Kemp Technologies Blogs

Forward-Proxy vs. Reverse-Proxy: Unterschiede und Gemeinsamkeiten

Doug Barney | Posted on | Load Balancer

Viele, sogar einige IT-Profis, sind verwirrt über den Unterschied zwischen einem Forward-Proxy und einem Reverse-Proxy. Von denjenigen, die den Unterschied kennen, wissen nicht alle, wann welche Form des Proxys eingesetzt werden sollte und worin die jeweiligen Vorteile bestehen. Beginnen wir mit grundlegenden Definitionen.

Was ist ein Proxy?

In der Computerwelt vermittelt ein Proxy Verbindungen zwischen zwei Systemen, oft einem Client und einem Server. Im Falle eines Clients und eines Servers geht die Client-Anfrage an den Proxy, der sie an den Server weiterleitet, der die Daten an den Proxy zurücksendet, der sie dann an den Client zurückleitet.


Proxyserver sind Vermittler zwischen Clients und Webservern. Sie dienen einer Vielzahl von Zwecken, z. B. der Beschleunigung des Internetzugangs durch Zwischenspeicherung bereits besuchter Seiten, der Bereitstellung von Firewall- und Load Balancing Services, der Verwendung von Proxy-Identitäten zum Schutz einer IP-Adresse oder echten Identität und der Filterung von Web-Tracking, wodurch unerwünschte Inhalte blockiert werden können.

Was ist ein Forward-Proxy?

Ein Forward-Proxy, der gebräuchlichste aller Proxy-Server, befindet sich zwischen einem Benutzer oder Client und fängt Benutzeranforderungen an einen Webserver ab. Anstatt sie direkt an diesen Server zu senden, überträgt sie die Anfrage im Namen des Benutzers und verbirgt die Identität des Benutzers. Der Weiterleitungsproxy prüft die Antwort und leitet sie bei Genehmigung an den Benutzer zurück. Ein Forward Proxy enthält oft eine Firewall, um die Sicherheit der Daten in der Antwort zu gewährleisten.

Die Proxy-Funktion bedeutet, dass der Internet-Server den Proxy-Server als Anforderer identifiziert und nicht den eigentlichen Benutzer. Beispielsweise akzeptiert eine Web-Proxy-Appliance-Anforderungen von Clientcomputern und leitet sie dann an das Internet weiter. 

Was ist ein Reverse-Proxy?

Der Begriff Reverse-Proxy wird normalerweise für einen Dienst verwendet, der einem oder mehreren Servern (z. B. einem Webserver) vorgeschaltet ist und Anfragen von Clients nach Ressourcen auf dem/den Server(n) annimmt. Aus Sicht des Clients erscheint der Reverse-Proxy als Webserver und ist somit für den entfernten Benutzer völlig transparent.

Wie wir in unserem Beitrag "Wo ist mein Reverse-Proxy und wie ersetze ich TMG?" erklären, ist ein Reverse-Proxy ein Proxy, der so konfiguriert ist, dass er Anforderungen von einer Gruppe von Remote- oder beliebigen Clients an eine Gruppe bekannter Ressourcen unter der Kontrolle des lokalen Administrators verarbeitet. Ein Beispiel hierfür ist ein Load Balancer (auch bekannt als Application Delivery Controller), der die Hochverfügbarkeit von Anwendungen und die Optimierung von Workloads wie Microsoft Lync, Exchange und SharePoint gewährleistet. Der Zweck eines Reverse-Proxys besteht darin, die Serversysteme zu verwalten.

Was ist also der Unterschied zwischen einem Forward-Proxy und einem Reverse-Proxy?

Mit einem Forward-Proxy kommunizieren Websites nicht direkt mit einem Client. Bei einem Reverse-Proxy interagieren Clients nie direkt mit Back-End-Servern.


Quelle: Microsoft 

Welche Arten von Forward-Proxys gibt es?

Es gibt mehrere Haupttypen von Forward Proxies, die hauptsächlich dadurch definiert sind, wo sie ansässig sind oder welche Standorte sie bedienen.

  • Wohnsitz-Proxy: Wohnsitz-Proxys stammen in der Regel von einem Internet Service Provider (ISP) und verschleiern den tatsächlichen physischen Standort. Der Benutzer kann einen Ort auswählen, z. B. ein Land oder eine Stadt, und da die Proxy-Adresse des Wohnorts einen tatsächlichen physischen Standort hat, scheint der Benutzer aus diesem Gebiet zu kommen.
  • Rechenzentrum-Proxy: Dieser Proxy-Typ wird in der Regel von einem Unternehmen verwendet und stammt nicht von einem ISP. Rechenzentrum-Proxys können IP-Adressen zuweisen, die aus dem eigenen Adresspool des Rechenzentrum-Proxys und/oder von Cloud-Drittanbietern stammen.
  • Mobiler Proxy: Während ein mobiler Proxy so klingt, als wäre er für mobile Geräte gemacht, stammt stattdessen die Proxy-IP-Adresse selbst aus einem Mobilfunknetz, im Gegensatz zu einem Wohnsitz- oder Rechenzentren-Proxy, der nach seinem festen Ursprungspunkt benannt ist. Da ein mobiler Proxy jedoch keinen festen Standort hat, erweckt er den Anschein, dass dieses Gerät ein mobiles Datennetzwerk verwendet. Mobile Proxys werden häufig von Cyberkriminellen und Betrügern verwendet.

Warum sollte ich einen Forward-Proxy verwenden?

Forward-Proxys erhöhen die Sicherheit für Benutzer in einem privaten Netzwerk, maskieren die ursprüngliche IP-Adresse, um Anonymität zu gewährleisten, und kontrollieren und regulieren den Datenverkehr, der an den Endnutzer zurückgeleitet wird. 

Es gibt mehrere wichtige Einsatzmöglichkeiten für Forward-Proxys. Hier sind einige wichtige Details:

  • Abruf von Inhalten von geographisch eingeschränkten Standorten: Manchmal ist es wichtig, auf Daten von geografisch eingeschränkten Standorten zuzugreifen, z.B. wenn ein in den USA ansässiger Endnutzer Inhalte aus Italien wünscht oder benötigt. Ein Forward Proxy maskiert die Identität und den Standort des Kunden und ermöglicht so den Zugriff auf Inhalte, die sonst nur in bestimmten Ländern verfügbar sind.
  • Anonymisierung von Webservern: Ein Forward-Proxy-Server verbirgt die echte IP-Adresse des Webservers, indem er sie durch die IP-Adresse seines eigenen Proxys ersetzt und so für die Sicherheit des Webservers sorgt.
  • Web-Scraping: Web-Scraping ist vielleicht der häufigste Einsatz von Proxys und hilft Unternehmen, Informationen von anderen Websites zu sammeln; oft von einem Konkurrenten, um Marktinformationen bereitzustellen.

Welche Arten von Reverse-Proxys gibt es?

Reverse-Proxys haben die gleichen grundlegenden Funktionen oder Grundlagen, aber es gibt unterschiedliche Typen.

Einige Reverse-Proxys sind grundlegende Vermittler, die zwischen Benutzern und einem Webserver sitzen und die IP-Adressen verschleiern. Andere haben tiefere Funktionen wie Load Balancing und Firewall-Dienste. Die besten Load Balancing Services, wie z. B. Kemp LoadMaster, verfügen über eine Vielzahl von Funktionen.

  • Load Balancer: Ein Load Balancing Service kann als Software oder Hardware auf einem Gerät eingesetzt werden, das die Verbindungen von Clients zwischen einer Reihe von Servern verteilt. Ein Load Balancer fungiert als Reverse-Proxy, um die Anwendungsserver über eine virtuelle IP-Adresse (VIP) für den Client darzustellen. Diese Technologie wird als Server Load Balancing (SLB) bezeichnet. SLB ist für Pools von Anwendungsservern innerhalb eines einzelnen Standorts oder eines lokalen Netzwerks (LAN) konzipiert.
  • Application Delivery Controller: Ein Application Delivery Controller (ADC), manchmal auch als Load Balancer bezeichnet, ist ein Netzwerkserver, der die Webserver von prozessorintensiven Aufgaben entlastet, damit diese sich auf Anwendungsaufgaben konzentrieren können. ADC ist eine Kernkomponente eines Application Delivery Network, das aus einer Reihe von Technologien besteht, die gemeinsam eingesetzt werden, um Anwendungen effizient über ein Netzwerk bereitzustellen.
  • Verschlüsselungsserver: Hier umfasst der Proxy Verschlüsselungsdienste wie TSL und Zertifikatsverwaltung.
  • Caching-Server: Diese Server sind hauptsächlich darauf ausgelegt, die Webleistung zu beschleunigen, indem häufig aufgerufene Inhalte zwischengespeichert werden.
  • Content Delivery Networks (CDN): Diese Netzwerke, die für stark frequentierte Websites entwickelt wurden, speichern den Datenverkehr an Orten, die näher an den Endnutzern liegen, um eine schnellere Auslieferung der Inhalte zu ermöglichen, und verfügen über geografisch verteilte Datenzentren, die diese Inhalte speichern.
  • Web Application Firewall: Eine Web Application Firewall (WAF) baut auf dem herkömmlichen Firewall-Sicherheitsschutz auf und erweitert ihn. Herkömmliche Firewalls können den verschlüsselten HTTPS-Datenverkehr nicht stoppen, da sie keinen Einblick in den darin enthaltenen Inhalt haben. Eine Web Application Firewall, die logisch zwischen Standard-Firewalls und Webservern platziert ist, arbeitet auf Layer 7 des Netzwerk-Stacks. Sie kann den HTTPS-Verkehr entschlüsseln und den Dateninhalt überprüfen. In Verbindung mit Listen bekannter Angriffsmethoden kann die Web Application Firewall den Zugriff auf Webserver verweigern, wenn sie bösartige Aktivitäten feststellt. 

Was ist der Unterschied zwischen einem Load Balancer und einem Reverse-Proxy?

Ein Reverse-Proxy ist in der Regel ein einfacherer Ansatz, bei dem der Proxy eine Anfrage von einem Client erhält, sie zur Verarbeitung an einen Server weiterleitet und dann die Antwort des Servers an den Client sendet, der die Anfrage gestellt hat.

Reverse-Proxys stellen eine Abstraktionsebene zwischen dem Client und dem Server dar – daher der Begriff Proxy ("Stellvertreter"). Auf diese Weise interagiert ein Hacker nicht direkt mit dem Server und kann keine erfolgreichen Angriffe wie DDoS starten.

Im Gegensatz dazu nimmt ein Load Balancer Client-Anforderungen entgegen und verteilt sie auf eine definierte Gruppe von Servern. In diesem Prozess übernimmt der für die Anforderung am besten geeignete Server die Verarbeitung und sendet die Antwort an den Client zurück. Oft ist dies der Server mit der geringsten Last (Load), was bedeutet, dass er die Anfrage am schnellsten verarbeiten kann und einen bereits stark ausgelasteten Server nicht belastet.

Ein Load Balancer ist ein Reverse-Proxy. Es stellt eine virtuelle IP-Adresse (VIP) dar, die die Anwendung für den Client darstellt. Der Client stellt eine Verbindung zum VIP her, und der Load Balancer entscheidet mit Hilfe seiner Algorithmen, die Verbindung an eine bestimmte Anwendungsinstanz auf einem Server weiterzuleiten. Der Load Balancer verwaltet und überwacht die Verbindung während der gesamten Dauer.

Was macht ein Load Balancer?

Anwendungs-Workloads/Server

Load Balancer sorgen für Verfügbarkeit und Skalierbarkeit  der Anwendung. Die Anwendung kann über die Kapazität eines einzelnen Servers hinaus skaliert werden. Der Load Balancer leitet den Datenverkehr über verschiedene Load-Balancing-Algorithmen zu einem Pool verfügbarer Server weiter. Wenn Sie mehr Ressourcen benötigen, können Sie zusätzliche Server hinzufügen.

Verfügbarkeit

Load Balancer überprüfen den Zustand der Anwendung auf dem Server, um ihre Verfügbarkeit festzustellen. Wenn die Zustandsprüfung fehlschlägt, nimmt der Load Balancer die Instanz der Anwendung aus dem Pool der verfügbaren Server. Wenn die Anwendung wieder online geschaltet wird, überprüft die Integritätsprüfung ihre Verfügbarkeit, und der Server wird wieder in den Verfügbarkeitspool aufgenommen.

Proxy 101: Drei häufig gestellte Fragen

Ist VPN ein Forward-Proxy?

Ja. Ein VPN ist ein Forward-Proxy. Im Gegensatz zu einfachen Forward-Proxys verschlüsselt das VPN jedoch Daten, die hin und her übertragen werden. 

Während ein VPN ähnliche Funktionen wie ein Proxy hat, einschließlich des Verbergens einer Endnutzer-IP-Adresse, ist ein VPN ein breiter angelegter Ansatz, um die Sicherheit der Endnutzer zu gewährleisten. Ein VPN gilt für alle Websites, Apps und Remote-Standorte, auf die ein Endbenutzer zugreift. 

Proxys arbeiten auf Anwendungsebene und leiten den Datenverkehr eines einzelnen Browsers oder Programms um. Im Gegensatz dazu arbeitet ein VPN auf Betriebssystemebene und leitet den gesamten Datenverkehr des VPN-Benutzers über den VPN-Server um.

Was ist ein DNS-Forwarding-Proxy?

Ein DNS-Proxy kann sowohl Anforderungen als auch Antworten zwischen DNS-Clients und einem DNS-Server weiterleiten. Dies sorgt für eine schnellere DNS-Antwort und reduziert die Latenzzeit im Netzwerk. Vielleicht noch wichtiger ist, dass die DNS-Forwarding über einen Proxy DNS-Adressen schützt und sie vor böswilligen Akteuren schützt.

Bei der DNS-Weiterleitung wird eine DNS-Anforderung von einem DNS-Server an einen anderen Server weitergeleitet, z. B. die Weiterleitung interner DNS-Serveranforderungen an einen DNS-Server bei einem Internetdienstanbieter.

Welcher Proxy ist besser für mein Unternehmen?

Für welchen Proxy Sie sich entscheiden, hängt davon ab, was Sie schützen wollen, z. B. Kunden oder Webserver, und welche Funktionen Sie benötigen. Wenn Sie nur Identitäten schützen müssen, sind sehr einfache Proxys wahrscheinlich ausreichend. High-End-Proxys wie Kemp LoadMaster können jedoch mit einer Reihe von Funktionen wie Anwendungsbereitstellung, Verschlüsselungsverwaltung und Web-Firewall-Funktionalität aufwarten.

Ein Forward-Proxy schützt eine Website, indem er dafür sorgt, dass sie ihre IP-Adresse nicht preisgibt und nicht direkt mit Endnutzern kommuniziert. Diese Proxys können die Antworten der Endnutzer beschleunigen, indem sie Daten zu häufig gestellten Anfragen zwischenspeichern. Wenn Ihnen die Leistung und Sicherheit Ihrer Website am Herzen liegt, sind Forward-Proxys die richtige Lösung.

Reverse-Proxys bewirken das Gegenteil und sorgen dafür, dass Endnutzer nicht direkt mit einer Website oder Back-End-Servern kommunizieren. Wenn Sie die Endnutzer-Antworten verbessern möchten, leiten Reverse-Proxys (und insbesondere Load Balancer) Endnutzeranforderungen an die am besten verfügbare Ressource weiter. Sie können auch Endnutzersicherheit durch Anonymität oder manchmal durch Verschlüsselung wie SSL bieten. 

Kann ein Forward-Proxy als Reverse-Proxy fungieren?

Ein Forward-Proxy-Server kann nicht als Reverse-Proxy-Server fungieren, da die beiden Proxy-Typen genau entgegengesetzte Zwecke haben. 

Weitere Informationen

Alles, was Sie über ADCs wissen müssen und wie Ihr Unternehmen davon profitieren kann, finden Sie auf der Seite Application Delivery Controller. Sie können außerdem mehr über Web Application Firewalls auf dieser Seite erfahren.