在现代网络架构中，“代理”早已不是黑客电影里的神秘词汇，它早就融入了日常的互联网生活。

从公司上网限制、加速访问海外网站，到 CDN 全球加速、负载均衡，甚至是隐藏服务器真实 IP，背后几乎都绕不开两个关键角色：正向代理（Forward Proxy） 和 反向代理（Reverse Proxy）。

很多人第一次听说这两个概念时，常常一脸懵：

• • 它们都叫“代理”，是不是一样的？
• • 正向代理是给用户用的，反向代理是给服务器用的？
• • Nginx 是反向代理，那正向代理用什么？

其实，这些问题的答案，和你理解的可能差得不远，但细节上却暗藏玄机。

今天，我们就用网络工程师的视角，彻底拆解它们的原理、区别、应用场景，顺便分享几个实际部署案例，让你看完就能在项目里直接上手。

正向代理

正向代理是一种位于客户端和目标服务器之间的代理服务器，代替客户端向目标服务器发起请求，并将返回结果转发给客户端。

换句话说，目标服务器看到的并不是你的真实客户端 IP，而是代理服务器的 IP。

官方定义可能听起来枯燥，我们换个形象的比喻：

你想去一个地方买东西，但不想让商店知道是你本人，于是你让朋友帮你去买，再把东西带回来。这位朋友，就是正向代理。

工作原理图：

客户端  →  正向代理  →  目标服务器

1. 1. 客户端将请求发送给正向代理（需要事先配置代理服务器的地址和端口）。
2. 2. 正向代理替客户端向目标服务器发起请求。
3. 3. 目标服务器将响应返回给代理服务器。
4. 4. 代理服务器再将响应转发给客户端。

常见用途

• • 突破访问限制：例如访问被防火墙封锁的网站。
• • 隐藏客户端真实身份：保护用户隐私。
• • 缓存和加速：代理可缓存常用资源，减少重复下载。
• • 内容过滤：企业内部网络可通过正向代理限制员工访问特定网站。

际案例

• • 科学上网工具（VPN、Shadowsocks、Squid 等）
• • 公司内网 HTTP/HTTPS 代理（浏览器需要配置代理服务器地址）

反向代理

反向代理是位于客户端和后端服务器之间的代理服务器，代替后端服务器接收客户端请求，并将请求转发到真实的后端服务器，再将响应返回给客户端。

形象比喻：

你去一家餐厅点菜，看到的只是服务员（反向代理），服务员将订单传给后厨（真实服务器），做好后再由服务员送给你。你从头到尾都不知道后厨在哪里、是什么样子。

工作原理图：

客户端  →  反向代理  →  后端服务器（真实服务器）

1. 1. 客户端发起请求（无需知道真实服务器地址）。
2. 2. 反向代理接收请求，根据规则选择合适的后端服务器转发。
3. 3. 后端服务器处理请求并返回响应给反向代理。
4. 4. 反向代理将响应返回给客户端。

常见用途

• • 隐藏真实服务器 IP：提高安全性，防止直接攻击。
• • 负载均衡：将请求分发到多个后端服务器，提高性能和可用性。
• • SSL 卸载：由反向代理负责 HTTPS 加解密，减轻后端压力。
• • 缓存加速：在代理层缓存静态资源，提高访问速度。
• • 应用防火墙：过滤恶意请求，保护后端。

实际案例

• • Nginx、Apache HTTP Server（反向代理模式）
• • CDN（Cloudflare、Akamai 等）
• • Kubernetes Ingress Controller

正向代理 vs 反向代理

一句话总结：

正向代理是“替客户端上网”，反向代理是“替服务器接客”。

实战部署示例

正向代理（Squid）

假设公司需要限制员工访问娱乐网站，同时缓存常用的业务资源以加快访问速度，可以部署 Squid 正向代理。

# 安装 Squid
yum install squid -y

# 编辑配置文件
vim /etc/squid/squid.conf
# 允许特定网段访问代理
acl localnet src 192.168.0.0/24
http_access allow localnet
# 代理监听端口
http_port 3128

# 启动服务
systemctl enable squid
systemctl start squid

客户端浏览器设置 HTTP 代理为 192.168.0.1:3128 即可生效。

反向代理（Nginx）

假设有三台 Web 应用服务器（192.168.0.101、102、103），我们希望统一由 Nginx 入口代理，并实现负载均衡：

http {
upstream backend {
server192.168.0.101;
server192.168.0.102;
server192.168.0.103;
    }

server {
listen80;
location / {
proxy_pass http://backend;
        }
    }
}

部署后，客户端只需访问 Nginx 代理服务器的 IP，Nginx 会自动将请求分发到后端服务器。

在实际生产中，正向代理和反向代理并不是互斥的，甚至可以组合使用：

• • 内网用户通过正向代理访问互联网 → 互联网流量经反向代理到达服务器
• • 例如：某公司海外业务使用正向代理访问总部内部系统，总部外层用 Nginx 反向代理保护后端服务器。