Quelle est la différence entre un proxy direct et un proxy inverse ?
Réponse courte
Un proxy direct se place devant les clients et émet des requêtes sortantes en leur nom — pour le contrôle de sortie, le filtrage, la mise en cache et l'anonymat. Un proxy inverse se place devant les serveurs et reçoit les requêtes entrantes en leur nom — pour la répartition de charge, la terminaison TLS, la mise en cache et comme façade de sécurité pour un WAF. Le sens vers lequel il fait face, côté client ou côté serveur, est la distinction clé.
Les deux sont des intermédiaires qui relaient le trafic, mais ils se trouvent aux extrémités opposées de la conversation et servent des propriétaires différents. Bien comprendre le sens — et les cas d'usage de sécurité — est ce que le recruteur vérifie.
Proxy direct : devant les clients
Un proxy direct agit pour le compte des clients situés derrière lui. Lorsque le navigateur d'un utilisateur est configuré pour l'utiliser, ses requêtes passent par le proxy, qui les transmet à Internet et renvoie la réponse. Le proxy connaît les clients ; le serveur de destination ne voit généralement que l'IP du proxy.
Les usages typiques sont côté client : appliquer une charte d'usage et le filtrage de sortie, le filtrage de contenu, la mise en cache pour économiser la bande passante, la journalisation/DLP du trafic sortant, et fournir l'anonymat en masquant le vrai client.
Proxy inverse : devant les serveurs
Un proxy inverse agit pour le compte des serveurs situés derrière lui. Les clients sur Internet se connectent au proxy inverse en croyant que c'est le serveur ; il transmet à l'un de plusieurs back-ends et renvoie la réponse. Le client ne sait pas combien de serveurs existent ni leurs adresses réelles.
Les usages typiques sont côté serveur : la répartition de charge entre back-ends, la terminaison TLS (déchiffrer une seule fois à la périphérie), la mise en cache et la compression, et le fait d'agir comme point de passage où s'appliquent un WAF, la limitation de débit et la protection DDoS. Les exemples incluent Nginx, HAProxy et les bordures de CDN.
Le modèle mental
Même mécanique, intention opposée : un proxy direct cache et contrôle les clients ; un proxy inverse cache et protège les serveurs. Un répartiteur de charge est essentiellement un proxy inverse spécialisé, axé sur la distribution de la charge entrante.
Les recruteurs attendent le cadrage côté client vs côté serveur et au moins un cas d'usage de sécurité correct pour chaque sens.
Questions de suivi probables
- Comment un proxy inverse aide-t-il à la terminaison TLS et à un WAF ?
- Comment les entreprises utilisent-elles les proxys directs pour la prévention de fuite de données et le filtrage de sortie ?
- Où se situe un répartiteur de charge par rapport à un proxy inverse ?