프록시 서버 보안
캐싱 프록시 서버의 보안은 중요하며, 여기에는 해당 서버의 파일에 대한 접근 권한을 제어하는 방법에 대한 세부 사항이 설명되어 있습니다.
인터넷에서 액세스 가능한 서버로 실행되고 있는 시스템이라면 모두 뜻하지 않은 관심에 노출되는 위험이 도사리고 있습니다. 권한 없는 사용자가 비밀번호를 추측하거나, 파일을 업데이트하거나, 파일을 실행하거나 기밀 데이터를 읽으려고 시도할 수 있습니다. WWW(World Wide Web)의 매력은 개방성입니다. 그러나 웹은 긍정적 사용 및 남용 둘 다에 열려 있습니다.
다음 섹션에서는 캐싱 프록시 서버의 파일에 대한 접근 권한을 제어하는 방법을 설명합니다.
캐싱 프록시는 SSL(Secure Sockets Layer) 연결을 지원하며, 이 연결에서는 클라이언트 브라우저와 대상 서버(콘텐츠 서버 또는 대리 서버) 간에 암호화 및 복호화를 포함한 안전한 전송이 설정됩니다.
캐싱 프록시가 대리 서버로 구성될 경우, 클라이언트, 콘텐츠 서버 또는 양쪽 모두와 보안 연결을 설정할 수 있습니다. SSL 연결을 활성화하려면 구성 및 관리 양식에서 프록시 구성 SSL 설정을 선택하십시오. 이 양식에서 SSL 사용 선택란을 선택하고 키 링 데이터베이스 및 키 링 데이터베이스 비밀번호 파일을 지정하십시오.
캐싱 프록시가 포워드 프록시 서버로 구성될 경우, SSL 터널링이라고 불리는 통과 프로토콜을 따라 클라이언트와 콘텐츠 서버 간에 암호화된 요청을 전달합니다. 프록시 서버가 터널을 통과한 요청을 암호 해독하지 않기 때문에, 암호화된 정보는 캐시되지 않습니다. 전방향 프록시 설치에서 SSL 터널링이 사용 가능합니다. 이를 비활성화하려면 구성 및 관리 양식에서 프록시 구성 > 프록시 설정을 선택하고, 해당 양식에서 SSL 터널링 확인란의 선택을 해제하십시오.
- 로컬 또는 내부 네트워크와는 별도의 네트워크에 공용 액세스를 위한 서버를 배치하십시오.
- 원격 사용자가 서버의 내부 프로세스에 액세스할 수 있도록 허용하는 유틸리티를 사용할 수 없게 하십시오. 특히, 서버를 실행 중인 시스템에서 telnet, TN3270, rlogin 및 finger 클라이언트를 사용 안함으로 설정하는 것을 고려하십시오.
- 패킷 필터링 및 방화벽을 사용하십시오.
패킷 필터링은 데이터가 시작되는 위치 및 데이터가 이동할 수 있는 위치를 정의하기 위한 선택사항을 제공합니다. 시스템이 특정 원본-목적지 결합을 거부하도록 구성할 수 있습니다.
방화벽은 내부 네트워크를 인터넷과 같이 대중적으로 액세스 가능한 네트워크에서 분리합니다. 방화벽은 양방향에서 게이트웨이 역할을 하면서 이곳을 통과하는 트래픽을 조절하고 추적하는 단일 컴퓨터 또는 컴퓨터 그룹일 수 있습니다. IBM® 방화벽은 방화벽 소프트웨어의 한 예입니다.
- CGI 스크립트를 제어하십시오. 웹 서버에서 CGI 스크립트를 사용하면 보안 위험이 생길 수 있습니다. 이러한 스크립트가 사용자 ID 및 비밀번호와 같은 민감한 데이터를 포함하는 환경 변수를 표시할 수 있기 때문입니다. 서버에서 실행하기 전에 CGI 프로그램이 수행하는 작업을 정확히 알고 있는지 확인하고 서버에서 CGI 스크립트에 액세스하는 사용자를 제어해야 합니다.
Proxy /* http://content server :443Proxy /* https://content server :443