[Network] 프록시 서버(proxy)

프록시 서버(Proxy Server)란

---

시스템에 방화벽을 가지고 있는 경우 외부와의 통신을 위해 만들어 놓은 서버

 

클라이언트가 자신을 통해서 다른 네트워크 서비스에 간접적으로 접속할 수 있게 해주는 컴퓨터 시스템이나 응용 프로그램을 가리킨다.

서버와 클라이언트 사이에 중계기로서 대리로 통신을 수행하는 것을 가리켜 '프록시'라 부르며, 그 중계 기능을 하는 것을 프록시 서버라고 부른다.

 

프록시 서버 중 일부는 프록시 서버에 요청된 내용들을 캐시를 이용해서 저장해둔다.

이렇게 캐시를 해 두고 난 후에, 캐시 안에 있는 정보를 요구하는 요청에 대해서는 원격 서버에 접근하여 데이터를 가져올 필요가 없게 됨으로써 전송 시간을 절약할 수 있게 됨과 동시에 불필요하게 외부와의 연결을 하지 않아도 된다는 장점을 갖게 된다. 또한 외부와의 트래픽을 줄이게 됨으로써 네트워크 병목 현상을 방지하는 효과도 얻을 수 있게 된다.

 

 

 

프록시 서버(Proxy Server)의 주요 특징

---

1. PC와 외부 인터넷 사이의 징검다리 역할
2. 중계를 해주기 때문에 외부 인터넷에서는 Client 정보를 알 수 없다.
3. 외부 인터넷의 내부 침입을 막는 방화벽과 관련이 있다.
4. Proxy Server는 캐시 기능이 있다.
5. IP를 바꾸기 위한 용도로 많이 사용되고 있다.

- A Client가 B Proxy에 접근하여 C 인터넷(www.google.com)에 접속하는 방식

- A Client (Proxy Server 설치) 한 후에 C라는 컴퓨터를 감시한다면, C 컴퓨터의 브라우저 설정을 C 컴퓨터 IP 주소로 하면 C 컴퓨터 그룹 A Client에 남길 수 있다. 

 

**  프록시 서버는 서버의 위치에 따라 크게 두 가지로 나눌 수 있다.

 

1. Forward 프록시 

---

 

 

프록시 서버를 '클라이언트 호스트들과 접근하고자 하는 원격 리소스의 사이'에 위치시킨다.

즉 사용자가 naver.com에 연결하려고 하면 사용자가 PC에 직접 연결하는 것이 아니라 Forward 프록시 서버가 요청을 받아 naver.com에 연결하여 그 결과를 사용자에게 전달해준다. 

 

이 서버는 전형적으로 로컬 디스크에 데이터를 저장하며, 클라이언트 호스트들은 사용 중인 웹 브라우저를 이용하여 프록시 서버 사용 설정을 해야 하므로 프록서 서버를 사용하고 있다는 것을 인식할 수 있다. 

 

이 방식은 대역폭 사용을 감소시킬 수 있다는 것과 접근 정책 구현에 있어서 다루기 쉬우면서도 비용이 저렴하다는 장점이 있다. 또한 사용자의 정해진 사이트만 연결할 수 있는 등 웹 사용 환경을 제한할 수 있으므로 기업 환경 등에서 많이 사용된다. 

 

 

2. Reverse 프록시 

---

 

프록시 서버를 '인터넷 리소스 또는 인트라넷 리소스 앞'에 위치시키는 방식. 즉 사용자가 naver.com 웹 서비스에 데이터를 요청하면, Rerverse 프록시가 이 요청을 받아 내부 서버에서 데이터를 받은 후에 이 데이터를 사용자에게 전달하는 방식이다. 

 

이 방식을 사용하면 클라이언트들이 프록시 서버에 연결되었다는 것을 인식하지 못하며, 마치 최종 사용자가 요청 리소스에 직접 접근하는 것과 같이 느껴진다.

 

내부 서버가 직접 서비스를 제공해도 되지만 이렇게 구성하는 이유는 보안 때문이다. 보통 기업의 네트워크 환경은 DMZ 라고 하는 내부 네트워크와 외부 네트워크 사이에 위치하는 구간이 존재하며 이 구간에는 메일 서버, 웹 서버, FTP 서버 등 외부 서비스를 제공하는 서버가 위치하게 된다. 

 

서비스를 자바로 구현해서 WAS를 DMZ에 놓고 서비스해도 되지만 WAS는 보통 DB 서버와 연결되므로 WAS가 최전방에 있으면 WAS가 해킹당할 경우 DB서버까지 같이 해킹되는 심각한 문제가 발생할 수 있다. 이 때문에 리버스 프록시 서버를 두고 실제 서비스 서버는 내부망에 위치시키고 프록시 서버만 내부에 있는 서비스 서버와 통신해서 결과를 클라이언트에게 제공하는 방식으로 서비스를 하게 된다.

 

특히 리눅스 환경에서는 리버스 프록시로 아파치 웹 서버를 사용한다면 SELinux를 켜놓으면 SELinux의 기본 정책이 웹 서버는 톰캣의 8080, 8009 포트만 접근할 수 있으므로 아파치 웹 서버가 해킹당해도 웹 서버 권한으로는 내부망 연결이 불가능하다. 또한 리버스 프록시 방식은 각 요청에 대한 데이터가 캐시되기 때문에 프록시 서버는 실제 서버들을 위한 부하 조절 기능을 가질 수 있다. 

 

 

 

프록시 서버(Proxy Server)에 대한 다른 설명

---

Proxy는 자신을 통해 네트워크에 간접적으로 접속할 수 있도록 해주는 컴퓨터 or 프로그램이다.

이러한 Proxy 프로그램은 서버로서 작동하기 때문에 일반적으로 Proxy Server라고한다.

 

 

 

 

 

Proxy 서버의 목적

---

 

1. 보안 : 익명의 사용자가 서버에 접근하는 것을 막는다.

 

2. 속도 : Proxy 서버는 사용자의 요청을 Cache해서 동일 요청이 들어오면 Cache 자원을 반환한다. 이는 서비스의 속도를 높여준다.

 

3. ACL : 사이트 접근에 대한 접근 정책을 정의할 수 있다.

(ACL = Proxy Server에 접속할 수 있는 범위를 설정하는 옵션)

접근 제어 목록(access control list, ACL) 또는 액세스 제어 목록 
: 개체나 개체 속성에 적용되어 있는 허가 목록
이 목록은 누가 또는 무엇이 객체 접근 허가를 받는지, 어떠한 작업이 객체에 수행되도록 허가를 받을지를 지정하고 있다.

 

4. Log/Audit : 회사 내 직원의 인터넷 사용을 레포팅할 수 있다. 반대로 인트라넷의 사용을 레포팅할 수도 있다.

 

5. 지역 네트워크의 제한 우회 : 보안 상의 이유로 80 포트 외에 포트를 막아 놓는 경우가 있는데 이러한 제한을 우회해서 원하는 다른 서비스를 이용할 수 있다.  

 

 

 

 

---