Ein Proxy-Server ist ein Vermittler zwischen Client und Server.
Er verändert, filtert oder kontrolliert den Datenverkehr und bietet Sicherheit, Anonymisierung oder Lastverteilung.

Es gibt zwei Hauptarten:

• Forward Proxy
• Reverse Proxy

Diese werden oft verwechselt – diese Seite erklärt die Unterschiede klar.

Der Forward Proxy steht vor den Clients und vermittelt deren Anfragen nach außen.

Clients → Proxy → Internet

ASCII:

 Client → Forward Proxy → Internet

• Unternehmensnetzwerke
• Jugendschutz / Filter
• Logging & Monitoring
• Caching (Webseiten lokal zwischenspeichern)
• Zugriffskontrolle / Whitelisting
• Anonymisierung (Tor, VPN)

• Squid Proxy
• Microsoft Proxy / TMG (veraltet)
• Webfilter (Sophos, FortiGate, Palo Alto)
• Content-Filter-Proxy

• URL-Filterung
• Benutzer- und Gruppenfilter (LDAP/AD)
• Caching
• Malware-Prüfung
• Zugriffskontrolle (welcher User darf wohin?)
• Traffic-Optimierung

• zentral kontrollierter Internetzugang
• Bandbreitenersparnis (durch Caching)
• Sicherheit (Filter, Blocklisten)

• zusätzliche Latenz
• Privacy-Themen
• komplexe Regelwerke

Der Reverse Proxy schützt und verwaltet Server. Er steht vor Webanwendungen, APIs oder Diensten.

Internet → Reverse Proxy → interne Server

ASCII:

 Internet → Reverse Proxy → Webserver / API / Container

• Webhosting
• Microservices
• Cloud
• Docker-Stacks
• SSL/TLS-Management
• Load Balancing
• Sicherheit (WAF, Rate Limits)

• Nginx
• Traefik
• HAProxy
• Apache mod_proxy
• Envoy
• Cloudflare (Reverse Proxy CDN)

• TLS-Terminierung (Zertifikate zentral verwalten)
• Routing nach URLs & Domains
• Load Balancing (L7)
• Caching
• Web Application Firewall (WAF)
• Rate Limiting
• Authentifizierung (OIDC, JWT, Basic Auth)
• Verbindung mehrerer Backend-Systeme

• Backend-Server bleiben privat

  • öffentliche IP muss nur der Reverse Proxy haben
    * zentrale Zertifikatsverwaltung
    * erhöht Sicherheit & Performance
    

  Nachteile
• ein Reverse Proxy = Single Point of Failure (wenn kein HA)

  • HTTPS-Offloading braucht CPU
    

  —

Kurz:

• Forward Proxy = „Ich gehe über den Proxy ins Internet.“

  • Reverse Proxy = „Das Internet geht über den Proxy auf meine Server.“
    

  —

Reverse Proxys übernehmen oft die Entschlüsselung von HTTPS.

ASCII:

Client → HTTPS → Reverse Proxy → HTTP → Backend

Vorteile:

• weniger Last auf Backend-Servern
  * ein zentraler Ort für Zertifikate
  * bessere Sichtbarkeit für IDS/IPS
  * L7 Routing möglich
  

Mit Traefik in deinem Netzwerk Standard.

Moderne Stacks nutzen Reverse Proxys intensiv.

Beispiel Aufbau:

Traefik →
      /portainer
      /vaultwarden
      /nextcloud
      /matrix
      /mail

Funktionen:

• Weiterleitung nach Subdomain
  * TLS mit ACME
  * Middlewares (Redirect, Auth, IP-Whitelist)
  

—

• DDoS-Reduzierung

  • Rate Limits
    * Web Application Firewall
    * Header-Hardening (HSTS, X-Frame, CSP)
    * IP-Blocklisten (z. B. CrowdSec)
    * geobasiertes Blocking
    * Bot Detection
    

  —

Reverse Proxys können Inhalte zwischenspeichern:

• Bilder
  * statische Inhalte
  * API-Antworten
  

Dadurch wird der Backend-Server entlastet.

Viele verwechseln es:

• NAT = Netzwerkadressübersetzung (Layer 3)

  • Proxy = Anwenderprotokolle werden aktiv vermittelt (Layer 7 oder L4)
    

  Proxy ist viel höher in der Protokollkette angesiedelt.

• Forward Proxy → kontrolliert ausgehenden Traffic

  • Reverse Proxy → schützt und verteilt eingehenden Traffic
    * Reverse Proxy ist standard in Docker & Webhosting
    * Traefik / Nginx / HAProxy → mächtige Reverse Proxys
    * Forward Proxys filtern, cachen und steuern Benutzerzugriffe
    * Reverse Proxys übernehmen TLS, Routing, Auth & WAF