포워드 프록시(forward proxy) vs 리버스 프록시(reverse proxy)

네트워크 보안이나 인프라를 공부하게 되면 "프록시"라는 개념을 두 가지 맥락에서 알아야 한다.

방화벽 정책을 짤 때도, Nginx 설정을 볼 때도 포워드 프록시와 리버스 프록시는 사실상 방향부터 목적까지 별개의 개념으로 이해해야 한다.

두 프록시의 차이를 트래픽 방향과 보호 대상 기준으로 알아보자.

 

1. 포워드 프록시 (Forward Proxy)

1️⃣ 정의와 위치

포워드 프록시는 클라이언트 집단을 대신해 외부 인터넷으로 나가는 요청을 중계하는 중간자다.

클라이언트는 직접 인터넷에 나가지 않고, 반드시 프록시를 거친다.

[사내 PC들] → [프록시 서버] → 인터넷

클라이언트 입장에서 프록시는 "나 대신 심부름해주는 대리인"이다.

서버 입장에서는 실제 클라이언트가 누구인지 모른다 — 프록시의 IP만 보인다.

 

 

2️⃣ 주요 사용 상황

상황	역할
기업 내부망	직원들이 어떤 사이트에 접속하는지 감시·차단
학교 전산실	특정 사이트 접근 제한
익명성 보장	실제 클라이언트 IP를 숨김 (VPN 유사)
캐싱	자주 요청되는 페이지를 프록시에 저장해 응답 속도 향상
보안 감사	Burp Suite 같은 인터셉팅 프록시로 HTTP 요청 가로채기

🔵 핵심 키워드: 나가는(Outbound) 트래픽 통제, 클라이언트 보호/감시

 

2. 리버스 프록시 (Reverse Proxy)

1️⃣ 정의와 위치

리버스 프록시는 서버 집단 앞에 서서 외부에서 들어오는 요청을 받아 내부 서버로 전달하는 중간자다. 클라이언트 입장에서는 리버스 프록시가 실제 서버처럼 보인다 — 뒤에 서버가 몇 대나 있는지 알 수 없다.

인터넷 → [리버스 프록시] → [내부 서버들]

 

 

 

2️⃣ 주요 사용 상황

상황	역할
DMZ 구간	내부 서버 IP/구조 은닉, 공격 표면 축소
대형 서비스	로드밸런싱으로 여러 서버에 트래픽 분산
HTTPS 처리	SSL 터미네이션 — 인증서를 프록시 한 곳에서만 관리
WAF 연동	악성 요청을 내부 서버 도달 전에 차단
내부 WAS 연동	Nginx가 앞에서 받아 Tomcat으로 전달

🔵 핵심 키워드: 들어오는(Inbound) 트래픽 통제, 서버 보호/관리

 

3. 구분 기준

프록시는 클라이언트 편, 리버스 프록시는 서버 편

 

5. 정리

두 프록시를 구분하는 기준은 단순하다.

트래픽이 어느 방향으로 흐르는지, 그리고 프록시가 어디 앞에 서는지를 보면 된다.

• 클라이언트들이 나가는 트래픽을 통제해야 한다면 → 포워드 프록시
• 서버들로 들어오는 트래픽을 통제해야 한다면 → 리버스 프록시

실무에서는 두 구조가 동시에 존재하는 경우가 많다.

직원들은 포워드 프록시를 통해 나가고, 외부 사용자는 리버스 프록시를 통해 들어온다.

DMZ 설계에서도, 침투 테스트 환경에서도 이 구조는 반복적으로 등장한다.