DMZ (DeMilitarized Zone)
회사의 LAN(내부망, 사내망)은 보안을 위해 네트워크 내에 방화벽과 DMZ를 둔다. 방화벽은 미리 정의된 보안 규칙에 따라 패킷의 송수신을 결정하는 네트워크 보안 시스템이다. 그리고 DMZ는 외부망과 내부망 사이에 위치한 네트워크 영역(서브넷)이다. 외부, 내부에서 DMZ로 접근할 수 있다.
왜 DMZ를 둘까? 회사의 웹서버, 메일서버, DNS 서버등은 내부에서만 사용할 수도 있지만 외부에서의 접근이 필요할 수도 있다. 회사의 웹서버나 메일 서버를 외부에 공개할 때 필요하다. 하지만 내부망 전체를 외부에 공개해서는 안된다. 특히 파일 서버, DB 서버가 외부에 노출되어 서버의 제어권을 뺏기면 심각한 일이 일어난다. 그래서 외부에 공개할 서버는 DMZ에 두고 공개하지 않을 서버나 호스트들은 내부망에 둔다.
내부에서도 DMZ에 접근할 필요가 있다. 내부망의 호스트들도 웹 검색, 메일, 프로그램 업데이트 등 인터넷 서비스를 사용할 필요가 있다. 그래서 내부에서 DMZ으로의 접근을 허용한다. (내부망은 DMZ로 요청 패킷을 보내고 응답 패킷만을 받는다.) 하지만 DMZ에서 내부망으로의 접근은 차단한다. (DMZ에서 내부망으로 요청 패킷을 보낼 수 없다.) 악의적인 해커가 DMZ에 접근한 후 DMZ를 통해 내부망에 접근할 수도 있기 때문이다.
'Computer Science > Network' 카테고리의 다른 글
| [데이터통신 - 11] 응용 계층 (0) | 2022.09.17 |
|---|---|
| [데이터통신 - 10] 전송 계층 (0) | 2022.09.07 |
| 사설망, NAT (0) | 2022.08.30 |
| [데이터통신 - 9] 네트워크 계층 (2) (0) | 2022.08.17 |
| [데이터통신 - 8] 네트워크 계층 (1) (0) | 2022.08.09 |
