포워드 프록시(Forward Proxy)와 리버스 프록시(Reverse Proxy)의 개념과 실무 활용 - 1

today key : 포워드, 리버스, 프록시, forward, reverse, proxy, 보안, 정책, policy, 통제, 개념

---

 프록시(Proxy)는 클라이언트와 서버의 트래픽 경로 상의 중간에서 세션/요청을 종단(Terminate)하거나, 중계(Relay)하면서 다양한 정책을 적용하는 장치(혹은 소프트웨어)입니다.  실무에서 프록시를 사용하는 이유는 단순합니다. 트래픽 경로 상에서 관찰, 통제, 보호, 최적화, 안정화 같은 기능을 모아두면, 운영과 보안이 훨씬 단순해 지기 때문입니다.

 다만, 프록시라고 이러한 정책들을 모두 한 곳에서 적용하도록 설계하지는 않습니다. 역할에 따라 클라이언트를 대신 할 프록시 일지, 서버를 대신 할 프록시일지 구분하게 됩니다. 클라이언트를 대신하는 프록시를 포워드 프록시(forward proxy)라고 하고, 서버를 대신할 프록시를 리버스 프록시(reverse proxy)라고 합니다. 

포워드 프록시의 경우, 보통 사내 인터넷 출구에서 사용자 트래픽을 통제/감사하는 데 사용하고, 리버스는 서비스의 인입 지점에서 보안/TLS/분산/배포를 담당합니다. 

그럼 지금부터 포워드 프록시와 리버스 프록시에 대해서 좀 더 자세히 알아보겠습니다.

---

1. 포워드 프록시와 리버스 프록시 정의와 트래픽 흐름

포워드 프록시는 내부 사용자의 요청을 대신해서 인터넷으로 트래픽을 내보냅니다. 그래서 보통 '사내 인터넷 출구'에 놓습니다. 리버스 프록시는 반대로 외부 사용자의 요청을 받아서 내부 서버로 전달하기 때문에 보통 '서비스 입구'에 놓습니다. 

이러한 포워드 프록시와 리버스 프록시의 트래픽 흐름을 보면 다음과 같습니다.

 

포워드 프록시는 내부 사용자가 인터넷으로 요청을 보낼 떄, 직접 외부 서버와 통신하지 않고, 포워드 프록시를 통해서 요청을 전달합니다. 이러한 구성을 통해서 사용자 인증과 감사 로그, URL/카테고리 기반의 접근 통제, 악성 URL 차단과 같은 정책을 적용할 수 있습니다. 

리버스 프록시는 외부 사용자가 애플리케이션 서버에 직접 붙는 대신에 리버스 프록시에 먼저 접속하고, 리버스 프록시가 내부의 애플리케이션 서버로 요청을 전달하며, TLS 종료(인증서 관리), L7 로드밸런싱, 보안 제어, 헬스 체크 기반의 장애 격리, 무중단 배포(블루-그린/카나리)와 같은 운영 패턴을 적용할 수 있습니다. 

프록시는 동일하게 트래픽의 흐름 중간에서 필요한 정책을 적용한다는 점에서는 동일하지만, 누구를 대신 할지(내부 사용자 혹은 서비스)와, 어느 지점에 배치되어서 어떤 통제를 할지(인터넷 출구 혹은 서비스 입구)에 따라 설계와 운영 포인트가 달라지기 때문에 이러한 부분을 잘 고려하여 설계해야 합니다.