conforme à des règles que tu établies justement dans la configuration du RP.
Une DMZ n’est pas forcement exposée directement à Internet. C’est ce qu’on appelle une DMZ Low Risk. Une DMZ exposée directement à internet est une DMZ High Risk.
Ceci en considérant les expositions entrante et/ou sortante.
Une DMZ peut être exclusivement sortante (par exemple pour un relai de messagerie de l’interne vers l’externe, et entrante pour les email venant de l’extérieur ou les sites web.
Le fait qu’une DMZ soit entrante ou sortante n’expose pas celle-ci aux mêmes risques.
On ne parle pas de mode mais de savoir faire architectural pratiqué par la quasi totalité des entreprises spécialisées et de leurs clients à travers le monde depuis près de 15 à 20 ans.
Bien sur que si, le client « pense » être directement en connexion avec le serveur Web alors qu’il ne l’est pas, et de plus il ne peut savoir où se trouve le serveur web lui-même. c’est anonymisation par offuscation si tu veux.
Ça fait un serveur à configurer pour la partie sécurité au lieu d’avoir à gérer la sécurité de chaque site web 1 par 1. Tu n’as juste qu’un serveur de plus à configurer en plus des différents serveurs web.
Un serveur web n’est pas capable par exemple de vérifier les flags des requetes (ack, syn, etc…), d’ailleurs certaines attaques sont basé dessus. Un RP est capable de le faire. Il peut ainsi verifier la conformité des requete au niveau de toutes les couches, ce qu’un serveur web ne sait pas faire.
Il fait du cache .
Il fait de l’anti-virus.
Il peut faire de la compression de flux (mieux qu’un serveur web) .
Il peut intervenir sur l’encodage.
Il peut faire de la ré-écriture à la volée, y compris sur des couches autres que la couche applicative (couche 7)
et bien sur la répartition de charge avec des critères ou des règles qui peuvent être assez complexes.
C’est ton point de vue, qui visiblement n’a pas été confronté à la réalité des entreprises.
Avec un seul site c’est compréhensible.
Dès que tu commence à avoir 3, 4 10 ou plus sites accessibles, le reverse proxy est une nécessite.
Le reverse prxy est aussi nécessaire si tu ne peux pas exposer directement ton site web sur internet et que tu es obligé de passer par une DMZ. Il y a un grand nombre de site web qui ne peuvent pas être directement exposés sur internet (pour des raisons de sécurité, de service, …).
Par ailleurs, quand tu dois avoir une garantie de service, avec un volume d’accès important, la répartition de charge devient une nécessité, ce qui est aussi une des fonction du RP.
Quand enfin sur tes sites web, tu dois gérer une quantité importante de certificats, la centralisation de cette gestion est très utile pour économiser des ressources humaines par exemple.
Un autre avantage des RP c’est aussi de pouvoir s’assurer qu’une requête en HTTPS est bien servie en HTTPS et qu’il n’y a pas de risque de voir une requêtes HTTP passer à travers, ce qui est bien plus fréquent qu’on ne le croit.