Các cuộc tấn công DDoS có thể làm tê liệt hoạt động của bất kỳ dịch vụ web nào chỉ trong vài phút. Kẻ xấu gửi hàng ngàn yêu cầu từ nhiều địa chỉ IP khác nhau, làm quá tải máy chủ và khiến nó không thể truy cập được đối với người dùng thực. Máy chủ proxy là một trong những công cụ bảo vệ hiệu quả, cho phép lọc lưu lượng độc hại, phân phối tải và ẩn địa chỉ IP thực của máy chủ của bạn.
Trong hướng dẫn này, chúng ta sẽ xem xét cách cấu hình proxy để bảo vệ khỏi DDoS, các loại proxy nào nên sử dụng và cách xây dựng hệ thống bảo mật đa lớp. Tài liệu này được định hướng cho các quản trị viên hệ thống, chủ sở hữu dịch vụ web và các chuyên gia DevOps.
Cách hoạt động của các cuộc tấn công DDoS và tại sao proxy lại hữu ích
DDoS (Distributed Denial of Service) là một cuộc tấn công phân tán từ chối dịch vụ. Kẻ tấn công sử dụng một botnet gồm hàng ngàn thiết bị bị nhiễm, gửi yêu cầu đồng thời đến máy chủ của bạn. Mục tiêu là làm cạn kiệt tài nguyên của máy chủ (bộ xử lý, bộ nhớ, băng thông) và khiến nó không thể truy cập được đối với người dùng hợp lệ.
Các loại tấn công DDoS chính:
- Các cuộc tấn công khối lượng (Volumetric attacks) — làm đầy băng thông với một lượng lớn lưu lượng (tăng cường DNS, lũ UDP)
- Các cuộc tấn công giao thức (Protocol attacks) — khai thác các lỗ hổng trong các giao thức mạng (tấn công SYN, Ping of Death)
- Các cuộc tấn công ở lớp ứng dụng (Application layer attacks) — giả lập các yêu cầu hợp lệ đến ứng dụng web (tấn công HTTP flood, Slowloris)
Máy chủ proxy giúp bảo vệ khỏi DDoS theo nhiều cách:
- Ẩn địa chỉ IP thực của máy chủ — kẻ tấn công chỉ thấy địa chỉ IP của proxy, chứ không phải máy chủ chính của bạn
- Lọc lưu lượng độc hại — proxy phân tích các yêu cầu và chặn các yêu cầu nghi ngờ
- Phân phối tải — nhiều máy chủ proxy phân phối lưu lượng giữa các máy chủ backend
- Giới hạn tỷ lệ (Rate limiting) — giới hạn số lượng yêu cầu từ một địa chỉ IP
- Cache nội dung tĩnh — giảm tải cho máy chủ chính
Quan trọng là hiểu rằng proxy không phải là phương thuốc chữa bách bệnh cho tất cả các loại DDoS. Các cuộc tấn công volumetric mạnh có thể làm đầy băng thông đến máy chủ proxy. Do đó, proxy hiệu quả khi kết hợp với các phương pháp bảo vệ khác: CDN, dịch vụ chống DDoS đám mây (Cloudflare, AWS Shield), tường lửa.
Các loại proxy để bảo vệ khỏi DDoS: proxy ngược vs proxy trực tiếp
Để bảo vệ khỏi DDoS, có hai loại máy chủ proxy chính được sử dụng:
Proxy ngược (Reverse Proxy)
Proxy ngược nằm trước máy chủ web của bạn và nhận tất cả các yêu cầu đến từ khách hàng. Khách hàng chỉ tương tác với proxy, không biết địa chỉ IP thực của máy chủ của bạn. Đây là công cụ chính để bảo vệ khỏi DDoS.
Các giải pháp phổ biến cho proxy ngược:
- Nginx — máy chủ web nhanh và nhẹ với chức năng proxy ngược
- HAProxy — bộ cân bằng tải chuyên dụng với khả năng lọc mạnh mẽ
- Apache mod_proxy — mô-đun cho Apache, kém hiệu suất hơn Nginx
- Varnish — bộ tăng tốc HTTP tập trung vào caching
Proxy trực tiếp (Forward Proxy)
Proxy trực tiếp được sử dụng ở phía khách hàng cho các yêu cầu ra ngoài. Trong bối cảnh bảo vệ khỏi DDoS, chúng ít được sử dụng hơn, nhưng có thể hữu ích cho:
- Ẩn địa chỉ IP của các máy chủ của bạn khi truy cập các API bên ngoài
- Phân phối lưu lượng ra ngoài qua nhiều địa chỉ IP
- Vượt qua các chặn khi thu thập thông tin về các cuộc tấn công tiềm năng
Đối với những nhiệm vụ này, proxy dân cư là phù hợp — chúng có địa chỉ IP thực của người dùng tại nhà và trông giống như lưu lượng thông thường, điều này làm cho việc phát hiện và chặn chúng trở nên khó khăn hơn.
| Loại proxy | Ứng dụng để bảo vệ khỏi DDoS | Ưu điểm |
|---|---|---|
| Proxy ngược (Nginx, HAProxy) | Nhận lưu lượng đến, lọc, phân phối tải | Ẩn địa chỉ IP thực của máy chủ, lọc các cuộc tấn công, cache nội dung |
| Proxy dân cư | Ẩn cơ sở hạ tầng, giám sát mối đe dọa | Địa chỉ IP thực, khó bị chặn |
| Proxy trung tâm dữ liệu | Lớp bảo vệ bổ sung, xử lý nhanh chóng | Tốc độ cao, chi phí thấp |
Cấu hình proxy ngược trên Nginx để bảo vệ máy chủ
Nginx là một trong những công cụ phổ biến nhất để tạo proxy ngược. Nó xử lý nhanh các yêu cầu đến, hỗ trợ giới hạn tỷ lệ và có thể lọc lưu lượng nghi ngờ.
Cấu hình cơ bản cho proxy ngược
Cài đặt Nginx trên một máy chủ riêng biệt, sẽ nhận tất cả lưu lượng đến. Máy chủ web thực sự nên được ẩn sau proxy và chỉ nhận yêu cầu từ nó.
# /etc/nginx/nginx.conf
http {
# Giới hạn số lượng kết nối từ một IP
limit_conn_zone $binary_remote_addr zone=conn_limit:10m;
limit_conn conn_limit 10;
# Giới hạn số lượng yêu cầu (rate limiting)
limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s;
limit_req zone=req_limit burst=20 nodelay;
# Thời gian chờ để bảo vệ khỏi Slowloris
client_body_timeout 10s;
client_header_timeout 10s;
keepalive_timeout 5s 5s;
send_timeout 10s;
upstream backend {
# Địa chỉ IP của máy chủ web thực sự của bạn
server 192.168.1.100:80;
# Có thể thêm nhiều máy chủ để cân bằng tải
# server 192.168.1.101:80;
}
server {
listen 80;
server_name example.com;
location / {
# Chuyển tiếp yêu cầu đến backend
proxy_pass http://backend;
# Chuyển tiếp địa chỉ IP gốc của khách hàng
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
# Thời gian chờ cho proxy
proxy_connect_timeout 5s;
proxy_send_timeout 10s;
proxy_read_timeout 10s;
}
}
}Chặn User-Agent nghi ngờ
Nhiều cuộc tấn công DDoS sử dụng bot với các User-Agent đặc trưng. Thêm quy tắc để chặn chúng:
# Chặn các bot đã biết
map $http_user_agent $bad_bot {
default 0;
~*bot 1;
~*crawler 1;
~*spider 1;
~*scraper 1;
"" 1; # User-Agent trống
}
server {
listen 80;
server_name example.com;
if ($bad_bot) {
return 403;
}
location / {
proxy_pass http://backend;
}
}Geo-blocking các quốc gia không mong muốn
Nếu dịch vụ của bạn chỉ hoạt động cho một số quốc gia nhất định, bạn có thể chặn lưu lượng từ các khu vực khác bằng cách sử dụng mô-đun GeoIP:
# Cài đặt mô-đun GeoIP
# apt-get install nginx-module-geoip
load_module modules/ngx_http_geoip_module.so;
http {
geoip_country /usr/share/GeoIP/GeoIP.dat;
# Chỉ cho phép lưu lượng từ Nga và Ukraine
map $geoip_country_code $allowed_country {
default no;
RU yes;
UA yes;
}
server {
listen 80;
server_name example.com;
if ($allowed_country = no) {
return 403;
}
location / {
proxy_pass http://backend;
}
}
}HAProxy để phân phối tải và lọc lưu lượng
HAProxy là một bộ cân bằng tải mạnh mẽ với khả năng lọc lưu lượng nâng cao. Nó hỗ trợ các ACL (Access Control Lists) phức tạp để chặn các cuộc tấn công ở lớp ứng dụng.
Cấu hình cơ bản cho HAProxy
# /etc/haproxy/haproxy.cfg
global
maxconn 50000
# Ghi log
log /dev/log local0
log /dev/log local1 notice
defaults
mode http
log global
option httplog
option dontlognull
# Thời gian chờ
timeout connect 5s
timeout client 30s
timeout server 30s
# Giới hạn kích thước yêu cầu (bảo vệ khỏi POST flood)
maxconn 3000
frontend http_front
bind *:80
# Giới hạn tỷ lệ: tối đa 100 yêu cầu trong 10 giây từ một IP
stick-table type ip size 100k expire 30s store http_req_rate(10s)
http-request track-sc0 src
http-request deny if { sc_http_req_rate(0) gt 100 }
# Chặn yêu cầu không có tiêu đề Host
acl has_host hdr(host) -m found
http-request deny if !has_host
# Chặn User-Agent nghi ngờ
acl bad_bot hdr_sub(User-Agent) -i bot crawler spider scraper
http-request deny if bad_bot
# Chuyển tiếp đến backend
default_backend web_servers
backend web_servers
balance roundrobin
option httpchk GET /health
# Danh sách các máy chủ backend
server web1 192.168.1.100:80 check
server web2 192.168.1.101:80 check
server web3 192.168.1.102:80 checkBảo vệ khỏi HTTP Flood bằng cách sử dụng ACL
HTTP Flood là một cuộc tấn công mà kẻ xấu gửi nhiều yêu cầu HTTP hợp lệ. HAProxy cho phép tạo ra các quy tắc phức tạp để phát hiện chúng:
frontend http_front
bind *:80
# Theo dõi số lượng yêu cầu từ một IP
stick-table type ip size 100k expire 30s store http_req_rate(10s),conn_cur
http-request track-sc0 src
# Chặn khi vượt quá giới hạn
acl too_many_requests sc_http_req_rate(0) gt 50
acl too_many_connections sc_conn_cur(0) gt 10
http-request deny deny_status 429 if too_many_requests
http-request deny deny_status 429 if too_many_connections
# Chặn yêu cầu đến các đường dẫn không tồn tại (quét)
acl valid_path path_beg /api /static /login /
http-request deny if !valid_path
default_backend web_serversDanh sách trắng các địa chỉ IP đáng tin cậy
Tạo danh sách trắng cho các địa chỉ IP đáng tin cậy (ví dụ, các địa chỉ văn phòng của bạn hoặc đối tác), những địa chỉ này sẽ không bị giới hạn tỷ lệ:
frontend http_front
bind *:80
# Danh sách trắng các địa chỉ IP đáng tin cậy
acl whitelist src 203.0.113.0/24 198.51.100.50
# Giới hạn tỷ lệ chỉ cho các IP không có trong danh sách trắng
stick-table type ip size 100k expire 30s store http_req_rate(10s)
http-request track-sc0 src if !whitelist
http-request deny if { sc_http_req_rate(0) gt 100 } !whitelist
default_backend web_serversSử dụng proxy dân cư để ẩn cơ sở hạ tầng
Ngoài các proxy ngược trước máy chủ của bạn, bạn có thể sử dụng proxy dân cư để bảo vệ thêm cho cơ sở hạ tầng. Điều này đặc biệt hữu ích nếu bạn cần:
- Ẩn địa chỉ IP của các máy chủ giám sát của bạn — nếu bạn theo dõi các cuộc tấn công DDoS hoặc thu thập thông tin về các mối đe dọa, proxy dân cư sẽ giúp ẩn các hoạt động của bạn
- Gọi đến các API bên ngoài mà không tiết lộ cơ sở hạ tầng — các máy chủ của bạn có thể thực hiện yêu cầu thông qua các proxy dân cư, điều này sẽ làm cho việc phát hiện chúng trở nên khó khăn hơn
- Kiểm tra bảo vệ khỏi DDoS — giả lập các cuộc tấn công từ nhiều địa chỉ IP để kiểm tra hiệu quả của các bộ lọc của bạn
Proxy dân cư có địa chỉ IP của người dùng thực, điều này làm cho chúng không thể phân biệt với lưu lượng thông thường. Điều này làm cho việc chặn chúng trở nên khó khăn và cho phép vượt qua các hạn chế địa lý.
Ví dụ: Giám sát mối đe dọa qua proxy dân cư
Giả sử bạn muốn theo dõi hoạt động của các botnet có thể tấn công dịch vụ của bạn. Bằng cách sử dụng proxy dân cư, bạn có thể thu thập thông tin mà không tiết lộ địa chỉ IP của các máy chủ của bạn:
import requests
# Cấu hình proxy dân cư
proxies = {
'http': 'http://username:password@residential-proxy.com:8080',
'https': 'http://username:password@residential-proxy.com:8080'
}
# Thu thập thông tin về các mối đe dọa tiềm năng
threat_sources = [
'http://suspicious-site1.com',
'http://suspicious-site2.com'
]
for source in threat_sources:
try:
response = requests.get(source, proxies=proxies, timeout=5)
# Phân tích phản hồi để phát hiện các mẫu tấn công
print(f"Status: {response.status_code}, IP: {response.headers.get('X-Your-IP')}")
except Exception as e:
print(f"Lỗi khi truy cập {source}: {e}")Quy tắc lọc: cách phân biệt cuộc tấn công với lưu lượng hợp lệ
Khó khăn chính trong việc bảo vệ khỏi DDoS ở mức ứng dụng (L7) là phân biệt lưu lượng độc hại với lưu lượng hợp lệ. Các cuộc tấn công hiện đại giả lập hành vi của người dùng thực, điều này làm cho việc phát hiện chúng trở nên khó khăn.
Dấu hiệu của cuộc tấn công DDoS
- Tăng đột ngột số lượng yêu cầu — gấp 2-10 lần bình thường trong thời gian ngắn
- Các yêu cầu với cùng một User-Agent — bot thường sử dụng cùng một User-Agent
- Thiếu Referer — các yêu cầu trực tiếp mà không chuyển từ các trang khác
- Các yêu cầu đồng nhất — truy cập vào cùng một URL với các biến thể tối thiểu
- Thiếu JavaScript — bot không thực thi mã JS trên trang
- Thời gian trên trang thấp — bot ngay lập tức đóng kết nối sau khi nhận được phản hồi
- Phạm vi IP nghi ngờ — các yêu cầu hàng loạt từ cùng một subnet
Lọc đa lớp
Bảo vệ hiệu quả sử dụng nhiều lớp lọc:
Cấp độ 1: Danh tiếng IP
Kiểm tra địa chỉ IP qua các cơ sở dữ liệu của các botnet, máy chủ proxy, VPN. Chặn IP có danh tiếng kém.
Cấp độ 2: Giới hạn tỷ lệ
Giới hạn số lượng yêu cầu từ một IP. Ví dụ, không quá 50 yêu cầu mỗi phút cho người dùng bình thường.
Cấp độ 3: Phân tích hành vi
Kiểm tra User-Agent, Referer, cookies, thực hiện JavaScript. Chặn các yêu cầu không có các tham số này.
Cấp độ 4: CAPTCHA
Đối với lưu lượng nghi ngờ, hiển thị CAPTCHA. Bot không thể vượt qua nó, người dùng hợp lệ chỉ cần vượt qua một lần.
Ví dụ: Thử thách JavaScript trong Nginx
Một cách đơn giản để lọc bot là yêu cầu thực hiện JavaScript để thiết lập cookie:
server {
listen 80;
server_name example.com;
# Kiểm tra sự tồn tại của cookie
set $has_cookie 0;
if ($http_cookie ~* "verified=true") {
set $has_cookie 1;
}
# Nếu không có cookie, hiển thị thử thách JS
location / {
if ($has_cookie = 0) {
return 200 '
<html>
<head><title>Xác minh</title></head>
<body>
<script>
document.cookie = "verified=true; path=/";
window.location.reload();
</script>
<noscript>Vui lòng bật JavaScript</noscript>
</body>
</html>
';
}
proxy_pass http://backend;
}
}Giám sát và phản ứng với DDoS theo thời gian thực
Bảo vệ hiệu quả khỏi DDoS đòi hỏi phải giám sát liên tục lưu lượng và phản ứng nhanh chóng với các bất thường. Cấu hình một hệ thống giám sát sẽ theo dõi các chỉ số chính:
- Số lượng yêu cầu mỗi giây — sự gia tăng đột ngột có thể chỉ ra một cuộc tấn công
- Số lượng địa chỉ IP duy nhất — DDoS thường đến từ nhiều IP
- Tỷ lệ lỗi 4xx/5xx — sự gia tăng lỗi có thể là dấu hiệu của quá tải
- Thời gian phản hồi của máy chủ — sự gia tăng độ trễ chỉ ra các vấn đề
- Tiêu thụ tài nguyên — CPU, bộ nhớ, lưu lượng mạng
Các công cụ giám sát
| Công cụ | Mục đích | Đặc điểm |
|---|---|---|
| Prometheus + Grafana | Thu thập số liệu và trực quan hóa | Cấu hình cảnh báo linh hoạt, bảng điều khiển đẹp |
| ELK Stack (Elasticsearch, Logstash, Kibana) | Phân tích log theo thời gian thực | Tìm kiếm mạnh mẽ qua log, phát hiện mẫu |
| Netdata | Giám sát tài nguyên hệ thống | Cài đặt đơn giản, số liệu theo thời gian thực |
| Fail2ban | Tự động chặn IP | Phân tích log và chặn các IP nghi ngờ |
Cấu hình cảnh báo trong Prometheus
Tạo quy tắc để tự động thông báo khi phát hiện bất thường:
# prometheus_alerts.yml
groups:
- name: ddos_detection
interval: 10s
rules:
# Cảnh báo khi số lượng yêu cầu tăng đột ngột
- alert: HighRequestRate
expr: rate(nginx_http_requests_total[1m]) > 1000
for: 1m
labels:
severity: warning
annotations:
summary: "Tỷ lệ yêu cầu cao được phát hiện"
description: "Tỷ lệ yêu cầu là {{ $value }} req/s"
# Cảnh báo khi tỷ lệ lỗi 5xx tăng
- alert: HighErrorRate
expr: rate(nginx_http_requests_total{status=~"5.."}[5m]) > 10
for: 2m
labels:
severity: critical
annotations:
summary: "Tỷ lệ lỗi 5xx cao"
description: "Lỗi 5xx: {{ $value }} req/s"
# Cảnh báo khi CPU cao
- alert: HighCPUUsage
expr: 100 - (avg by(instance) (irate(node_cpu_seconds_total{mode="idle"}[5m])) * 100) > 80
for: 5m
labels:
severity: warning
annotations:
summary: "Sử dụng CPU cao"
description: "Sử dụng CPU là {{ $value }}%"Phản ứng tự động với Fail2ban
Fail2ban phân tích log và tự động chặn các địa chỉ IP vượt quá giới hạn yêu cầu:
# /etc/fail2ban/jail.local
[nginx-req-limit]
enabled = true
filter = nginx-req-limit
logpath = /var/log/nginx/access.log
maxretry = 100
findtime = 60
bantime = 3600
action = iptables-multiport[name=ReqLimit, port="http,https", protocol=tcp]
# /etc/fail2ban/filter.d/nginx-req-limit.conf
[Definition]
failregex = ^<HOST> -.*"(GET|POST).*HTTP.*"
ignoreregex =Bảo vệ đa lớp: kết hợp proxy với các phương pháp khác
Máy chủ proxy là một phần quan trọng trong việc bảo vệ khỏi DDoS, nhưng chúng hiệu quả nhất khi kết hợp với các phương pháp khác. Hãy xem xét kiến trúc bảo vệ đa lớp:
Cấp độ 1: Bảo vệ mạng (L3/L4)
- Dịch vụ chống DDoS đám mây — Cloudflare, AWS Shield, Google Cloud Armor lọc lưu lượng trước khi nó đến máy chủ của bạn
- Tường lửa phần cứng — thiết bị chuyên dụng để lọc lưu lượng mạng
- BGP blackholing — chuyển hướng lưu lượng độc hại vào "hố đen" ở cấp độ nhà cung cấp
Cấp độ 2: CDN và caching
- CDN (Mạng phân phối nội dung) — phân phối nội dung tĩnh qua nhiều máy chủ, giảm tải cho nguồn gốc
- Caching trên proxy — Varnish, Nginx cache các trang phổ biến và cung cấp chúng mà không cần truy cập vào backend
- Tối ưu hóa nội dung — giảm kích thước CSS/JS, nén hình ảnh giảm lưu lượng
Cấp độ 3: Proxy và cân bằng tải (L7)
- Proxy ngược — Nginx, HAProxy lọc các yêu cầu ở mức ứng dụng
- Cân bằng tải — phân phối tải giữa nhiều máy chủ backend
- Giới hạn tỷ lệ — giới hạn số lượng yêu cầu từ một IP
- WAF (Tường lửa ứng dụng web) — ModSecurity, AWS WAF chặn các cuộc tấn công vào ứng dụng web
Cấp độ 4: Tối ưu hóa backend
- Tối ưu hóa cơ sở dữ liệu — chỉ mục, caching các yêu cầu, bản sao đọc
- Xử lý bất đồng bộ — các nhiệm vụ nặng được thực hiện trong nền qua hàng đợi (RabbitMQ, Redis)
- Mở rộng ngang — thêm máy chủ mới khi tải tăng
Ví dụ về kiến trúc
Khách hàng
↓
Cloudflare (chống DDoS L3/L4, CDN)
↓
Nginx proxy ngược (giới hạn tỷ lệ, lọc)
↓
HAProxy (cân bằng tải)
↓
Máy chủ backend (ứng dụng web)
↓
Cơ sở dữ liệu (có sao chép)Kiến trúc này cung cấp bảo vệ ở tất cả các cấp độ: mạng, truyền tải, ứng dụng. Ngay cả khi một cuộc tấn công vượt qua một cấp độ, cấp độ tiếp theo sẽ chặn nó.
Sử dụng proxy trung tâm dữ liệu để có thêm lớp bảo vệ
Trong một số trường hợp, có ý nghĩa khi thêm proxy trung tâm dữ liệu như một lớp trung gian giữa CDN và các máy chủ của bạn. Chúng cung cấp tốc độ xử lý cao và có thể thực hiện lọc lưu lượng bổ sung. Proxy trung tâm dữ liệu rẻ hơn so với proxy dân cư và di động, điều này làm cho chúng trở thành giải pháp kinh tế cho việc xử lý khối lượng lớn lưu lượng.
Kết luận
Bảo vệ khỏi các cuộc tấn công DDoS bằng cách sử dụng máy chủ proxy là một phương pháp hiệu quả, cho phép lọc lưu lượng độc hại, ẩn địa chỉ IP thực của các máy chủ và phân phối tải. Các proxy ngược dựa trên Nginx hoặc HAProxy cung cấp cấu hình linh hoạt cho các quy tắc lọc, giới hạn tỷ lệ và chặn các yêu cầu nghi ngờ.
Những điểm chính mà chúng ta đã xem xét:
- Proxy ngược (Nginx, HAProxy) — công cụ chính để bảo vệ ở mức ứng dụng (L7)
- Giới hạn tỷ lệ và lọc theo User-Agent, danh tiếng IP giúp loại bỏ hầu hết các cuộc tấn công
- Proxy dân cư hữu ích để ẩn cơ sở hạ tầng giám sát và thu thập thông tin về các mối đe dọa
- Bảo vệ đa lớp (CDN + proxy + WAF + tối ưu hóa backend) đảm bảo độ bền tối đa
- Giám sát và phản ứng tự động là rất quan trọng để phát hiện và chặn các cuộc tấn công nhanh chóng
Hãy nhớ rằng các cuộc tấn công DDoS luôn phát triển, vì vậy hệ thống bảo vệ cần được cập nhật và kiểm tra thường xuyên. Thực hiện kiểm tra tải, phân tích log, cập nhật quy tắc lọc và theo dõi các phương pháp tấn công mới.
Nếu bạn dự định xây dựng một hệ thống bảo vệ đa lớp sử dụng proxy, chúng tôi khuyên bạn nên xem xét proxy dân cư để ẩn cơ sở hạ tầng quan trọng và proxy trung tâm dữ liệu để xử lý nhanh chóng khối lượng lớn lưu lượng. Sự kết hợp của các loại proxy khác nhau đảm bảo sự cân bằng tối ưu giữa bảo mật, hiệu suất và chi phí.