[Network] DMZ를 구성하는 이유는?

DMZ를 구성하는 이유는?

 

---

1. DMZ란?

- 먼저, 군사용어로서 DMZ는 다음과 같다.

전쟁이나 분쟁 등으로 휴전상태에 들어간 상호간의 협약에 의해 군사 활동이 금지된 지역을 말한다. 다른 말로는 
중립 지대라고도 부른다. 대표적인 곳으로는 한반도의 DMZ와 남극 등이 있다. 유럽인들에게는 베르사유 조약으로 인해 비무장 지대가 됐던 라인란트가 유명하다. #참고 : 나무위키

- DMZ 구역에서는 어떠한 공격적인 활동을 할 수 없기 때문에 이런 의미를 빌려와서 네트워크에서 사용 중이다.

- 즉, 외부의 위협에 노출을 막고자 하는 내부 서비스(서버나 특정 자원들)을 보호 하기위한 안전지대다.

- 외부의 위협으로부터 내부 네트워크를 보호하면서 공공 대면 서비스를 호스팅하기 위한 제어되고 보호된 환경을 제공하는 네트워크 보안 아키텍처의 중요한 구성 요소다.

- 예를 들면, 서비스를 사용하기 위해 서버로 접근 중인 상황에 DMZ 를 사용한다면 물리적인 경로는 서비스 사용자 -> DMZ -> 서버 로 연결된다.

- 요약하자면, 외부에서는 서비스를 하고 있는 서버의 정보를 단편적으로라도 알 수 없게 만들어 악의적인 공격 등에 보호하고자 하는 보안 기법의 하나다.

 

2. DMZ를 구성하는 이유

- 그 이유는 바로 서비스를 하는 '서버'들에게 있다.예를 들어 웹서버나 홈페이지 서버, 기타 서버 그리고 인터넷에는 서버자원을 사용해야 하는 서버들이 존재한다.

- 그러면 이 서버들을 방화벽 하단에 설치할 때, 서비스를 제공하기 위하여 사용하고자하는 서비스의 포트를 열어야 한다.또한, 서버와 클라이언트를 하나의 네트워크로 구성하면 보안에 취약점이 생길 위험이 존재한다. 

- 따라서, DMZ를 구성하여 서비스 포트를 따로 열고 별도의 네트워크을 생성한다. 그러면 DMZ에서 로컬 네트워크으로의 침입이 불가능하다.

 

3. DMZ의 기본 정책 

- 기본적인 방화벽의 DMZ 관련 정책은 다음과 같다. 이처럼, DMZ가 중간에서 비무장지대 역할을 하여 외부로부터 Internal을 보호할 수 있다.

서비스 OPEN 허용	서비스 CLOSE 차단
Internet -> DMZ  : OPEN (필요한 서비스만) DMZ -> Internet  : OPEN (필요한 서비스만) Internal -> DMZ  : OPEN (필요한 서비스만)	DMZ -> Internal : CLOSE (DMZ 서버를 통해서 Internal으로의 불법적인 침입 방지) Internet -> Internal : CLOSE (로컬네트웍 보호)

---