DMZ(De-Militarized Zone)
- 보안을 위하여 내부/외부 네트워크를 분리할 때, 외부로 서비스는 제공하면서 내부의 보안을 유지하기 위한 방법입니다.
- 내부망과 외부망 사이에 위치한 네트워크입니다.
내부망
- 인터넷이 아닌 내부 네트워크를 통해 자원을 공유하거나 그룹웨어 등을 사용할 수 있는 LAN 환경입니다.
- 물리적 망분리, 접근 통세 시스템 등에 의하여 인터넷 구간에서 직접적인 접근이 통제/차단 되는 구간입니다.
외부망
- 인터넷을 통한 네트워크로 인터넷과 직접 연결되어 있는 구간입니다.
DMZ(De-Militarized Zone)
- 외부에 서비스 제공 시 내부 자원 보호를 위하여 내부망과 외부망 사이에 접근 제한을 수행하는 영역입니다.
- 인터넷 구간과 내부망 사이에 위치하며, 침입 차단 시스템 등으로 접근제한 등을 수행하지만 외부에서 접근은 가능합니다.
- 내부 네트워크와는 분리시킨 공간으로 DMZ의 호스트들은 내부 네트워크로 연결할 수 없습니다.
- 외부에서 악의적 공격자가 기업 내부 네트워크에 직접 접속하지 못하도록 차단하고 보호합니다.
- 일반적으로 외부 공격으로부터 보호가 필요한 DB서버, 인증서 서버, 로그인 서버 등이 위치할 수 있습니다.
침입 차단 시스템
- 일반적으로 내부 방화벽이 내부망의 게이트웨이가 되고, NAT를 구성하여 내부망의 구성을 외부에서 알 수 없도록 숨깁니다.
- 외부 노출이 불가피한 장비만 보호된 망에 설치하고, 필수 연결 외에는 내부망과 완전히 격리하여 내부망을 보호합니다.
- 외부/내부 네트워크를 분리하고, 외부에서 DMZ는 들어올 수 있지만 내부로는 들어오지 못하도록 필터링을 합니다.
- 내부에서 외부나 DMZ로 가는 것을 방화벽으로 제한합니다.
- 각 네트워크는 서로 다른 포트를 사용하여 방화벽에 연결되며, 이를 삼각 방화벽 설정(Three-Legged Firewall Set-up)이라고 합니다.
- 강력한 구성을 위하여 두개의 방화벽을 사용할 수 있으며, DMZ는 두 방화벽 중간에 위치하게 됩니다.
참고자료
댓글 없음:
댓글 쓰기