Reverse-Proxys dienen als ver­mit­teln­de Netz­werk­kom­po­nen­te, um Server von öf­fent­li­chen On­line­diens­ten ab­zu­si­chern. Sie nehmen Server-Anfragen stell­ver­tre­tend entgegen und leiten sie an die Nutzer:innen weiter.

Wie funk­tio­niert ein Reverse-Proxy?

Im Grunde fungiert ein Proxy-Server als Kom­mu­ni­ka­ti­ons­schnitt­stel­le im Netzwerk, die Anfragen annimmt und stell­ver­tre­tend an einen Ziel-Server wei­ter­reicht. Ein Reverse-Proxy wird dabei zwischen Clients (z. B. Web­brow­sern) und Backend-Servern (z. B. Web­ser­vern, Da­ten­ban­ken oder An­wen­dun­gen) platziert. Sobald eine Anfrage eintrifft, ent­schei­det er, ob und an welche interne Kom­po­nen­te diese wei­ter­ge­lei­tet wird. Der Prozess umfasst vier we­sent­li­che Schritte:

  1. Empfang der Client-Anfrage: Der Reverse-Proxy nimmt HTTP-, HTTPS- oder andere Anfragen wie FTP oder WebSocket entgegen.
  2. Analyse der Anfrage: Der Proxy prüft die Gül­tig­keit, sucht nach Si­cher­heits­ri­si­ken und kon­trol­liert, ob eine zwi­schen­ge­spei­cher­te Version vorliegt.
  3. Wei­ter­lei­tung an den Server: Kann die Anfrage nicht aus dem Cache be­ant­wor­tet werden, sendet der Reverse-Proxy sie an einen der internen Server.
  4. Antwort an den Client: Der Proxy erhält die Antwort vom Backend, ver­ar­bei­tet sie bei Bedarf (z. B. Ver­schlüs­se­lung) und schickt sie an die Kund­schaft zurück.
Bild: Schematische Darstellung eines Reverse-Proxys
Reverse-Proxy und Webserver befinden sich in einem ge­mein­sa­men, internen Netzwerk

Was ist der Un­ter­schied zu Forward-Proxys?

Während Reverse-Proxys zwischen Clients und Backend-Servern stehen, befinden sich Forward-Proxys zwischen Clients und dem Internet. Ein Forward-Proxy bündelt alle Client-Anfragen und leitet diese mit der eigenen Adresse an Ziel­ser­ver im Web weiter. Auch Antworten landen zuerst beim Proxy. Dadurch bleibt die Identität der Clients verborgen – außer es wird ein trans­pa­ren­ter Proxy genutzt. Ein Forward-Proxy schützt somit Clients im internen Netz, während ein Reverse-Proxy öf­fent­li­che Server absichert und deren Er­reich­bar­keit optimiert.

Reverse-Proxys punkten durch Load Balancing und Si­cher­heits­fea­tures für Ser­ver­struk­tu­ren, Forward-Proxys hingegen beim Schutz der Endgeräte.

Bild: Schematische Darstellung eines Forward-Proxys
Anders als beim Reverse-Proxy befindet sich der Forward-Proxy in einem ge­mein­sa­men, internen Netzwerk mit den Clients.

Reverse-Proxy: An­wen­dungs­ge­bie­te

Durch das Bündeln von Anfragen lässt sich der Da­ten­ver­kehr via Reverse-Proxy präzise steuern. So können mehrere Server unter einer URL laufen, Lasten verteilt und Zugriffe per Caching be­schleu­nigt werden. Hier sind die wich­tigs­ten Ein­satz­be­rei­che:

Load Balancing

Ein Reverse-Proxy kann eine URL mit ver­schie­de­nen internen Servern ver­knüp­fen und Anfragen verteilen. Dieses Load Balancing ver­hin­dert Über­las­tun­gen und hilft bei Ausfällen. Ist ein System defekt, leitet der Proxy den Traffic einfach an die aktiven Server weiter. Das stellt die Ver­füg­bar­keit deiner Dienste jederzeit sicher.

Caching

Um die Per­for­mance zu steigern, speichern Reverse-Proxys häufig genutzte Inhalte zwischen. Durch dieses Caching kann der Proxy Anfragen direkt selbst be­ant­wor­ten. Statische Daten wie Bilder oder CSS-Dateien liegen dann direkt im Speicher bereit. Das entlastet das Backend und be­schleu­nigt den Sei­ten­auf­ruf massiv. Bei dy­na­mi­schen Inhalten besteht jedoch das Risiko, dass Nutzer:innen kurz­zei­tig nicht mehr aktuelle Daten sehen.

Schutz- und Si­cher­heits­maß­nah­men

Ein Reverse-Proxy dient als Schutz­schild für deine Server und bietet wichtige Si­cher­heits­funk­tio­nen:

  • DDoS-Schutz: Er erkennt massiven Traffic durch DDoS-Angriffe und blockt diesen ab, bevor das Backend über­las­tet wird.
  • Web-Ap­pli­ca­ti­on-Firewall (WAF): Viele Proxys filtern Angriffe wie SQL-In­jec­tions oder Cross-Site-Scripting (XSS) direkt aus.
  • IP-White­lis­ting und -Black­lis­ting: Der Proxy lässt nur ver­trau­ens­wür­di­ge IP-Adressen zu oder sperrt bekannte Angreifer dauerhaft aus.
  • Ver­schleie­rung: Interne IP-Adressen bleiben verborgen, was gezielte Attacken auf deine In­fra­struk­tur deutlich erschwert.

Ver­schlüs­se­lung

Reverse-Proxys über­neh­men oft die Ent­schlüs­se­lung von SSL/TLS-Anfragen (HTTPS). Sie ver­ar­bei­ten das Zer­ti­fi­kat, leiten die Daten an das Backend weiter und ver­schlüs­seln die Antwort für den Client wieder. Das spart Re­chen­leis­tung auf den ei­gent­li­chen An­wen­dungs­ser­vern.

An­ony­mi­sie­rung

Ein Reverse-Proxy kann Client-IPs maskieren oder ersetzen, um die Pri­vat­sphä­re zu schützen und Logs zu an­ony­mi­sie­ren. Zudem er­mög­licht dies Geo-Load-Balancing: Anfragen werden au­to­ma­tisch an den Server geleitet, der geo­gra­fisch am nächsten zur Nutzerin oder zum Nutzer liegt.

Kom­pres­si­on

Zur Op­ti­mie­rung der La­de­zei­ten kom­pri­miert der Proxy ein- und aus­ge­hen­de Da­ten­pa­ke­te. Häufig kommt dabei gzip zum Einsatz, oft in Ver­bin­dung mit Web­ser­vern wie Apache oder NGINX.

Zum Hauptmenü