Ein Proxy-Server ist ein Vermittler zwischen Client und Server.
Er verändert, filtert oder kontrolliert den Datenverkehr und bietet Sicherheit, Anonymisierung oder Lastverteilung.

Es gibt zwei Hauptarten:

• Forward Proxy
• Reverse Proxy

Diese werden oft verwechselt – diese Seite erklärt die Unterschiede klar.

Der Forward Proxy steht vor den Clients und vermittelt deren Anfragen nach außen.

Clients → Proxy → Internet

ASCII:

 Client → Forward Proxy → Internet

• Unternehmensnetzwerke
• Jugendschutz / Filter
• Logging & Monitoring
• Caching (Webseiten lokal zwischenspeichern)
• Zugriffskontrolle / Whitelisting
• Anonymisierung (Tor, VPN)

• Squid Proxy
• Microsoft Proxy / TMG (veraltet)
• Webfilter (Sophos, FortiGate, Palo Alto)
• Content-Filter-Proxy

• URL-Filterung
• Benutzer- und Gruppenfilter (LDAP/AD)
• Caching
• Malware-Prüfung
• Zugriffskontrolle (welcher User darf wohin?)
• Traffic-Optimierung

• zentral kontrollierter Internetzugang
• Bandbreitenersparnis (durch Caching)
• Sicherheit (Filter, Blocklisten)

• zusätzliche Latenz
• Privacy-Themen
• komplexe Regelwerke

Der Reverse Proxy schützt und verwaltet Server. Er steht vor Webanwendungen, APIs oder Diensten.

Internet → Reverse Proxy → interne Server

ASCII:

 Internet → Reverse Proxy → Webserver / API / Container

• Webhosting
• Microservices
• Cloud
• Docker-Stacks
• SSL/TLS-Management
• Load Balancing
• Sicherheit (WAF, Rate Limits)

• Nginx
• Traefik
• HAProxy
• Apache mod_proxy
• Envoy
• Cloudflare (Reverse Proxy CDN)

• TLS-Terminierung (Zertifikate zentral verwalten)
• Routing nach URLs & Domains
• Load Balancing (L7)
• Caching
• Web Application Firewall (WAF)
• Rate Limiting
• Authentifizierung (OIDC, JWT, Basic Auth)
• Verbindung mehrerer Backend-Systeme

• Backend-Server bleiben privat
• öffentliche IP muss nur der Reverse Proxy haben
• zentrale Zertifikatsverwaltung
• erhöht Sicherheit & Performance

• ein Reverse Proxy = Single Point of Failure (wenn kein HA)
• HTTPS-Offloading braucht CPU

Kurz:

• Forward Proxy = „Ich gehe über den Proxy ins Internet.“
• Reverse Proxy = „Das Internet geht über den Proxy auf meine Server.“

Reverse Proxys übernehmen oft die Entschlüsselung von HTTPS.

ASCII:

 Client → HTTPS → Reverse Proxy → HTTP → Backend

Vorteile:

• weniger Last auf Backend-Servern
• ein zentraler Ort für Zertifikate
• bessere Sichtbarkeit für IDS/IPS
• L7 Routing möglich

Moderne Stacks nutzen Reverse Proxys intensiv.

Beispiel Aufbau:

 Traefik →
       /portainer
       /vaultwarden
       /nextcloud
       /matrix
       /mail

Funktionen:

• Weiterleitung nach Subdomain
• TLS mit ACME
• Middlewares (Redirect, Auth, IP-Whitelist)

• DDoS-Reduzierung
• Rate Limits
• Web Application Firewall
• Header-Hardening (HSTS, X-Frame, CSP)
• IP-Blocklisten (z. B. CrowdSec)
• geobasiertes Blocking
• Bot Detection

Reverse Proxys können Inhalte zwischenspeichern:

• Bilder
• statische Inhalte
• API-Antworten

Dadurch wird der Backend-Server entlastet.

Viele verwechseln es:

• NAT = Netzwerkadressübersetzung (Layer 3)
• Proxy = Anwenderprotokolle werden aktiv vermittelt (Layer 7 oder L4)

Proxy ist viel höher in der Protokollkette angesiedelt.

• Forward Proxy → kontrolliert ausgehenden Traffic
• Reverse Proxy → schützt und verteilt eingehenden Traffic
• Reverse Proxy ist standard in Docker & Webhosting
• Traefik / Nginx / HAProxy → mächtige Reverse Proxys
• Forward Proxys filtern, cachen und steuern Benutzerzugriffe
• Reverse Proxys übernehmen TLS, Routing, Auth & WAF