8장 통합점(게이트웨이, 터널, 릴레이)
- 게이트웨이 : 서로 다른 프로토콜과 애플리케이션 간의 HTTP 인터페이스다.
- 애플리케이션 인터페이스: 서로 다른 형식의 웹 어플리케이션이 통신하는 데 사용한다.
- 터널: HTTP 커넥션을 통해서 HTTP가 아닌 트래픽을 전송하는 데 사용한다.
- 릴레이: 일종의 단순한 HTTP 프락시로, 한 번에 한 개의 홉에 데이터를 전달하는데 사용한다.
게이트웨이
게이트웨이는 리소스와 애플리케이션을 연결하는 역할을 한다.
애플리케이션은 게이트웨이에게 요청을 처리해달라고 할 수 있고, 게이트웨이는 그에 응답할 수 있다.
게이트웨이는 요청을 받고 응답을 보내는 포털 같이 동작하는데, 동적인 콘텐츠를 생성하거나 데이터베이스에 질의를 보낼 수 있다.
게이트웨이는 HTTP 트래픽을 다른 프로토콜로 자동으로 변환하여, HTTP 클라이언트가 다른 프로토콜을 알 필요 없이 서버에 접속할 수 있게 하기도 한다.
클라이언트 측 게이트웨이와 서버 측 게이트웨이
웹 게이트웨이는 한쪽에서는 HTTP로 통신하고 다른 한쪽에서는 HTTP가 아닌 다른 프로토콜로 통신한다.
게이트웨이는 클라이언트 측 프로토콜과 서버 측 프로토콜을 빗금(/)으로 구분하여 표시한다.
예를 들어 HTTP/FTP 게이트웨이는 HTTP 클라이언트와 FTP 서버 사이에서 동작한다.
프로토콜 게이트웨이
게이트웨이에도 HTTP 트래픽을 바로 보낼 수 있다. 보통, 브라우저에 명시적으로 게이트웨이를 설정하여 자연스럽게 트래픽이 게이트웨이를 거쳐 가게 하거나, 게이트웨이를 대리 서버로 설정할 수도 있다.
HTTP/*: 서버 측 웹 게이트웨이
서버 측 웹 게이트웨이는 클라이언트로부터 HTTP 요청이 원 서버 영역으로 들어오는 시점에 클라이언트 측의 HTTP 요청을 외래 프로토콜로 전환한다.
HTTP/HTTPS: 서버 촉 보안 게이트웨이
기업 내부의 모든 웹 요청을 암호함함으로써 개인 정보 보호와 보안을 제공하는데 게이트웨이를 사용할 수 있다.
이를 위해 게이트웨이는 HTTP 요청을 HTTPS로 변환한다.
HTTPS/HTTP: 클라이언트 측 보안 가속 게이트웨이
HTTPS/HTTP 게이트웨이는 보안 가속기로 유명하다.
웹 서버 앞단에 위치시켜, 보이지 않는 인터셉트 게이트웨이나 리버스 프락시 역할을 한다. 이 게이트웨이는 보안 HTTPS 트래픽을 받아서 복호화하고, 웹 서버로 보낼 일반 HTTP 요청을 만든다.
원서버보다 더욱 효율적으로 보안 트래픽을 복호화하는 암호화 하드웨어를 내장하여 원 서버의 부하를 줄여줄 수 잇다.
리소스게이트웨이
게이트웨이의 가장 일반적인 형태인 애플리케이션 서버는 목적지 서버와 게이트웨이를 한 개의 서버로 결합한다.
애플리케이션 서버는 HTTP를 통해서 클라이언트와 통신하고 서버 측에 있는 애플리케이션 프로그램에 연결하는 서버 측 게이트웨이이다.
최초의 API는 공용 게이트웨이 인터페이스(CGI)였다. CGI는 특정 URL에 대한 HTTP 요청에 따라 프로그램을 실행하고, 프로그램의 출력을 수집하고, HTTP 응답으로 회신하는데 웹 서버와 애플리케이션 간의 통신에 사용할 정교한 인터페이스를 제공해왔다.
공용 게이트웨이 인터페이스
웹에서 동적인 HTML, 신용카드 처리, 데이터베이스 질의 등을 제공하는데 사용한다.
CGI는 웹 서버와 애플리케이션 간의 통신에 사용할 정교한 인터페이스를 제공한다.
CGI가 내부에서 어떤 처리를 하는지 사용자에게 보이지 않지만, 사용자의 시각에서는 내부적으로 일반 요청을 만드는 것일 뿐이다.
무언가 한다는 유일한 단서는 URL에 있는 cgi 혹은 ? 뿐이다.
하지만 CGI는 성능과 관련된 비용이 발생한다.
모든 CGI 요청마다 새로운 프로세스를 만드는 데 부하가 꽤 크고, CGI를 사용하는 서버의 성능을 제한 시킨다.
서버 확장 API
CGI의 단점을 보완하기 위해 서버 확장 API가 등장했다. 확장 API는 프로그래머가 자신의 코드를 서버에 연결하거나 서버의 컴포넌트를 자신이 만든것으로 교체해버릴 수 있게 하였다.
애플리케이션 인터페이스와 웹서비스
애플리케이션 인터페이스는 웹 서비스를 제공하는 데 사용된다.
인터넷 커뮤니티는 각 웹 애플리케이션이 서로 통신하는데 사용할 표준과 프로토콜 집합을 개발하였다.
웹 서비스는 애플리케이션이 정보를 공유하는데 사용하는 새로운 메커니즘을 말한다.
웹 서비스는 HTTP 같은 표준 웹 기술 위에서 개발한다.
웹 서비스는 SOAP을 통해 XML 메시지를 교환한다.
터널
웹 터널은 HTTP 프로토콜을 지원하지 않는 애플리케이션에 HTTP 애플리케이션을 사용해 접근하는 방법을 제공한다.
웹 터널을 사용하면 HTTP 커넥션을 통해서 HTTP가 아닌 트래픽을 전송할 수 있고, 다른 프로토콜을 HTTP 위에 올릴 수 있다.
웹 터널을 사용하는 가장 일반적인 이유는 HTTP 커넥션 안에 HTTP가 아닌 트래픽을 얹기 위해서다. 따라서 웹 터널을 사용하면 웹 트래픽만을 허락하느 ㄴ방화벽이 있더라도 HTTP가 아닌 트래픽을 전송할 수 있다.
CONNECT로 HTTP 터널 커넥션 맺기
HTTP 터널은 CONNECT 메서드를 사용하여 HTTP 커넥션을 맺는다.
CONNECT 메서드는 터널 게이트웨이가 임의의 목적 서버와 포트에 TCP 커넥션을 맺고 클라이언트와 서버 간에 오는 데이터를 무조건 전달하기를 요청한다.
CONNECT 요청
CONNECT 문법은 시작줄을 제외하고는 다른 메서드와 같다. 요청 URL은 호스트 명이 대신하며 콜론에 이어 포트를 기술한다.
CONNECT www.example.com:80 HTTP/1.1
User-agent: Mozilla/4.0
CONNECT 응답
200 응답 코드로 성공을 뜻한다.
사유 구절은 보통 Connection established로 시작한다.
HTTP/1.1 200 Connection established
Proxy-agent: Apache/1.3.0 (Unix)
데이터 터널링, 시간, 커넥션 관리
터널을 통해 전달되는 데이터는 게이트웨이에서 볼 수 없어서 터널을 통해 전달되는 데이터를 검사하거나 수정할 수 없다.
클라이언트는 성능을 높이기 위해 CONNECT 요청을 보낸 다음, 응답을 받기 전에 터널 데이터를 전송할 수 있다.
이렇게 하면 터널을 통해 전달되는 데이터를 기다리는 시간을 줄일 수 있다.
하지만 이때는 게이트트웨이가 요청에 이어 데이터를 적절하게 처리할 수 있음을 전제로 한다.
터널의 끝단 어느 부분이든 커넥션이 끊어지면, 그 끊어진 곳으로부터 온 데이터는 반대편으로 전달된다.
그 다음 커넥션이 끊어졌던 터널의 끝단 반대편의 커넥션도 프락시에의해 끊어질 것이다. 커넥션이 끊긴 한쪽에 아직 전송하지 않은 데이터는 버려진다.
SSL터널링
웹 터널은 원래 방화벽을 통해서 암호화된 SSL 트래픽을 전달하기 위해 개발되었다.
터널을 사용하면 SSL 트래픽을 HTTP 커넥션으로 전송하여 80포트의 HTTP만을 허용하는 방화벽을 통과 시킬 수 있다.
터널은 HTTP가 아닌 트래픽이 포트를 제한하는 방화벽을 통과할 수 있게 해준다.
이는 보안 SSL 트래픽이 방화벽을 통과하는 데 유용하게 사용될 수 있다. 하지만 터널은 악의적인 트래픽이 사내로 유입되는 경로가 될 수도 있다.
SSL 터널링 vs HTTP/HTTPS 게이트웨이
HTTP 프로토콜(SSL 상의 HTTP)은 다른 프로토콜과 같은 방식으로 게이트웨이를 통과할 수 있다.
SSL 터널링은 보안 터널을 생성하여 특정 프로토콜의 통신을 보호하는 데 중점을 둔다. HTTP/HTTPS 게이트웨이는 다양한 서비스를 제공하고 기능의 일부로 SSL/TLS 종료를 처리하는 등 다양한 기능을 제공한다.
SSL 터널링은 프로토콜에 더욱 특화되어 특정 프로토콜에 대한 데이터 전송을 보호한다.
HTTP/HTTPS 게이트웨이는 로드 밸런싱, 캐싱, 압축, SSL/TLS 이상의 보안 기능을 포함하여 더 광범위한 기능을 처리할 수 있다.
SSL 터널링은 일반적으로 애플리케이션 계층, 특히 보안되는 프로토콜에 대해 구현됩니다.
HTTP/HTTPS 게이트웨이는 다양한 계층(주로 네트워크 또는 애플리케이션 계층)에서 작동할 수 있으며 보안을 넘어 보다 광범위한 서비스를 제공할 수 있습니다.
SSL 터널링은 특정 프로토콜에 대한 데이터 전송을 보호하는 기술인 반면, HTTP/HTTPS 게이트웨이는 다양한 서비스를 제공하고 기능의 일부로 SSL/TLS 종료를 처리하는 등 다양한 기능을 제공한다.
터널 인증
프락시 인증 기능은, 클라이언트가 터널을 사용할 수 있는 권한을 검사하는 용도로 터널에서 사용할 수 있다.
터널 보안에 대한 고려사항들
터널은 오용을 최소화하기 위해서, 게이트웨이는 HTTPS 전용 포트인 443같이 특정 포트만을 터널로 허용해야 한다.
릴레이
HTTP 릴레이는 HTTP 명세를 완전히 준수하지는 않는 간단한 HTTP 프락시다.
릴레이는 커넥션을 맺기 위한 HTTP 통신을 한 다음, 바이트를 맹목적으로 전달한다.
릴레이는 HTTP 메시지를 전달하기만 하고, 메시지를 해석하거나 수정하지 않는다.
문제
- HTTP 터널링에 관한 다음 설명 중 잘못된 설명은 무엇입니까? // 1
- HTTP 터널링은 주로 HTTP 트래픽을 암호화하고 안전하게 전송하도록 설계되었습니다.
- HTTP 터널링을 사용하면 HTTP가 아닌 트래픽을 HTTP 연결을 통해 전송할 수 있습니다.
- CONNECT 메소드는 HTTP 터널 연결을 설정하는 데 사용됩니다.
- HTTP 터널을 통과하는 데이터는 게이트웨이를 통해 쉽게 검사하고 수정할 수 있습니다.
- 릴레이에 대한 간단한 설명과 릴레이가 HTTP 메시지를 처리하는 방식에 대해 설명하시오.