소개
이 문서에서는 Cisco WSA(Web Security Appliance)의 투명 모드와 프록시 모드의 차이점에 대해 설명합니다.
투명 프록시 모드와 전달 프록시 모드의 차이점은 무엇입니까?
프록시의 목표는 HTTP 클라이언트와 HTTP 서버 사이의 중간자(프록시)가 되는 것입니다. 즉, WSA(Web Security Appliance)는 웹 프록시로서 클라이언트 요청당 2개의 TCP 소켓 세트를 갖습니다.
Client(클라이언트) > WSA
WSA > 오리진 서버
WSA HTTP 프록시가 클라이언트의 요청을 획득하는 방법은 두 가지 방법 중 하나로 정의할 수 있습니다. 투명 또는 명시적으로 정의합니다.
이러한 구축에는 각각 몇 가지 특정 컨피그레이션 옵션이 있습니다.
| 구축 |
방법 |
설명 |
| 투명 |
레이어 4 스위치(PBR) |
레이어 4 스위치는 목적지 포트 80을 기반으로 리디렉션하는 데 사용됩니다 |
| 투명 |
WCCP |
WCCP v2 지원 디바이스(일반적으로 라우터, 스위치, PIX 또는 ASA)는 포트 80을 리디렉션합니다 |
| 투명 |
브리지 모드 |
듀얼 NIC, 가상으로 페어링됨. 트래픽이 한 NIC에서 나가고 다른 NIC에서 나옴(사용할 수 없음) |
| 명시적 |
브라우저 구성됨 |
클라이언트 브라우저가 프록시를 사용하도록 명시적으로 구성됨 |
| 명시적 |
.PAC 파일이 구성됨 |
클라이언트 브라우저는 .PAC 파일을 사용하도록 명시적으로 구성되었으며, 이는 결과적으로 프록시를 참조합니다 |
WSA는 브리지 모드를 제외한 모든 구축을 사용할 수 있습니다. 이 기능은 가까운 시일 내에 제공될 예정입니다.
요청이 WSA에 투명하게 리디렉션되는 경우 클라이언트가 프록시의 존재를 알지 못하므로 WSA는 OCS(origin content server)인 것처럼 가장해야 합니다. 반대로, 요청이 WSA에 명시적으로 전송되면 WSA는 자체 IP 정보로 응답합니다.
명시적 클라이언트 HTTP 요청과 투명 클라이언트 HTTP 요청 사이에는 몇 가지 차이점이 있습니다.
- 명시적 요청에는 구성된 프록시의 목적지 IP 주소가 있습니다. 투명 요청에는 원하는 웹 서버의 대상 IP 주소(클라이언트에서 확인된 DNS)가 있습니다.
- 투명 요청의 URI에 호스트의 프로토콜이 포함되어 있지 않습니다.
| 투명 |
GET/HTTP/1.1 |
| 명시적 |
http://www.google.com/ HTTP/1.1을 가져옵니다. |
둘 다 DNS 호스트를 지정하는 HTTP 호스트 헤더를 포함합니다.
WSA 컨피그레이션
WSA는 "투명" 또는 "전달"에 대해 구성할 수 있습니다. 이는 약간 속임수입니다. 실제로 "투명" 또는 "명시적" 모드이며 둘 다 전달 프록시 구축입니다. 리버스 프록시는 프록시가 HTTP 서버와 동일한 네트워크에 있어야 하는 곳이며, 이 프록시의 목적은 이러한 HTTP 서버에 대한 콘텐츠를 제공하는 것입니다.
WSA에서 투명 모드와 전달 모드의 유일한 주요 차이점은 투명 모드에서는 WSA가 투명 HTTP 요청과 명시적 HTTP 요청에 모두 응답한다는 것입니다. 명시적인 경우 WSA는 명시적인 HTTP 요청에만 응답합니다.
WSA가 명시적인 업스트림 프록시를 특별히 사용하도록 구성되지 않는 한, WSA는 자체 클라이언트 역할을 하기 때문에 WSA는 항상 업스트림 요청을 투명 스타일 요청으로 전송합니다.
투명 인증과 명시적 인증의 또 다른 차이점은 다음과 같습니다.
| 투명 |
401 - 인증이 필요할 때 WSA에서 전송됩니다. 이것은 또한 OCS가 보낼 것입니다. |
| 명시적 |
407 - HTTP 프록시에 인증이 필요함을 클라이언트에 알리기 위해 WSA에서 전송됩니다. |
피드백