1. DMZ
- 회사 업무를 보는 PC들과 웹 서비스를 제공하는 웹 서버가 같은 네트워크, 즉 같은 내부망인 랜 대역에 위치하게 되면 어떤 일이 발생할까?
- 외부로 많은 노출이 되어 있는 웹 서버는 당연하게도 해커의 공격이 빈번하게 발생함
- 해커가 취약점을 이용해 웹 서버의 장악을 성공하게 된다면, 같은 대역에 있는 PC들도 해킹의 위협을 받게 될 가능성이 높아짐
- 이러한 상황에서 안전한 네트워크를 구축하기 위함
- DMZ (Demilitarized Zone) 비무장 지대의 의미
- 이전과 같은 상황을 방지하기 위해 DMZ 구간을 설정함
- 외부에서 접근할 수 있지만 내부에는 접근이 불가능한 영역
- DMZ는 내부 네트워크에 있는 서버가 외부에서 서비스 제공 시, 내부 자원을 보호하기 위해 내부망과 외부망 사이에서 접근 제한을 수행하는 영역
- 외부에서 DMZ로는 접근은 가능하나, 방화벽(Firewall)으로 인해 내부망 Post clients로는 접근 불가능
- DMZ에 있는 서버가 해킹을 당해도 방화벽 정책으로 인해 내부까지 들어오는 것은 어려워짐
2. DMZ 구성 방법
- 방화벽, NAT(Network Address Translation), PAT(Port Address Translation)을 이용해 구성
- 방화벽
- 들어오는 패킷(Inbound Packet)과 나가는 패킷(Outbound Packet)을 제어하는 데 사용되는 보안 장치
- 특정 유형의 패킷만 통과하도록 허용하고 다른 모든 트래픽은 차단하도록 구성
- NAT
- IP헤더에 있는 주소 정보를 수정하여 하나의 IP 주소를 다른 IP 주소로 매핑
- 공인 IP(방화벽)를 DMZ 내부 IP주소로 매핑하여 사용
- PAT
- 다른 IP를 가진 여러 장치가 단일 공인 IP 주소의 Port번호를 사용하여 공유할 수 있게 해주는 NAT의 한 종류
- NAT으로 인해 변환된 주소는 하나의 공인 IP를 사용하기 때문에 구분이 어려워 Port번호로 원래의 IP를 구분
3. DMZ 예시
- Trusted Network
- 회사의 직원 또는 신뢰할 수 있는 파트너와 같은 회사 내부 네트워크
- Untrusted Network
- Trusted Network와 반대 개념으로 외부 인터넷을 의미
- Trusted Network - DMZ - Untrusted Network 3구역으로 나눔
- Untrusted Network에서 들어오는 패킷은 DMZ 영역까지만 접근이 가능하게 설정하고 내부 네트워크는 접근할 수 없음
'정보보안 (기술) > 네트워크' 카테고리의 다른 글
| 네트워크 9. 서브넷팅 (0) | 2024.07.11 |
|---|---|
| 네트워크 8. NAT (0) | 2024.07.07 |
| 네트워크 6. 네트워크 계층과 프로토콜(5) (0) | 2024.07.07 |
| 네트워크 5. 네트워크 계층과 프로토콜(4) Port, 3-way handshake (0) | 2024.07.07 |
| 네트워크 4. 네트워크 계층과 프로토콜(3) ARP (0) | 2024.07.07 |