- DMZ( Demilitarized Zone ) 비무장 지대의 의미
- 외부에서 접근할 수 있지만 내부에는 접근이 불가능한 영역을 말한다.
- 다시 말해 네트워크에서의 DMZ는 내부 네트워크에 있는 서버가 외부에서 서비스 제공 시, 내부 자원을 보호하기 위해 내부망과 외부망 사이에서 접근 제한을 수행하는 영역이다.
위 그림처럼 네트워크를 구성하게 되면, 외부에서 DMZ로의 접근은 가능하나, 방화벽으로 인해 내부망 Posts clients로는 접근이 불가능하게 된다.
DMZ 구성 방법
방화벽, NAT( Network Address Translation ), PAT( Port Address Translation )을 이용해 구성
방화벽
- 들어오는 패킷( Inbound Packet )과 나가는 패킷( Outbound Packet )을 제어하는데 사용되는 보안 장치다
- 특정 유형의 패킷만 통과하도록 허용하고 다른 모든 트래픽은 차단하도록 구성하면 DMZ 구간만 접근이 가능하게 된다.
NAT
- IP 헤더에 있는 주소 정보를 수정하여 하나의 IP 주소를 다른 IP 주소로 매핑
- 공인 IP( 방화벽 )를 DMZ 내부 IP 주소로 매핑하여 사용
PAT ( Port Address Translation )
- 다른 IP를 가진 여러 장치가 단일 공인 IP 주소의 Port 번호를 사용하여 공유할 수 있게 해주는 NAT의 한 종류
- NAT로 인해 변환되는 주소는 하나의 공인 IP를 사용하기 때문에 구분이 어려워 Port 번호로 원래의 IP를 구분한다.
DMZ 예시
Trusted Network
- 회사의 직원 또는 신뢰할 수 있는 파트너와 같은 회사 내부 네트워크를 말한다.
Untrusted Network
- Trusted Network와 반대 개념으로 외부 인터넷을 의미한다.
위 그림을 살펴보면
Untrusted Network에서 들어오는 패킷은 DMZ 영역까지만 접근이 가능하게 설정되고 내부 네트워크는 접근할 수 없게 된다.
이렇게 네트워크를 구축하면 Trusted zone까지 직접 접근할 방법이 없기 때문에 안전한 네트워크를 구축할 수 있게 된다.
'K-Shield > Jr' 카테고리의 다른 글
| [K-Shield][Jr] PAT( Port Address Translation ) (0) | 2025.04.27 |
|---|---|
| [K-Shield][Jr] NAT (0) | 2025.04.27 |
| [K-Shield][Jr] 7계층 : 응용 계층( Application Layer ) (0) | 2025.04.27 |
| [K-Shield][Jr] 6계층 : 표현 계층( Presentation Layer ) (0) | 2025.04.27 |
| [K-Shield][Jr] 5계층 : 세션 계층( Session Layer ) (0) | 2025.04.27 |