anfrage analysieren: Der Proxy prüft die Anfrage und kann sie bei Bedarf modifizieren, z.B. durch Hinzufügen von Headern oder Sicherheitsprüfungen.
- Weiterleitung: Die Anfrage wird an einen geeigneten Backend-Server weitergeleitet. Bei mehreren Servern entscheidet der Proxy anhand von Load-Balancing-Regeln.
- Antwort empfangen: Der Backend-Server verarbeitet die Anfrage und sendet die Antwort zurück an den Reverse Proxy.
- Antwort ausliefern: Der Proxy kann die Antwort komprimieren, cachen oder modifizieren und liefert sie dann an den Client aus.
Dieser gesamte Vorgang geschieht innerhalb von Millisekunden. Für den Benutzer ist der Reverse Proxy völlig transparent - er merkt nicht, dass ein Vermittler zwischengeschaltet ist.
Hauptfunktionen eines Reverse Proxys
Reverse Proxys übernehmen verschiedene wichtige Aufgaben in modernen IT-Infrastrukturen. Die folgenden Funktionen machen sie zu einem zentralen Bestandteil vieler Webarchitekturen.
Load Balancing
Load Balancing ist eine der wichtigsten Funktionen eines Reverse Proxys. Bei hohem Traffic verteilt er eingehende Anfragen auf mehrere Backend-Server, um Überlastungen zu vermeiden. So wird sichergestellt, dass kein einzelner Server zum Flaschenhals wird.
- Round Robin: Anfragen werden reihum an alle Server verteilt
- Least Connections: Der Server mit den wenigsten aktiven Verbindungen erhält die nächste Anfrage
- IP Hash: Anfragen vom gleichen Client gehen immer an denselben Server
- Weighted: Server mit mehr Kapazität erhalten mehr Anfragen
SSL/TLS-Terminierung
Bei der SSL/TLS-Terminierung übernimmt der Reverse Proxy die gesamte Verschlüsselung und Entschlüsselung des HTTPS-Traffics. Die Backend-Server müssen sich nicht mehr um TLS-Zertifikate kümmern, was die Konfiguration vereinfacht und deren Performance verbessert.
Der Proxy verwaltet alle SSL-Zertifikate zentral. Die Kommunikation zwischen Proxy und internen Servern kann dann unverschlüsselt über das sichere interne Netzwerk erfolgen - oder optional mit internen Zertifikaten verschlüsselt werden.
Caching
Ein Reverse Proxy kann häufig angefragte Inhalte zwischenspeichern. Statische Ressourcen wie Bilder, CSS-Dateien oder JavaScript werden direkt aus dem Cache ausgeliefert, ohne dass der Backend-Server belastet wird. Das reduziert die Antwortzeiten erheblich und entlastet die Infrastruktur.
Sicherheit
Reverse Proxys bilden eine zusätzliche Sicherheitsschicht vor deinen Backend-Servern. Sie können verschiedene Schutzfunktionen übernehmen:
- IP-Maskierung: Die echten IP-Adressen der Backend-Server bleiben verborgen
- Traffic-Filterung: Verdächtige oder schädliche Anfragen werden blockiert
- DDoS-Schutz: Angriffe werden abgefangen, bevor sie die Server erreichen
- Web Application Firewall (WAF): Schutz vor Angriffen wie SQL-Injection oder Cross-Site-Scripting
- Rate Limiting: Begrenzung der Anfragen pro Client, um Missbrauch zu verhindern
Forward Proxy vs. Reverse Proxy
Die Begriffe Forward Proxy und Reverse Proxy werden oft verwechselt, obwohl sie gegensätzliche Aufgaben erfüllen. Der entscheidende Unterschied liegt darin, wer durch den Proxy geschützt wird.
| Merkmal | Forward Proxy | Reverse Proxy |
|---|---|---|
| Position | Vor den Clients | Vor den Servern |
| Schützt | Client-Identität | Server-Infrastruktur |
| Versteckt | Client-IP | Server-IP |
| Typischer Einsatz | Unternehmensnetzwerke, Anonymisierung | Webserver, APIs, Microservices |
| Beispiele | Squid, Privoxy | Nginx, HAProxy, Caddy |
Ein Forward Proxy sitzt im Client-Server-Modell auf der Client-Seite und leitet Anfragen im Namen der Clients weiter. Ein Reverse Proxy hingegen sitzt auf der Server-Seite und nimmt Anfragen im Namen der Server entgegen.
Beliebte Reverse-Proxy-Software
Es gibt verschiedene Software-Lösungen, die als Reverse Proxy eingesetzt werden können. Jede hat ihre Stärken und eignet sich für unterschiedliche Einsatzszenarien.
Nginx
Nginx ist einer der am häufigsten eingesetzten Reverse Proxys weltweit. Er wurde 2004 von Igor Sysoev entwickelt und zeichnet sich durch hohe Performance bei gleichzeitig geringem Ressourcenverbrauch aus. Nginx verwendet ein ereignisgesteuertes, asynchrones Modell, das besonders effizient mit vielen gleichzeitigen Verbindungen umgehen kann.
# Einfache Nginx Reverse-Proxy-Konfiguration
server {
listen 80;
server_name example.com;
location / {
proxy_pass http://backend-server:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}Apache HTTP Server
Der Apache HTTP Server kann mit dem Modul mod_proxy als Reverse Proxy konfiguriert werden. Apache ist besonders in Umgebungen verbreitet, die bereits auf dem LAMP-Stack aufbauen. Er bietet umfangreiche Konfigurationsmöglichkeiten durch .htaccess-Dateien.
# Apache Reverse-Proxy-Konfiguration
<VirtualHost *:80>
ServerName example.com
ProxyPreserveHost On
ProxyPass / http://backend-server:8080/
ProxyPassReverse / http://backend-server:8080/
</VirtualHost>Weitere Lösungen
Neben Nginx und Apache gibt es weitere spezialisierte Reverse-Proxy-Lösungen:
- Caddy: Moderner Webserver mit automatischer HTTPS-Konfiguration via Let's Encrypt
- HAProxy: Hochperformanter Load Balancer und Reverse Proxy für Enterprise-Umgebungen
- Traefik: Cloud-nativer Reverse Proxy, besonders beliebt in Docker- und Kubernetes-Umgebungen
- Envoy: Service Proxy für Microservices-Architekturen
Einsatzszenarien in der Praxis
Reverse Proxys kommen in vielen realen Szenarien zum Einsatz. Hier sind typische Anwendungsfälle, denen du in der IT-Praxis begegnen wirst:
Microservices-Architektur
In einer Microservices-Architektur fungiert der Reverse Proxy als API-Gateway. Er routet Anfragen an die richtigen Services, authentifiziert Benutzer und kann verschiedene APIs unter einer einheitlichen Adresse zusammenführen.
Container-Orchestrierung
Bei der Arbeit mit Docker und Kubernetes übernehmen Reverse Proxys wie Traefik oder Nginx Ingress Controller das Routing zu den einzelnen Containern. Sie erkennen automatisch neue Services und aktualisieren ihre Konfiguration dynamisch.
Content Delivery Networks
CDNs wie Cloudflare oder Akamai nutzen weltweit verteilte Reverse Proxys, um Inhalte näher am Benutzer zu cachen. Dadurch verkürzen sich die Ladezeiten erheblich, da Anfragen nicht erst zum Origin-Server reisen müssen.
Reverse Proxy in der IT-Praxis
Das Verständnis von Reverse Proxys ist für verschiedene IT-Berufe relevant. Als Fachinformatiker für Systemintegration wirst du häufig Webserver und Netzwerkinfrastrukturen einrichten, bei denen Reverse Proxys eine zentrale Rolle spielen - sei es für Load Balancing, SSL-Terminierung oder als zusätzliche Sicherheitsschicht.
Auch in der Anwendungsentwicklung begegnest du Reverse Proxys, etwa wenn du Webanwendungen in Container-Umgebungen bereitstellst oder mit Microservices-Architekturen arbeitest.