네트워크 보안에서 말하는 DMZ란 무엇입니까?
네트워크 보안에 관련된 문서를 읽고 있는데, DMZ란 말이 수시로 나오네요.
DMZ가 뭐죠? 정의가 무엇인지, DMZ가 되려면 어떤 요건을 충족시켜야 하는지 등등..
그리고 참조할 수 있는 뉴스그룹이나 사이트를 알려주시면 정말 고맙겠습니다.
첫번째 답변
보안에서 DMZ란 우리나라에 있는 비무장지대와 같습니다.
말그대로 무장을 하지 않는 다는 것이죠.
그렇다면 왜 무장을 하지 않는가?
그 이유는
주로 DMZ는 방화벽과 연관해서 사용이 되어지는데
기본적으로 방화벽은 네트웍을 보호하는 하드웨어나 소프트웨어입니다.
즉 방화벽은 불법적인 침입에 대하여 필터링을 하는 놈이라고 생각하시면 되겠죠?
그러면 DMZ 를 왜 구성하는가?
그 이유는 바로 서비스에 있습니다.
여러분의 회사나 학교의 네트웍에는 외부로 노출되어야 할 서버나 PC들이 있습니다.
예를 들어 웹서버나 홈페이지 서버, 기타 로긴 서버나 인터넷에서 자신의 네트웍의 서버자원
을 사용해야 하는 서버들이 있겠지요.
그러면 이 서버들을 방화벽 아래에 두게 되면 어쩔수 없이 사용하는 포트를 열어야 합니다.
그렇겠죠? 웹서비스는 HTTP를 열어주어야 하고 FTP서비스는 FTP 포트를 열어주어야 합니다.
이런 식으로 방화벽에 DMZ를 구성하지 않고 서버와 클라이언트PC들을 하나의 네트웍으로 구성하면
보안에 HOLE 이 생길 소지가 있다라는 것입니다.
즉 웹서비스의 열려진 HTTP 포트를 통해서 해킹이 가능해지면 이를 통해 내부클라이언트 PC까지도
손쉽게 해킹이 가능하게 됩니다.
그러므로 DMZ를 구성하게 되는 것이지요.
열어줘야 할 것들은 DMZ를 구성해서 따로 네트웍을 할당 하는 것입니다.
그러면 DMZ에서 로컬 네트웍으로의 침입이 불가능하게 되는 것이죠.
즉
인터넷 -> DMZ : OPEN (필요한 서비스만)
DMZ -> 로컬네트웍 : CLOSE (DMZ 서버를 통해서 로컬네트웍으로의 불법적인 침입 방지)
로컬네트웍 -> DMZ : OPEN (필요한 서비스만)
인터넷 -> 로컬네트웍 : CLOSE (로컬네트웍 보호)
이런 식의 정책적용이 기본적인 방화벽의 DMZ 관련 정책입니다.
가장 기본적으로 DMZ를 구성하는 경우는 아래와 같습니다.
방화벽에 NIC를 3장 달아서
하나는 인터넷, 다른 하나는 DMZ, 나머지 하나는 로컬네트웍으로 연결을 시켜주는 것이죠.
마지막으로 다시 정리해보면
DMZ는 외부에서 엑세스 가능한 서버들의 네트웍을 할당해 놓은 곳이며
DMZ를 구성함으로써 로컬네트웍의 보안을 가져갈 수 있다.
두번째 답변
간단히 말해 비무장 지대입니다.
네트워크 상에서 여러가지 보안 정책을 쓰지 않는 구역을 말하는데..
물론 방화벽을 걷어 버리는 것은 아닙니다.
하지만, 포트가 다 열리고, 중간에 필터링을 없애는 거죠..
공용네트워크가 있다면, 대게 포트필터나, 방화벽 등등으로 제한들이 걸려 있습니다.
보안상의 문제도 있고, 트래픽 관리상의 목적도 있겠죠..
이러한 네트워크에서 특정 PC 를 DMZ 로 놓게 되면, 포트가 모두 열리게 되고, 필터제한을
일시적으로 제거 할 수 있습니다.
물론 이런건 설정 하기 나름이구요..DMZ 를 한다 하더라도, 불법패킷에대한 방화벽 기능등은
유지가 되구요..물론 이것 역시 설정하기 나름이겠지만..암튼..이런 제한을 풀어버리는 역활을
DMZ 라 합니다.
물론 DMZ 설정을 해 두면 보안상으로 치명적일 수 있겠죠?..
생각 나는대로 적습니다..
출처 : 네이버지식인
네트워크 보안에 관련된 문서를 읽고 있는데, DMZ란 말이 수시로 나오네요.
DMZ가 뭐죠? 정의가 무엇인지, DMZ가 되려면 어떤 요건을 충족시켜야 하는지 등등..
그리고 참조할 수 있는 뉴스그룹이나 사이트를 알려주시면 정말 고맙겠습니다.
첫번째 답변
보안에서 DMZ란 우리나라에 있는 비무장지대와 같습니다.
말그대로 무장을 하지 않는 다는 것이죠.
그렇다면 왜 무장을 하지 않는가?
그 이유는
주로 DMZ는 방화벽과 연관해서 사용이 되어지는데
기본적으로 방화벽은 네트웍을 보호하는 하드웨어나 소프트웨어입니다.
즉 방화벽은 불법적인 침입에 대하여 필터링을 하는 놈이라고 생각하시면 되겠죠?
그러면 DMZ 를 왜 구성하는가?
그 이유는 바로 서비스에 있습니다.
여러분의 회사나 학교의 네트웍에는 외부로 노출되어야 할 서버나 PC들이 있습니다.
예를 들어 웹서버나 홈페이지 서버, 기타 로긴 서버나 인터넷에서 자신의 네트웍의 서버자원
을 사용해야 하는 서버들이 있겠지요.
그러면 이 서버들을 방화벽 아래에 두게 되면 어쩔수 없이 사용하는 포트를 열어야 합니다.
그렇겠죠? 웹서비스는 HTTP를 열어주어야 하고 FTP서비스는 FTP 포트를 열어주어야 합니다.
이런 식으로 방화벽에 DMZ를 구성하지 않고 서버와 클라이언트PC들을 하나의 네트웍으로 구성하면
보안에 HOLE 이 생길 소지가 있다라는 것입니다.
즉 웹서비스의 열려진 HTTP 포트를 통해서 해킹이 가능해지면 이를 통해 내부클라이언트 PC까지도
손쉽게 해킹이 가능하게 됩니다.
그러므로 DMZ를 구성하게 되는 것이지요.
열어줘야 할 것들은 DMZ를 구성해서 따로 네트웍을 할당 하는 것입니다.
그러면 DMZ에서 로컬 네트웍으로의 침입이 불가능하게 되는 것이죠.
즉
인터넷 -> DMZ : OPEN (필요한 서비스만)
DMZ -> 로컬네트웍 : CLOSE (DMZ 서버를 통해서 로컬네트웍으로의 불법적인 침입 방지)
로컬네트웍 -> DMZ : OPEN (필요한 서비스만)
인터넷 -> 로컬네트웍 : CLOSE (로컬네트웍 보호)
이런 식의 정책적용이 기본적인 방화벽의 DMZ 관련 정책입니다.
가장 기본적으로 DMZ를 구성하는 경우는 아래와 같습니다.
방화벽에 NIC를 3장 달아서
하나는 인터넷, 다른 하나는 DMZ, 나머지 하나는 로컬네트웍으로 연결을 시켜주는 것이죠.
마지막으로 다시 정리해보면
DMZ는 외부에서 엑세스 가능한 서버들의 네트웍을 할당해 놓은 곳이며
DMZ를 구성함으로써 로컬네트웍의 보안을 가져갈 수 있다.
두번째 답변
간단히 말해 비무장 지대입니다.
네트워크 상에서 여러가지 보안 정책을 쓰지 않는 구역을 말하는데..
물론 방화벽을 걷어 버리는 것은 아닙니다.
하지만, 포트가 다 열리고, 중간에 필터링을 없애는 거죠..
공용네트워크가 있다면, 대게 포트필터나, 방화벽 등등으로 제한들이 걸려 있습니다.
보안상의 문제도 있고, 트래픽 관리상의 목적도 있겠죠..
이러한 네트워크에서 특정 PC 를 DMZ 로 놓게 되면, 포트가 모두 열리게 되고, 필터제한을
일시적으로 제거 할 수 있습니다.
물론 이런건 설정 하기 나름이구요..DMZ 를 한다 하더라도, 불법패킷에대한 방화벽 기능등은
유지가 되구요..물론 이것 역시 설정하기 나름이겠지만..암튼..이런 제한을 풀어버리는 역활을
DMZ 라 합니다.
물론 DMZ 설정을 해 두면 보안상으로 치명적일 수 있겠죠?..
생각 나는대로 적습니다..
출처 : 네이버지식인
'Net Society' 카테고리의 다른 글
| IE의 버그 주석버그 (0) | 2008.03.09 |
|---|---|
| [NO.33] php5를 시작하다.. (0) | 2007.03.22 |
| [NO.29] Tistory를 가상계정폴더로 이용하는 법 (0) | 2007.03.05 |
