ChromeOS에서 프록시 서버를 사용하여 조직과 사용자가 방문하는 사이트 간에 보호를 제공할 수 있습니다. 프록시 서버를 사용하면 안전하지 않거나 원치 않는 콘텐츠를 필터링하거나 사용자 IP 주소를 숨김 처리하거나 특정 웹사이트를 필터링할 수 있습니다.
프록시 서버를 사용하는 경우 다음 단계가 이루어집니다.
- 사이트 요청이 프록시 서버를 통해 전달됩니다.
- 그런 다음 서버에서 요청을 웹사이트로 전달합니다.
- 웹사이트에서 웹페이지를 프록시 서버로 다시 반환합니다.
- 서버가 웹페이지를 다시 사용자 기기로 라우팅합니다.
프록시 선택 방법
ChromeOS는 보안, 프록시해야 하는 트래픽 또는 DNS 변환이 수행되어야 하는 위치와 같은 조직 요구사항에 따라 다양한 프록시 스키마를 지원합니다. ChromeOS에서 지원되는 모든 프록시 스키마와 구현 세부정보를 보려면 Chrome에서 프록시 지원을 참고하세요.
일부 프록시 구성은 다른 네트워크 설정과 호환되지 않을 수 있습니다. 예를 들어 프록시가 ChromeOS에 구성된 경우 socks4 프록시를 제외하고는 서버 측에서 DNS 변환이 이루어지므로 맞춤 DNS 구성과 호환되지 않습니다.
프록시 인증 메커니즘을 선택하면 ChromeOS 수준의 구성요소마다 Chrome 브라우저와 다르거나 적은 네트워크 기능을 가집니다.
ChromeOS 수준에서 프록시 인증
사용자가 Chrome 브라우저에 로그인하면 사용자 이름과 비밀번호가 프로필과 연결된 인증 캐시에 저장되며 OS 브라우저의 Chrome 브라우저 사용자 탐색 요청에만 액세스할 수 있습니다.
즉, 정책 업데이트 또는 키오스크 등록과 같이 Chrome 브라우저에서 연결이 필요한 시스템 서비스(예: OS 업데이트, 비정상 종료 보고서 업로드, 시스템 시간 동기화)에서는 사용자 이름 및 비밀번호에 액세스할 수 없습니다. 네트워크 관리자는 시스템 서비스에서 생성된 트래픽이 인증 단계를 우회하도록 해야 합니다.
이는 Google Play 및 Google Play 앱 트래픽에도 적용됩니다.
시스템 서비스 및 Google Play에서 사용하며 프록시의 인증 단계를 우회해야 하는 엔드포인트 목록은 프록시 인증 우회 목록 섹션을 참고하세요.
OS의 시스템 서비스 및 Google Play 트래픽이 OS 서비스에서 인증되도록 SystemProxySettings 정책을 구성하여 등록된 기기에서 프록시 우회 목록을 크게 줄일 수 있습니다. 자세한 내용은 ChromeOS 기기 정책 설정에서 인증된 프록시 트래픽 설정을 참고하세요.
또한 맞춤 CA 인증서는 사용자 트래픽에만 적용됩니다. 프록시에서 TLS 검사를 수행할 때 시스템 트래픽과 Android 트래픽이 검사를 우회하도록 허용해야 합니다. Chrome 기기에서 TLS(또는 SSL) 검사 설정 > 호스트 이름 허용 목록 설정하기를 참고하세요.
ChromeOS에서 명시적 프록시를 구성하는 방법
사용할 설정
ChromeOS에서 개별 네트워크에 대해 또는 전역적으로 조직의 모든 네트워크에 프록시를 구성할 수 있습니다. 프록시 구성은 우선순위에 따라 아래에 나열되어 있습니다.
- 사용자 정책 ProxySettings - 전체
- Extensions - 전체
- 사용자 정책 OpenNetworkConfiguration - 네트워크별
- 기기 정책 DeviceOpenNetworkConfiguration - 네트워크별
- 네트워크 설정 UI - 네트워크별로 사용자가 설정
일반적으로 프록시 구성은 전체 OS에 적용되지만, 사용자가 브라우저에서 프록시 구성을 명시적으로 허용해야 하는 다음과 같은 예외가 있습니다.
- 확장 프로그램 세트 프록시는 기본적으로 시크릿 모드에서 사용 중지됩니다. 사용자는 chrome://extensions 페이지에서 프록시를 제어하는 확장 프로그램이 시크릿 모드로 실행되도록 명시적으로 허용해야 합니다.
시크릿 모드에서는 확장 프로그램 설정 프록시를 시행할 수 없지만, 사용자가 시크릿 모드에서 사전 구성된 확장 프로그램을 허용하지 않는 경우 시크릿 모드 탐색을 차단할 수 있습니다. 자세한 내용은 MandatoryExtensionsForIncognitoNavigation 정책을 참고하세요. - Lacros 보조 프로필을 사용하는 경우 사용자는 chrome://settings/system 페이지로 이동한 다음 이 프로필에 ChromeOS 프록시 설정 사용을 선택하여 OS에 구성된 프록시 사용을 선택하거나 선택 해제할 수 있습니다.
사용할 프록시 구성 형식
ChromeOS는 다음 프록시 형식을 지원합니다.
- 수동 - 프록시를 우회해야 하는 엔드포인트 우회 목록과 함께 표시되는 프록시 식별자의 정적 목록입니다.
- PAC 스크립트 — URL에 사용할 프록시를 결정하기 위한 더 복잡한 규칙을 설정할 수 있는 JavaScript 파일입니다.
- 자동 감지 - PAC URL을 가져오기 위해 DNS 또는 DHCP를 찾는 검색 메커니즘인 웹 프록시 자동 검색 프로토콜(WPAD)입니다.
- 직접 - 유사 프록시로, 프록시가 사용되지 않음을 의미합니다.
형식을 결정할 때는 다음 사항에 유의하세요.
- 프록시 확인은 이름 변환 전에 발생합니다. IP 리터럴을 사용하여 프록시 우회 목록을 구성한 경우 사용자가 IP와 연결된 호스트 이름이 아닌 특정 IP 주소로 이동하는 경우에만 예외가 적용됩니다. 자세한 내용은 프록시 우회 규칙을 참고하세요.
- 다음은 Android 프록시 지원에 적용됩니다.
- data:// scheme이 포함된 PAC URL은 지원되지 않습니다.
- 수동 프록시 설정의 경우 우회 목록에서 IPv6 주소의 특수문자 또는 ASCII가 아닌 문자를 지원하지 않습니다.
프록시 인증 우회 목록
ChromeOS 시스템 서비스
| Chrome/ChromeOS 서비스 | 호스트 이름 |
|---|---|
| 필수 사항 | |
| DMServer | m.google.com |
| 강제 재등록, 인증 액세스용 | chromeos-ca.gstatic.com |
| ChromeOS - 자동 업데이트 | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| ChromeOS - 비정상 종료 보고서 업데이트 로그 Chrome - WebRTC 업데이트 로그 |
clients2.google.com |
| ChromeOS - tlsdate 시스템 시계 동기화 | clients3.google.com |
| 종속 포털 감지 | www.gstatic.com 또는 accounts.google.com 또는 www.googleapis.com |
| 문제 해결, Crostini 다운로드 등을 위한 보고서 업로드 | storage.googleapis.com |
| 다양한 API 서비스 | www.googleapis.com |
| Google에서 사용하는 도메인 - XSS 공격을 방지하기 위해 *.google.com과 별도로 유지합니다. | *.1e100.net |
| Bandaid URL - 일부 요청이 Google 캐싱 인프라로 리디렉션되어 앱 다운로드 속도를 높입니다. | *.gvt1.com |
| 자동 업데이트, 정적 이미지 등 다운로드 | dl.google.com dl-ssl.google.com |
| Chrome 구성요소 업데이트(chrome://components) | update.googleapis.com |
| 적극 권장 | |
| 세이프 브라우징 | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Chrome 계정 동기화 서버: 북마크, 사용자 측정항목 수집, 기타 서비스와 같은 사용자 데이터를 동기화합니다. | clients4.google.com |
| 검색주소창 문서 추천 | cloudsearch.googleapis.com |
| OEM 맞춤설정(및 기타) 다운로드 | ssl.gstatic.com |
|
서드 파티 또는 사용자 제작 콘텐츠(예: 프린터 드라이브 또는 확장 프로그램) googleusercontent.com은 버그를 포함하거나 도메인을 교차 사이트 스크립팅 공격에 악의적으로 취약하게 만들 수 있는 사용자 제작 콘텐츠로부터 주요 Google 서비스를 보호합니다. |
*.googleusercontent.com |
| 프린터 지원 - 프린터 PDD 다운로드 | printerconfigurations.googleusercontent.com |
| 주변기기 지원: 연결된 다양한 기기에 더 잘 적응하는 방법에 관한 전문 안내. 현재 지원 프린터 및 디스플레이 | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | 호스트 이름 |
|---|---|
| 필수 사항 | |
| 앱 프로비저닝 및 설치를 위한 필수 사항 | android.googleapis.com android.apis.google.com play.google.com |
|
Google 클라우드 메시징(GCM), Firebase 클라우드 메시징, GMS 코어 엔드포인트 gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| 기타 | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
확장 프로그램 및 키오스크
| Chrome/ChromeOS 서비스 | 호스트 이름 |
|---|---|
| 필수 사항 | |
| 확장 프로그램 다운로드 엔드포인트 | clients2.google.com clients2.googleusercontent.com chrome.google.com |