네트워크에서 DMZ란?

네트워크에서 DMZ란 무엇인지 알아보자

 

컴퓨팅과 네트워크를 사용하는 기관들은 보안의 목적으로 패쇄 형태의 내부 네트워크 (LAN: Local Area Network)만 사용하여 각종 인트라넷이나 내부 시스템을 운영하는 방법도 있지만 이 경우엔 외부 네트워크로는 단절되어 웹 검색이나

이메일링, DNS 사용, FTP 등의 기본적인 인터넷 서비스를 사용할 수 없다. 

 

외부 네트워크 연결을 위해 별도의 네트워크 케이블링을 하여 물리적으로 내부/외부 다른 네트워크를 사용할 수 있지만 

매우 불편한 상황이 발생한다. 

 

문제는 비단 사람뿐만 아니라 내부 IT 시스템들도 때로는 외부 네트워크를 사용해야 한다는 점이다. 

리눅스 운영체제, MySQL 등을 비롯한 각종 오픈 소스 설치 파일을 다운로드해서 설치하고 패치 파일 버전을 확인하고

제때 업데이트해야 하는 과정이 있다.

업무상 기관의 이메일을 사용해야 하는데 이메일 서부는 내부에 있다 해도 SMTP는 외부에서 진입할 수 있도록 해야 하며 기관에서 운영하는 웹 사이트는 외부에서 접속하지만 내부에 웹 서버가 존재합니다. 이러한 요구 사항을

DMZ로 해결할 수 있습니다

 

내부 네트워크에 존재하지만 외부에서 접근할 수 있는 특수한 네트워크 영역을 DMZ라고 한다.

 

DMZ의 활용 예제를 살펴보겠다.

 

우리 회사의 IT 시스템은 외부에서 접속해야 할 웹 서버/이메일 서버/FTP 서버 시스템이 존재합니다. 

이 시스템 영역을 A라고 가정해보자.

 

우리 회사의 IT 시스템은 내부에서만 사용하는 시스템 또한 존재합니다.

이 시스템 영역을 B라고 가정해보자.

 

외부에 열린 A에서 B로의 접속은 보안상 해킹의 우려가 있으므로 접속을 막는다.

 

B에서 A로의 접속은 보안상 우려가 없고 A가 가진 정보가 필요한 경우가 있으므로 접속을 허가합니다.

따라서 내부 시스템은 외부 인터넷을 통해 얻은 정보를 내부 DB, 스퇴지 등에 저장하고 활용할 수 있다.

 

 

위 시나리오를 다이어그램으로 대략 표현하면 아래와 같습니다. 외부 연결이 필요한 시스템들을 DMZ에 배치합니다.

그렇다고 모두 연결이 DMZ로 가능한 것이 아니라 알맞은 서비스만 연결이 되도록 방화벽 설정이 필요합니다. 

DMZ에서 내부로의 연결은 불가능하지만 반대로 내부에서 DMZ로의 연결은 가능합니다. 이는 또 다른 방화벽에서의 설정으로 구현 가능합니다.

 

 

 

 

 

 

아직 덜 와닿아서 더 정리해보겠다.