反向代理与内网穿透实战简介在互联网架构中代理技术和内网穿透是两个极为重要的网络技术。反向代理隐藏了内部服务器的真实地址提供了安全性和负载均衡能力内网穿透则让处于内网环境中的服务能够被外部访问。本文将从正向代理与反向代理的概念讲起结合 Nginx 配置、Squid 代理、frp/ngrok 内网穿透工具以及典型网络架构设计为你提供完整的实战指导。一、代理的概念1.1 什么是代理代理就是在客户端和服务器之间设置一道关卡。客户端发送请求数据后代理服务器将数据包拦截再以代理的身份将数据发送到服务器同理服务器返回响应数据时代理服务器也会拦截数据再返回给客户端。[图片占位符代理工作原理图]1.2 代理的分类代理的核心区别在于代理服务器代表谁正向代理Forward Proxy代理服务器代表客户端。客户端知道目标服务器的存在但目标服务器不知道真实的客户端是谁。反向代理Reverse Proxy代理服务器代表服务器。客户端不知道真实的服务器是谁以为代理服务器就是目标服务器。简单判断标准业务服务器在内网防火墙内还是外网防火墙外。如果被代理的是内网的服务器就是反向代理如果被代理的是客户端就是正向代理。二、正向代理2.1 正向代理的使用场景突破网络访问限制如访问被屏蔽的网站隐藏客户端的真实 IP缓存加速代理服务器缓存常用资源访问控制2.2 Squid 搭建正向代理以阿里云 Ubuntu 16.04 为例安装 Squidsudoapt-getinstallsquid配置 Squid(/etc/squid/squid.conf)# 修改代理服务器端口 http_port 3128 # 定义允许访问的客户端可选基于外网 IP acl myhome src 171.213.12.0/255.0.0.0 # 允许指定客户端访问 http_access allow myhome # 允许所有客户端访问不推荐生产环境使用 http_access allow all # 注释掉默认的拒绝规则 # http_access deny all注意阿里云需要在安全组中放行 3128 端口。重启并验证sudosystemctl restart squid.servicesudonetstat-nlt# 确认 3128 端口监听成功客户端配置在浏览器中设置 HTTP 代理指向 Squid 服务器的 IP 和端口3128然后在百度中搜索IP即可验证代理是否生效。三、反向代理3.1 反向代理的概念反向代理Reverse Proxy是指以代理服务器来接受 Internet 上的连接请求然后将请求转发给内部网络上的服务器并将从服务器上得到的结果返回给 Internet 上请求连接的客户端。此时代理服务器对外就表现为一个服务器。[图片占位符反向代理工作流程图]3.2 反向代理的作用隐藏真实服务器客户端只能看到代理服务器的地址无法直接访问内部业务服务器安全防护代理服务器作为第一道防线可以过滤恶意请求负载均衡将请求分发到多台后端服务器缓存加速缓存静态资源减轻后端服务器压力SSL 卸载在代理层处理 HTTPS 加解密3.3 Nginx 反向代理Nginx 作为一款优秀的 HTTP 服务器其反向代理功能在软件架构中起到极为重要的作用。工作原理客户端要访问处在内网环境防火墙后的业务服务器可以先访问公网上防火墙外的 Nginx 服务器再由 Nginx 代为访问业务服务器将结果反馈给客户端。Nginx 与业务服务器之间应配置安全的防火墙通道向外隐藏业务服务器。基础反向代理配置server { listen 80; server_name www.example.com; location / { proxy_pass http://192.168.1.100:8080; # 后端业务服务器地址 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }负载均衡配置upstream backend { server 192.168.1.100:8080 weight3; server 192.168.1.101:8080 weight2; server 192.168.1.102:8080 weight1; } server { listen 80; server_name www.example.com; location / { proxy_pass http://backend; } }HTTPS 配置SSL 卸载server { listen 443 ssl; server_name www.example.com; ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; location / { proxy_pass http://192.168.1.100:8080; } }四、典型网络架构4.1 网站三层架构随着互联网的快速发展单台服务器已经无法满足需求典型的分层架构应运而生[图片占位符三层网络架构示意图]第一层 – 前端服务器边缘服务器/反向代理服务器直接与用户发生联系部署在公网上防火墙外负责接收客户端请求、静态资源缓存、SSL 处理典型软件Nginx、HAProxy、Varnish第二层 – 应用服务器负责请求的业务逻辑处理部署在内网中不直接暴露给外网可以水平扩展多台典型架构Tomcat、Node.js、PHP-FPM第三层 – 数据库服务器负责数据的存储、查询和修改最内层安全性要求最高典型数据库MySQL、PostgreSQL、MongoDB可选的辅助层缓存服务器Redis、Memcached负载均衡服务器LVS、F5防火墙服务器4.2 架构设计原则由外向内安全性递增越内层的服务器安全性要求越高横向扩展通过增加服务器数量提升性能而不是单机升级单一职责每层只负责自己的核心功能故障隔离某层出现问题不影响其他层的正常运行五、内网穿透5.1 为什么需要内网穿透在开发过程中我们经常需要让外部网络访问本地开发环境中的服务如 Web 服务、API 接口等。但由于 NAT网络地址转换和防火墙的存在内网服务无法直接被外网访问。内网穿透工具就是用来解决这个问题的。5.2 内网穿透的原理内网穿透的核心原理是通过一台具有公网 IP 的服务器作为中转在内网客户端和公网服务器之间建立一条持久的连接通道。外部请求先到达公网服务器再通过隧道转发到内网服务。[图片占位符内网穿透原理图]5.3 frp 内网穿透frp 是一款优秀的内网穿透工具支持 TCP、HTTP、UDP、STCP 等多种协议配置简单清晰是 ngrok 的良好替代品。frp 架构frps服务端运行在有公网 IP 的服务器上frpc客户端运行在内网机器上服务端配置(frps.ini)[common] bind_port 7000 # frp 服务端口 dashboard_port 7500 # 仪表盘端口 dashboard_user admin dashboard_pwd password客户端配置(frpc.ini)[common] server_addr your_server_ip server_port 7000 # HTTP 穿透 [web] type http local_ip 127.0.0.1 local_port 8080 custom_domains your_domain.com # TCP 穿透 [ssh] type tcp local_ip 127.0.0.1 local_port 22 remote_port 6000启动# 服务端./frps-cfrps.ini# 客户端./frpc-cfrpc.ini5.4 ngrok 内网穿透ngrok 也可以利用云服务器搭建内网穿透服务但目前已停止维护推荐使用 frp 替代。5.5 应用场景开发调试将本地 Web 服务暴露给外部测试远程访问通过外网 SSH 访问内网服务器微信开发微信回调需要公网可访问的 URL临时演示将本地项目展示给远程客户六、网络基础知识6.1 路由器路由器负责网络路由功能即网络寻址。网络中两台计算机通信时数据包会经历成千上万的路由器。每个路由器收到数据包后计算下一个路由器的地址并转发直到数据包到达目的地。6.2 交换机交换机用于连接不同的局域网。假设公司有两个部门各有独立的局域网当它们需要通信时就需要交换机将两个网络联通。连接到同一交换机的任何网络都能互通。具有路由功能的交换机称为三层交换机。6.3 网关网关实质上是一个网络通向其他网络的 IP 地址。例如网络 A192.168.1.0/24网络 B192.168.2.0/24这两个网络之间不能直接通信TCP/IP 协议会根据子网掩码判定它们在不同的网络里。要实现通信必须通过网关转发网络 A 的主机发现目标不在本地网络将数据包转发给自己的网关网关转发给网络 B 的网关网络 B 的网关转发给目标主机6.4 带宽与吞吐量带宽每秒最多能传输的数据量理论上限20M 带宽 20,000,000 b/s 2.5 MB/s吞吐量每秒实际传输的数据量类比一条路一次能通过 100 辆车这是带宽某一秒正有 56 辆车通过这是吞吐量。七、安全注意事项7.1 反向代理安全Nginx 与后端服务器之间应配置安全的防火墙规则隐藏后端服务器的真实 IP使用 HTTPS 加密传输配置请求频率限制防止 DDoS7.2 内网穿透安全使用强密码和密钥认证限制可穿透的端口和协议定期审计穿透规则生产环境慎用仅用于开发和测试总结反向代理和内网穿透是现代网络架构中不可或缺的技术反向代理Nginx 是首选工具理解其代理服务器对外表现为一个服务器的本质三层架构前端 - 应用 - 数据库由外向内安全性递增内网穿透frp 是目前最推荐的工具配置简单功能强大网络安全在追求便捷的同时不要忽视安全性掌握这些技术不仅能帮你设计出更好的网络架构还能在日常开发和运维中解决很多实际问题。原始笔记来源hhjt/otherNotes.cppNginx/反向代理/Squid/frp/ngrok/网络架构部分