DMZ 란
dmz 란 말 그대로 네트워크 상의 비무장 지대를 뜻하며,
외부망과 내부망의 중간 경계에 위치한다.
내부 IT 시스템들도 때로는 외부 네트워크를 사용해야 한다.
각종 오픈소스 설치 파일들을 다운로드 하거나,,
업무상 기관의 이메일을 사용해야 하는 경우 이메일 서버는 내부에 있다 해도, SMTP 는 외부에서 진입할 수 있도록 해야하며, 기관에서 운영하는 웹 사이트는 외부에서 접속하지만 내부에 웹 서버가 존재한다.
이러한 요구사항을 DMZ 로 해결할 수 있다.
aws 로 따져보면, private subnet 에 속한 서버가 외부와 통신하기 위해 NAT 게이트 웨이를 연결한것과 같은 맥락아닐까 싶다.
내부망)
일정한 조직 내부 네트워크를 통해 자원을 공유하거나 내부 솔루션 LAN 을 통해 사용하는 것을 말한다.
이 내부망 IP 는 외부망의 반대개념으로써 각 조직, 회사 등 내부망이 존재할 수 있으며, 해당 내부 IP 의 경우 외부에서 확인할 수 없다. 내부 통신을 목적으로 사용되므로 외부 통신을 위해서는 외부IP 와 매칭되는 NAT 등의 기능을 활용해서 웹서핑 등을 하게 된다.
외부망)
내부망의 반대 개념으로써 일정 구역을 넘어 정보 및 자원을 교환하는 구간으로써 인터넷을 통한 통신을 지칭하며, 개인정보 처리 시스템과 인터넷이 직접저긍로 연결이 되어있는 구간을 말한다.
DMZ 개념)
메일 서비스, dns 등 외부에 서비스를 운영함에 따라 불가피하게 open 되어야 하는 well-known 포트를 통한 공격에 대비하며, 이 공격을 통해 내부 자원의 탈취, 훼손등을 예방하고자 내부 <- -> 외부간 접근 제한을 수행하는 역할이다.
이를 통해 내부망 사용자들은 안전하게 외부 인터넷에 접근해서 정보를 공유하고,
외부 이용자들은 해당 서비스를 운영은 하되 내부 정보에 도달하여 수정하거나 탈취하는것이 불가능하게 끔 하는 구성이다.
내부 트래픽이 외부로 나가는 outbound 설정은 allow 하며, 외부 사용자의 접근은 dmz 영역까지만 허용하는 보안 정책을 수립하는 방화벽 ACL 등을 설정하여 구성한다.
그래서 보통 망 - dmz 사이에 방화벽이 위치하는 편이다.
방화벽이란
방화벽은 인터넷으로부터 내부 네트워크를 분리시키는 하드웨어와 소프트웨어의 조합으로, 패킷들의 통과를 허용하거나 차단한다.
- 내부 네트워크와 외부 인터넷을 오가는 모든 트래픽은 방화벽을 거친다.
- 방화벽은 내부 네트워크와 외부 인터넷 경계 사이에 위치한다.
- 네트워크의 유일한 접속 지점에 방화벽을 두어 보안 정책의 관리와 강화를 쉽게 한다.
- 보안 정책에 정의된 대로 승인된 트래픽만 통과시킨다.
- 내부 네트워크로 들어오는 모든 트래픽이 방화벽을 통과하게 하여 허가된 트래픽만 내부 네트워크로 접근할 수 있게 한다.
- 방화벽 자체가 침입 시도로부터 안전해야 한다.
- 방화벽도 네트워크에 연결되기 때문에 제대로 설계되거나 설치되지 않으면 해커가 방화벽을 조작할 수 있다.
방화벽의 분류
패킷 필터 방화벽
- 내부 네트워크와 ISP 를 연결하는 게이트웨이 라우터가 존재한다.
- 내부 네트워크에 오고가는 모든 트래픽은 이 라우터를 통과해야하고, 이 라우터에서 패킷 필터링을 수행한다.
- 패킷 필터는 각각의 데이터그램을 독립적으로 검사하고, 관리자가 정한 규칙에 따라 데이터 그램을 통과시킬지 차단할지를 결정한다.
- OSI L3 네트워크 계층, L4 계층에서 동작한다.
- 내부 네트워크와 외부 인터넷 사이에서 특정 트래픽을 허용하거나 차단하는 단순한 방화벽이다.
- 발신지 주소와 포트를 검사해 수신측 주소와 포트에 대한 접속 여부를 결정한다.
상황 고려 필터 방화벽
- 패킷 필터 방화벽에서는 필터링 결정이 각 패킷에 대해 독립적으로 이뤄진다.
- 상황 고려 필터 방화벽은 TCP 연결을 추적하여 관련 정보의 필터링을 결정하기 위해 사용한다.
응용 게이트웨이 방화벽
- 세밀한 수준의 보안을 위해 패킷 필터와 응용 게이트웨이를 결합한다.
- OSI L7 에서 동작한다.
- 내부 네트워크와 외부 인터넷을 완벽하게 구분한다.
- 내부 IP 주소를 숨길 수 있다.
Zone이란
앞서 DMZ 에 대해 이야기하면서 이게 무엇의 약자인지를 짚지 않고 넘어갔다.
DMZ 는 Demilitarized Zone 으로서, 존의 일종이다.
존은 특정 네트워크나 서버에 접근할 수 있는 권한을 가진 사용자나 장치를 의미한다.
존을 쪼개는 기준은 방화벽으로 쪼갤 수 있다.
UTM 이란
UTM 은 통합 위협 관리를 의미한다.
네트워크 보안을 통합해서 다양한 보안기능을 하나의 플랫폼에서 제공하는 솔루션이다.
방화벽, vpn, 인트라넷/ 인터넷 게이트웨이 기능을 통합한 솔루션이었지만, 시간이 지나면서 IDS, IPS , 악성 코드 및 스팸 필터링, 웹 보안 게이트웨이, 웹 어플리케이션 방화벽, 콘텐츠 필터링 등이 포함되었다.
그렇군.
참고)
https://myyblog.tistory.com/entry/UTM%EC%9D%B4%EB%9E%80
UTM이란?
UTM이란? UTM은 Unified Threat Management의 약어로 통합 위협 관리를 의미한다. UTM은 네트워크 보안을 통합하여 다양한 보안 기능을 하나의 플랫폼에서 제공하는 솔루션이다. UTM은 다양한 보안 기능을
myyblog.tistory.com
https://brunch.co.kr/@sangjinkang/51
DMZ 네트워크를 이해하자
아군과 적군 어느 쪽이든 무장을 하지 않는 지리적 영역 | 비무장지대 - DMZ(Demilitarized Zone)란 단어 그대로, 아군과 적군 어느 쪽이든 무장을 하지 않는 지리적 군사 영역을 의미합니다. 네트워크
brunch.co.kr
https://velog.io/@cabbage/%EB%B0%A9%ED%99%94%EB%B2%BDFirewall-DMZ-VPC
[네트워크] 방화벽(Firewall, DMZ) / VPC
방화벽과 VPC에 대해 간단하게 알아보기
velog.io
https://hyeri0903.tistory.com/225
[네트워크] DMZ(Demilitarized Zone) 의미와 뜻
네트워크에서 내부망과 외부망에대해서 이야기할 때가 있습니다. 이때 DMZ라는 용어도 함께 언급되는데요 DMZ란 한국어로 직역하면 비무장지대로 아군과 적군 어느쪽이든 무장을 하지 않은 상태
hyeri0903.tistory.com
'☁️2024 > Computer Science' 카테고리의 다른 글
| [ Network ] Overlay , Underlay (1) | 2024.11.14 |
|---|---|
| [ Network ] PoE 란? (0) | 2024.11.14 |
| [ Network ] SDN 과 ACI 간단 정리 #1 (2) | 2024.11.13 |
| [ Network ] VIP 란? (0) | 2024.11.13 |
| [ Network ] 프록시와 NAT (0) | 2024.11.13 |
