反向代理，接收外网请求

外网请求需要经过统一网关才能反向代理进网络隔离区，网关可以是负载均衡服务、也可以是Nginx等服务软件。

如果是Nginx，反向代理的配置是这样的。

这里需要说明的是，如果外网请求是https，那么其实不需要整个网站系统的各个服务都是https，只需要保证网关那一层配置https即可，系统内部的调用仍然使用http。

如果是使用负载均衡等云服务，则https只需要在负载均衡服务配置即可，网站系统本身的调用还是http，因为网站系统内部使用https通信并没有好处，反而会降低性能。

正向代理，调用外网服务

一些时候，网站系统需要调用第三方服务，超大型的网站系统会分离几个网络隔离区，容灾备份需要夸网络隔离区备份。

以上场景，网站系统都不得不调用网络隔离区以外的服务器，此时需要经过同一代理服务器正向代理到目标服务器。

正向代理可以使用Nginx作为服务软件，正向代理一般有两种方式，一种是7层代理，另一种是4层代理。

网络分层模型一般按OSI模型分为7层。

第7层为应用层，就是常听到的HTTP、HTTPS、RTMP、SMTP等协议。

第4层为传输层，即TCP、UDP等基础协议。

对应的7层代理和4层代理就是对应的这两个网络分层。

如果是使用7层代理，Nginx配置是这样的。

这个配置跟以上反向代理配置的方式是一致的，且可以通过匹配url关键字代理到多个目标服务器。

网站系统调用外网服务需要将IP/端口指向代理服务器，当然，我们更推荐使用域名调用，通过修改服务器host文件即可把调用指向代理服务器。

当然，除了修改IP指向，也可以设置http_proxy、https_proxy等参数设置代理，但这种方式不太推荐，因为这样管理起来不太好。

另一种是4层代理 Nginx配置是这样的，但是需要一个端口对应一个目标服务器，网站系统调用外网服务也需要将IP/端口指向代理服务器。

而且由于4层代理是基于TCP/UDP这些基础协议的，所以HTTP、RTMP这些基于TCP的请求都可以共用一个代理端口。

当然4层代理比7层代理配置更加复杂，需要一个端口对应一个目标服务器。

但是我们更推荐4层代理。

一是性能和稳定性都会相对高一点点，另外是更好管理，由于一个端口是对应一个目标外网服务，所以如果出现一些突发问题，可以在代理服务器直接关闭对应端口即可立刻断开指定外网服务，且不影响其他外网服务的调用。

本期聊了网站系统的代理方案，这其实是往期网站系统安全性中的其中一个内容，本期作了更详细的讨论。