소개
이 문서에서는 Cisco WSA(Web Security Appliance)에서 투명 모드와 프록시 모드의 차이점을 설명합니다.
투명 프록시 모드와 전달 프록시 모드의 차이점은 무엇입니까?
프록시의 목표는 HTTP 클라이언트와 HTTP 서버 간의 중간(프록시)입니다. 이는 특히 웹 프록시로서 WSA(Web Security Appliance)에 클라이언트 요청당 두 개의 TCP 소켓 집합이 있음을 의미합니다.
클라이언트 > WSA
WSA > 원천 서버
WSA HTTP 프록시가 클라이언트의 요청을 가져오는 방법은 다음 두 가지 방법 중 하나로 정의할 수 있습니다. 투명하게 또는 명시적으로.
이러한 각 구축에는 다음과 같은 몇 가지 특정 구성 옵션이 있습니다.
구축 |
메서드 |
설명 |
투명 |
레이어 4 스위치(PBR) |
레이어 4 스위치는 대상 포트 80을 기반으로 리디렉션하는 데 사용됩니다. |
투명 |
WCCP |
WCCP v2 지원 디바이스(일반적으로 라우터, 스위치, PIX 또는 ASA)는 포트 80을 리디렉션합니다. |
투명 |
브리지 모드 |
듀얼 NIC(가상 페어링). 트래픽이 하나의 NIC로 이동하고 다른 NIC를 나갑니다(사용할 수 없음). |
명시적 |
브라우저 구성 |
클라이언트 브라우저는 프록시를 사용하도록 명시적으로 구성되었습니다. |
명시적 |
.PAC 파일이 구성됨 |
클라이언트 브라우저는 .PAC 파일을 사용하도록 명시적으로 구성되며, 이 파일은 프록시를 참조합니다 |
WSA는 브리징 모드를 제외한 모든 구축을 사용할 수 있습니다. 이 기능은 조만간 제공될 예정입니다.
요청이 WSA에 투명하게 리디렉션되는 경우 클라이언트가 프록시를 인식하지 못하므로 WSA는 OCS(원본 콘텐츠 서버)로 가장해야 합니다. 반대로, 요청이 WSA에 명시적으로 전송되면 WSA는 자체 IP 정보로 응답합니다.
명시적 클라이언트 HTTP 요청과 투명 클라이언트 HTTP 요청에는 몇 가지 차이점이 있습니다.
- 명시적 요청에는 구성된 프록시의 대상 IP 주소가 있습니다. 투명 요청에는 의도된 웹 서버의 대상 IP 주소가 있습니다(클라이언트에서 확인된 DNS).
- 투명 요청의 URI에 호스트가 포함된 프로토콜이 포함되어 있지 않습니다.
투명 |
GET/HTTP/1.1 |
명시적 |
http://www.google.com/ HTTP/1.1 다운로드 |
둘 다 DNS 호스트를 지정하는 HTTP 호스트 헤더를 포함합니다.
WSA 컨피그레이션
WSA는 "투명" 또는 "전달"에 대해 구성할 수 있습니다. 이는 "투명" 또는 "명시적" 모드이므로 약간 기만적입니다. 둘 다 전달 프록시 구축입니다. 리버스 프록시는 프록시가 HTTP 서버와 동일한 네트워크에 있어야 하며 그 목적은 이러한 HTTP 서버에 대한 콘텐츠를 제공하는 것입니다.
WSA에서 투명 및 전달 모드의 가장 큰 차이점은 투명 모드에서는 WSA가 투명 및 명시적 HTTP 요청에 모두 응답한다는 것입니다. 반면에 명시적으로 WSA는 명시적 HTTP 요청에만 응답합니다.
WSA가 명시적 업스트림 프록시를 특별히 사용하도록 WSA를 구성하지 않는 한 WSA는 자체 클라이언트로 작동하므로 WSA는 항상 업스트림 요청을 투명 스타일 요청으로 보냅니다.
다음은 투명 인증과 명시적 인증의 또 다른 차이점입니다.
투명 |
401 - 인증이 필요할 때 WSA에서 전송됩니다. 이것은 또한 OCS가 보낼 것입니다. |
명시적 |
407 - HTTP 프록시에 인증이 필요하다는 사실을 클라이언트에 알리기 위해 WSA에서 전송됩니다. |