DMZ(Demilitarized Zone) 란 내부망에 존재하지만 외부 네트워크와 내부 네트워크 사이에서 외부 네트워크 서비스를 제공하면서 내부 네트워크를 보호하는, 외부에 오픈되어 외부망에서 접근할 수 있는 서버영역이다.
DMZ의 앞뒤로 방화벽이 설치된다. 하나는 내부 네트워크와 다른 하나는 외부 네트워크와 연결된다. 내/외부 네트워크는 DMZ에 접속할 수 있지만, DMZ내의 컴퓨터는 오직 외부 네트워크에만 연결할 수 있다. 이는DMZ 내의 호스트의 침입으로부터 내부 네트워크를 보호하기 위함이다.
* 내부 네트워크 :
외부망과 연결되지 않고 특정 단체나 조직원만 접근 가능한 사설망
일정한 조직(회사내, 영업장 내) 내부 네트워크 (ex. 공유기 등)을 통해 자원을 공유하거나 내부 솔루션을 LAN(Local Area Network)을 통해 사용하는 것을 말합니다. 이 내부망 IP는 외부망의 반대 개념으로써 각 조직, 회사 등 내부망이 존재할 수 있으며, 해당 내부 IP의 경우 외부에서 확인 할 수 없습니다.
* 외부 네트워크 :
인터넷에 연결된 망
내부망의 반대 개념으로 써 일정 구역(area)를 넘어 정보 및 자원을 교환하는 구간으로 써 Internet 을 통한 통신을 지칭하며, 개인정보 처리 시스템과 인터넷이 직접적으로 연결이 되어있는 구간을 말합니다.
컴퓨팅과 네트워크를 사용하는 기관들은 보안의 목적으로 내부네트워크만 사용하여 시스템을 운영하곤한다.
이 경우에는 외부네트워크와 단절되어 메일서버, 웹서버, DNS서버와 같이 기본적인 인터넷 서비스를 사용할 수 없다.
이와 같이 DMZ는 외부에서 접근되어야 할 필요가 있는 서버들을 위해 사용한다.
외부와 통신해야하는 서버를 위해 포트를 열어 사용할 경우, 내부 네트워크까지 노출되어 해킹 될 위험이 있다.
외부네트워크에서 DMZ로 가는 연결은 일반적으로 포트 주소 변환(PAT Port Address Translation)을 통해 제어된다.
DMZ 개념
DMZ 구간이란 웹서비스, 메일 서비스,DNS 등 외부에 서비스를 운영함에 따라 불가피하게 Open 되어야 하는 Well-known Port 를 통한 공격에 대비하며, 이 공격을 통해 내부자원의 탈취, 훼손등을 예방하고자 내부 <-> 외부 간 접근제한을 수행하는 역할 입니다.
이를 통해 내부망 사용자들은 안전하게 외부 인터넷에 접근하여 정보를 공유하고 외부 이용자는 해당 서비스를 운영은 하되 내부 정보에 도달하여 수정하거나 탈취하는것이 불가능하게끔 하는 구성인 것입니다.
아래의 그림처럼 내부의 트래픽이 외부로 나가는 Outbound 설정은 allow 하며 외부사용자의 접근은 DMZ 영역까지만 허용하는 보안정책을 수립하는 방화벽 Acess Control List 등 설정하여 구성합니다.
DMZ 구성
통상적인 DMZ 구성의 경우
외부망(Internet) 에서 DMZ 접근 (ex. http 80 port 등) Allow
외부망(Internet) 에서 내부망으로 접근 (공인 IP 등을 활용) Deny
DMZ 에서 내부망으로 접근 Deny (DMZ을 통한 악의적인 접근을 제한)
내부망에서 DMZ, 외부망 접근 Allow 등으로 설정을 하며
방화벽 장비에 NIC (Network Interface Card) 3EA 를 설치하여 각각 내부/외부/DMZ 망을 설정하여 각각의 Interface 마다 적합한 정책을 설정합니다.
정책을 설정한 이후 통신 흐름은 다음과 같습니다.
DMZ 활용
외부에서 접속해야 할 웹 서버/이메일 서버/FTP 서버 시스템 등 외부 연결이 필요한 시스템들을 DMZ에 배치합니다.
그렇다고 모두 연결이 DMZ로 가능한 것이 아니라 알맞은 서비스만 연결이 되도록 방화벽 설정이 필요합니다.
[출처]
https://sangbeomkim.tistory.com/106
네트워크에서 DMZ란?
네트워크에서 DMZ란 무엇인지 알아보자 컴퓨팅과 네트워크를 사용하는 기관들은 보안의 목적으로 패쇄 형태의 내부 네트워크 (LAN: Local Area Network)만 사용하여 각종 인트라넷이나 내부 시스템을
sangbeomkim.tistory.com
https://ee-22-joo.tistory.com/40
[네트워크] DMZ(DeMilitarized Zone)
지금하고 있는 프로젝트에서 총 8개의 서버를 관리하고 있다. 내부 Web/WAS 서버, 외부 Web/WAS 서버로 각 서버를 2개씩 가진다. 외부 Web 서버만 따로 관리하고 있기에 여쭤봤더니 외부 Web 서버만 DMZ
ee-22-joo.tistory.com
https://m.blog.naver.com/innoviss/222246852119
DMZ 이란 무엇이고 어떻게 활용하는가?
안녕하세요. 이노비스 시스템입니다. 오늘은 네트워크 구성 방법 중 하나인 DMZ 영역이 무엇인지 어떻게...
blog.naver.com
'IT 업무 지식 > 인프라' 카테고리의 다른 글
| Dedi 서버 (0) | 2024.04.22 |
|---|---|
| IT 용어 정리 (0) | 2023.10.18 |
| HA(Hight Avaliability) (1) | 2023.10.10 |
| 네트워크 연결 스토리지(NAS) (0) | 2023.10.10 |
| 로드밸런싱 (0) | 2023.10.10 |