Le reverse proxy en 5 questions

Qu'est-ce qu'un reverse proxy ?
Le proxy inversé remplit le rôle de passerelle entre Internet et le réseau local d'entreprise. Il donne accès depuis l'extérieur et via Internet aux serveurs internes de l'entreprise en transmettant indirectement les requêtes qui lui sont adressées. Cela évite à l'entreprise de trop exposer ses serveurs Web frontaux, en les plaçant derrière un serveur sécurisé et prévu pour encaisser des grosses charges de trafic.

L'autre intérêt du reverse proxy provient de la gestion des logs de manière à établir des tableaux de bord précis de l'usage d'une application distante. Le reverse proxy peut faire office de serveur cache également, afin de soulager les serveurs Web frontaux des requêtes les plus courantes. Il sert également d'accélérateur SSL pour répondre à des besoins de temps de réponse court.

Autre fonction utile, les reverse proxy peuvent faire office de machines intermédiaires pour la compression de données, ou comme pare-feu. C'est en effet la fonction du proxy que de bloquer les menaces entrantes et d'assurer l'authentification de l'utilisateur distant. A ce titre, il peut servir de serveur de cryptage SSL et être directement connecté à des serveurs d'authentification avec lesquels il va gérer les droits d'accès et la durée des sessions.

Le reverse proxy peut-il diminuer la complexité d'une architecture Web ?
Oui, s'il existe de nombreux services différents. D'abord parce qu'en centralisant toutes les requêtes depuis un point d'accès unique, il est ensuite possible de gérer de manière uniforme les pages d'erreurs 404 par exemple, la gestion du cache ou l'authentification des utilisateurs. De plus, si les applications Web accèdent à des environnements très distincts, le reverse proxy est capable de traiter de manière centralisée toutes les requêtes indistinctement.

En revanche, comme le reverse proxy devient vite le couteau suisse des sites Web, il devient aussi l'élément le plus fragile. En cas d'attaque à distance, si le hacker parvient à infiltrer le serveur proxy il peut avoir accès à tout élément du réseau interne. Pour limiter ce risque, les entreprises séparent généralement la machine dans une zone sécurisée (DMZ). L'idée étant de ne permettre les connexions entre les différentes DMZ que sur un port donné et entre deux applications, afin de limiter la zone d'exposition.

Comment se passe la gestion des adresses Web avec un reverse proxy ?
Sur Internet, il n'existe plus qu'une seule adresse visible : celle du reverse proxy. Les serveurs Web frontaux placés derrière dispose d'une adresse locale, ce qui a pour avantage de ne pas multiplier la réservation de plages d'adresses et donc les coûts. Le reverse proxy va se charger seul d'attribuer pour une requête Web, une adresse locale d'un serveur interne, puis en sens inverse de transférer la réponse à l'internaute en mémorisant son adresse Web par le biais du protocole NAT (lire l'article "La translation d'adresse réseau ou NAT" du 31/05/2006).

La taille de la mémoire sur ces machines, ainsi que la gestion des entrées / sorties devient donc vite la clé d'une bonne performance. L'autre avantage de n'avoir qu'une seule adresse Internet visible consiste à pouvoir changer de manière transparente son architecture serveurs en interne sans impact sur l'adressage IP Internet.

Quels sont les reverse proxy du marché les plus utilisés ?
Apache, Lighttpd, Nginx, Squid, Freeproxy et Microsoft ISA. Outre ces solutions dédiées, il existe des boîtiers de gestion du trafic qui remplissent également cette tâche comme ceux de BlueCoat, Deny All, CheckPoint, F5 Networks ou Cisco. Le choix d'un reverse proxy s'effectue en fonction du serveur Web majoritaire, Apache ou IIS, et de ses performances vis-à-vis de ce dernier.