Glasswall 프록시 제외 구성 가이드 (PAC)

개요​

macOS 및 Windows에서 ICAP 프록시 구현을 내부 테스트하는 동안, 브라우저 수준 및 시스템 수준의 프록시 제외가 처리되는 방식에서 중요한 제한 사항을 확인했습니다:

• 문자 수 제한: 두 플랫폼 모두 로컬 제외 목록("bypass proxy for" 필드)에 대해 최대 문자 수를 적용합니다.
• 영향: 이 제한을 초과하면 일부 시스템은 아무런 알림 없이 프록시를 완전히 우회하는 방식으로 대체되어, policy 시행에 심각한 공백이 발생합니다.

이 문제를 방지하기 위해, 장치별 구성에 의존하기보다 PAC (proxy auto-config) 파일을 사용하여 프록시 제외를 중앙에서 관리할 것을 권장합니다.

권장 접근 방식: PAC 파일 사용​

PAC 파일이란 무엇인가요?​

proxy auto-config (PAC) 파일은 요청 URL, 도메인, IP 또는 기타 매개변수를 기반으로 프록시 동작을 동적으로 정의하는 JavaScript 기반 구성 스크립트입니다.

장점​

구현 단계​

1. PAC 파일 만들기​

다음 예제를 기본으로 사용하세요:

function FindProxyForURL(url, host) {
  // Domains to bypass proxy
  if (dnsDomainIs(host, "internal.glasswall.com") ||
      shExpMatch(host, "*.corpnet.glasswall.local") ||
      isInNet(host, "10.0.0.0", "255.0.0.0")) {
    return "DIRECT";
  }

  // Everything else goes through ICAP proxy
  return "PROXY proxy.glasswall.com:3128";
}

필요에 따라 도메인 패턴과 서브넷 IP를 사용자 지정합니다.

2. PAC 파일 호스팅​

이를 네트워크에서 접근 가능한 위치에 배치합니다:

• 내부 웹 서버(예:https://intranet.glasswall.com/proxy.pac)
• 네트워크 공유(macOS 호환 SMB 경로 또는 DFS)

다음을 확인합니다:

• 보안됨(HTTPS 권장)
• 모든 엔드포인트에서 읽을 수 있음
• 버전 관리됨

3. 클라이언트가 PAC를 사용하도록 구성​

Windows​

• Use Group Policy (GPO) or Intune:
  • Automatic proxy configuration을(를) 호스팅된 PAC URL로 설정합니다.
  • 문자 수 제한 오용을 방지하려면 수동 제외를 비활성화합니다.

macOS​

• Use your Apple MDM provider
  • .mobileconfig를 통해 프록시 자동 구성을 활성화합니다:

<key>ProxyAutoConfigURLString</key>
<string>https://intranet.glasswall.com/proxy.pac</string>

4. 구성 테스트​

• Open a browser and verify proxy behavior:
  • 외부 사이트에 액세스합니다(ICAP를 통해 라우팅되어야 함).
  • 제외된 도메인/IP에 액세스합니다(직접 연결되어야 함).

내부 테스트 참고 사항​

• 브라우저 확장 프로그램 또는 타사 앱이 추가 프록시 규칙을 적용하는 예외적인 경우에는 PAC 파일이 재정의될 수 있습니다.
• 브라우저에 하드코딩된 제외 항목(예:localhost,127.0.0.1)은 계속 적용됩니다.

🔧 문제 해결​

요약​

프록시 제외를 관리하기 위해 PAC 파일로 전환하면 다음과 같은 이점이 있습니다:

• 플랫폼 제한 해결
• policy 업데이트 중앙화
• 잘못된 구성 위험 감소
• 보안 제어가 그대로 유지되도록 보장

이를 대규모로 배포하는 데 도움이 필요하면 IT 인프라 또는 보안 엔지니어링 팀에 문의하세요.