dmz 비무장지대

DMZ는 방화벽과 연관해서 사용이 됨

기본적으로 방화벽은 네트웍을 보호하는 하드웨어나 소프트웨어

DMZ를 구성하는 이유는?

바로 서비스 때문

여러 서버들이 있는데 이 서버들을 방화벽 아래에 두게 되면 어쩔 수 없이 사용하는 포트를 열어주어야 함

웹서비스는 HTTP포트 FTP는 FTP포트를 열어 주어야 함

이런 식으로 방화벽에 DMZ를 구성하지 않고 서버와 클라이언트 PC들을 하나의 네트웍으로 구성하면

보안에 구멍이 생길 소지가 있다 라는것

즉 웹 서비스의 열려진 HTTP포트를 통해서 해킹이 가능해지면 이를 통해 내부클라이언트 PC까지도 손쉽게 해킹가능

해킹을 방지하기 위해 DMZ를 구성하는 것

인터넷 -> DMZ : OPEN (필요한 서비스만)

DMZ   -> 로컬네트웍 : CLOSE (DMZ 서버를 통해서 로컬네트웍으로의 불법적인 침입 방지)

로컬네트웍 -> DMZ : OPEN (필요한 서비스만)

인터넷 -> 로컬네트웍 : CLOSE (로컬네트웍 보호)

이런 식의 정책적용이 기본적인 방화벽의 DMZ관련 정책

간단히 말해 비무장 지대

네트워크 상에서 여러가지 보안 정책을 쓰지 않는 구역(방화벽을 버린다는 것은 아님)

하지만 포트가 다 열리고 중간에 필터링을 없애는것

공용네트워크가 있다면 대게 포트필터나 방화벽 등등의 제한들이 걸려있다

보안상의 문제와 트래픽 관리상의 목적등등...

이러한 네트워크에서 특정 PC를 DMZ로 놓게 되면 모든 포트가 열리고 필터제한을 일시적으로 제거 할수 있음

불법패킷에대한 방화벽 기능등은 유지가 됨.

비무장지대는 조직의 내부 네트워크와 외부 네트워크 사이에 위치한 서브넷

내부네트워크와 외부 네트워크가 DMZ로 연결할 수 있도록 허용하면서도 

DMZ내의 컴퓨터는 오직 외부 네트워크에만 연결할 수 있도록 한다는 점

즉 DMZ 안에 있는 호스트들은 내부 네트워크로 연결할 수 없다

DMZ에 있는 호스트들이 외부 네트워크로 서비스를 제공하면서 

DMZ안의 호스트의 침입으로부터 내부 네트워크를 보호한다

DMZ는 일반적으로 메일서버 웹서버 DNS서버와 같이 외부에서 접근되어야 할 필요가 있는 서버들을 위해 사용