프록시(Proxy) 란?
프록시 서버는 클라이언트가 자신(프록시 서버)을 통해 다른 네트워크 서비스에 간접적으로 접속할 수 있게 해주는 컴퓨터 시스템이나 응용 프로그램을 말한다.
프록시(Proxy)란 '대리' 라는 의미를 갖고 있으며, 서버와 서버 사이의 중계기 역할을 한다고 보면 된다.
프록시를 쓰는 이유는 보안상의 이유로 직접 통신할 수 없는 두 네트워크 사이에서 대리로 통신을 수행하여 보안성, 성능, 안정성을 향상 시키기 위해서이다.
보통 웹은 클라이언트에서 서버로, 서버에서 클라이언트로 통신하며 테이터를 전달한다.
이때 중복되는 데이터를 반복하여 전달하는 상황이 발생하는데, 이렇게 동일한 요청을 매번 처리하는 것은 곧 리소스 낭비와 서버 부하로 이어지게 된다.
때문에 본 서버에 도달하기 전에 새로운 서버(Proxy Server)를 미리 배치하여 중복 요청에 대해 ( 연산을 했었던 ) 동일한 응답을 할 수 있다면, 클라이언트에겐 빠른 속도의 서비스를, 서버에게는 불필요한 부하를 줄이는 효과를 낼 수 있게 된다.
프록시의 종류
프록시 서버는 네트워크 상 어디에 위치하느냐, 혹은 어느 방향으로 데이터를 제공하느냐에 따라 Forward Proxy와 Reverse Proxy로 나뉘게 된다.
포워드 프록시 (Forward Proxy)
포워드 프록시는 아래 그림처럼 클라이언트 바로 뒤에 놓여 있다.
같은 내부망에 존재하는 클라이언트의 요청을 받아 인터넷을 통해 외부 서버에서 데이터를 가져와 클라이언트에게 응답해준다.
즉, 클라이언트가 서버에 접근하고자 할때, 클라이언트는 타겟 서버의 주소의 주소를 포워드 프록시에 전달하여, 포워드 프록시가 인터넷으로 요청된 내용을 가져오는 방식이다.
우리가 흔히 말하는 '프록시 서버'란 바로 포워드 프록시 서버를 가르키다.
예를 들어 우리가 naver.com 을 요청하면 포워드 프록시 서버가 naver.com 리소스를 대신 받아와 클라이언트에게 내밀어준다(forward)고 생각하면 쉽다.
포워드 프록시의 이점
클라이언트 보안 (Security)
보통 정부, 학교, 기업 등과 같은 기관은 해당 기관에 속한 사람들의 제한적인 인터넷 사용을 위해 방화벽을 사용한다.
포워드 프록시 서버는 방화벽과 같은 개념으로 제한을 위해 사용 된다고 보면 된다.
즉, 해당 기관에 속한 사람들이 그들이 방문하고자 하는 웹 사이트에 직접적으로(directly) 방문하는 것을 방지할 수 있다.
예를 들어, 포워드 프록시 서버에 룰을 추가해서 특정 사이트에 접속하는 것을 막을 수 있다.
캐싱 (Caching)
우리가 어떤 웹 페이지에 접근하면 프록시 서버는 해당 페이지 서버의 정보를 캐싱(임시보관)해둔다.
그래서 다시 해당 페이지에 접근하거나, 다른 클라이언트가 해당 페이지를 요청할 때, 캐시된 정보(페이지)를 그대로 반환 할 수 있고, 이는 서버의 부하를 줄이는 효과도 낼 수 있다.
암호화 (Encryption)
클라이언트의 요청은 포워드 프록시 서버를 통과할 때 암호화된다.
암호화된 요청은 다른 서버를 통과할 때 필요한 최소한의 정보만 갖게 되는데, 이는 클라이언트의 IP를 (보안을 위해) 감춰주는 보안 효과를 내준다.
따라서 본 서버에서 IP 주소를 역추적해도 포워드 프록시 서버를 사용하면 파악하기 어렵게 된다.
왜냐면 IP 추적해도 포워드 프록시 서버 IP만 보이기 때문이다.
리버스 프록시(Reverse Proxy)
리버스 프록시는 아래 그림 처럼 Web Server/WAS 앞에 놓여 있는 것을 말한다.
클라이언트는 웹서비스에 접근할 때 Web Server에 요청하는 것이 아닌, 프록시로 요청하게 되고, 프록시가 배후(reverse)의 서버로부터 테이터를 가져오는 방식이다.
클라이언트 쪽으로 데이터(response)를 밀어주는게 포워드라면, 그 반대편인 서버 쪽으로 데이터를(request)를 밀어주는 것이 리버스 프록시 라고 보면 된다.
내부 서버가 직접 서비스를 제공해도 되지만 이렇게 구성하는 이유는 보안 때문이다.
보통 기업의 네트워크환경에서 DMZ라고 부르는 내부/외부 네트워크 사이에 위치하는 구간이 존재한다.(내부/외부 네트워크에 둘 다 접근할 수 있는 공간)
이 구간에는 보통 메일 서버, 웹 서버, FTP 서버 등 외부 서비스를 제공하는 서버가 위치하게 된다.
WAS를 DMZ에 놓고 서비스해도 되지만, 보안상 문제가 있기 때문에 그렇게 하진 않는다.
WAS는 DB서버와 연결되어 있으므로, WAS가 해킹당할 경우 DB서버까지 해킹당할 수 있기 때문이다.
따라서 리버스 프록시 서버를 DMZ에 두고 실제 서비스 서버는 내부망에 위치시킨 후 서비스 하는 것이 일반적이다.
우리가 일반적으로 구성하는 Web Server(Apache, Nginx) - WAS(Tomcat) 분리 형태를 Reverse Proxy로 보면 된다.
여기서 Web Server(Apache, Nginx)가 Reverse Proxy가 된다.
물론 Apache Tomcat 처럼 물리적인 한 서버에 Web Server, WAS가 존재한다면 Reverse Proxy라고 볼 수 없다.
리버스 프록시 의 이점
로드 밸런싱(Load Balancing)
유명한 웹 사이트는 하루에도 수백만명이 방문한다.
그리고 그러한 대량의 트래픽을 하나의 서버로 감당해 내기란 어렵다.
하지만 리버스 프록시 서버를 여러개의 본 서버들 앞에 두면 특정 서버가 과부화 되지 않게 로드밸런싱이 가능하다.
서버 보안(Security)
리버스 프록시를 사용하면 서버 측 보안에 좋다.
리버스 프록시를 사용하면 본래 서버의 IP 주소를 노출시키지 않을 수 있다. 따라서 해커들의 DDoS 공격과 같은 공격을 막는데 유용하다.
위의 그림에서 보면, 클라이언트는 인터넷을 통해 리버스 프록시 서버 url에게 요청을 한다. 그리고 리버스 프록시는 본서버에게 요청을 경유해서 보내게 된다.
이렇게 되면 클라이언트는 본 서버의 url을 모른채 리버스 프록시 url을 통해 서비스를 이용하게 되고, 이는 즉 본서버의 정보를 숨기는 효과가 된다.
캐싱(Caching)
만약 어떤 한국에 있는 유저가 미국에 웹서버를 두고 있는 사이트에 접속할때, 리버스 프록시 서버가 한국에 있다고 해보자.
그러면 한국에 있는 유저는 한국에 있는 리버스 프록시 서버와 통신해서 리버스 프록시 서버에 캐싱되어 있는 데이터를 사용할 경우에는 더 빠른 성능을 보여줄수 있다.
포워드 프록시의 캐싱과 비슷한 기능을 한다고 보면 된다. (정확히 프록시의 본래 기능)
암호화(Encryption)
마지막으로 SSL 암호화에도 좋다.
본래 서버가 클라이언트들과 통신을 할때 SSL(or TSL)로 암호화, 복호화를 할 경우 비용이 많이 들게 된다.
그러나 리버스 프록시를 사용하면 들어오는 요청을 모두 복호화하고 나가는 응답을 암호화해주므로 클라이언트와 안전한 통신을 할수 있으며 본래 서버의 부담을 줄여줄 수 있다.
포워드 프록시 vs 리버스 프록시
| Forward Proxy | Reverse Proxy | |
| 프록시 서버 위치 | 클라이언트 앞 | Web Server/WAS 앞 |
| 프록시 서버 통신 대상 | 클라이언트 <-> Proxy 서버 (인터넷을 통해 외부에서 데이터를 가져옴) |
Proxy 서버 <-> 내부망 서버 (인터넷을 통해 요청이 들어오면 Proxy 서버가 받아 응답) |
| 감춰지는 대상 | 클라이언트 (서버 입장에서 응답받은 IP는 Forward Proxy의 IP이기 때문에 클라이언트가 누군지 알 수 없음) |
본서버의 IP (프록시 서버 url로만 접근이 가능) |
