Firewall / DMZ / VPC

훈이·2022년 10월 27일

Firewall

Firewall은 방화벽이라고도 하며, 미리 정의된 보안 규칙에 기반한 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이라고 할 수 있다.
방화벽은 일반적으로 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 사이에 장벽을 구성한다.

Firewall(방화벽)의 역활

방화벽은 불순한, 신뢰성이 낮은 데이터들의 유입을 막는 역활을 한다.
그리고 해킹 공격 방법과 패턴의 수준이 높아지면 방화벽 또한 복잡한 조건을 걸어 데이터를 막거나 접근을 제한 시키는 고급 기능도 구현 가능하다.

방화벽의 기능

패킷 필터
네트워크 계층에서 동작하는 방화벽이며 수립되어 있는 정책에 위반될 시에 패킷을 통과시키지 않는다.
패킷 필터는 패킷 자체만을 검사하는 무상태 방화벽과 패킷이 속하는 세션을 관리하여 이 세션에 속하는 패킷들을 모두 똑같이 처리하는 상태 방화벽이 있다.
프록시
세션에 포함된 유해성을 검사하기 위해 기존 세션을 종료하고 새로운 세션을 형성하는 기능이다.
검사를 많이 해서 부하가 걸리지만 좀 더 안전하고, 프로토콜 변경 등 추가적인 기능도 수행 가능하다.
NAT
내부 네트워크에서 사용하는 IP주소와 외부에 드러나는 주소를 다르게 유지해주는 기능이다.

방화벽의 형태

스크린 라우터를 이용한 구조
패킷 필터 기능이 있는 스크린 라우터를 이용해서 방화벽 환경을 구성한다.
가장 심플한 구조이다.
듀얼 홈 호스트 구조
호스트가 두 개의 네트워크 인터페이스를 사용하는 구조다. 하나는 외부 네트워크에 연결하고 다른하나는 내부 네트워크에 연결한다.
스크린 호스트 구조
내부망에 베스천 호스트를 두고 스크린 라우터가 외부와 내부 하나씩 연결되어 있는 방식이다.
모든 통신은 베스천 호스트를 통해서만 가능하다.
그래서 베스천 호스트가 망가지면 큰일난다.
스크린 서브넷 구조
외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두는 구조이다.
두개의 스크린 라우터를 사용한다.
하나는 외부와 DMZ, 다른 하나는 DMZ와 내부를 연결한다.

DMZ

DMZ는 Demilitarized Zone의 약자로 비무장지대라고도 부른다. 조직의 내부 네트워크와 외부 네트워크 사이에 위치한 서브넷이다.
내부 네트워크와 외부 네트워크가 DMZ로 연결될 수 있도록 허용하고, DMZ 내의 컴퓨터는 오직 외부 네트워크에서만 연결할 수 있도록 한다.
즉, DMZ 안에 있는 호스트들은 내부 네트워크로 연결할 수 없으며 DMZ에 있는 호스트들이 외부 네트워크로 서비스를 제공하면서 DMZ 안의 호스팅의 침입으로부터 내부 네트워크를 보호한다.
이미지 출처

VPC

VPC는 Virtual Private Cloud의 약자로서 GCP 리소를 위한 관리형 네트워킹 기능을 제공한다.
실제 네트워크와 동일한 방식으로 작동하며, 데이터 센터의 지역 가상 서브넷으로 구성된다.
글로벌 광역 네트워크로 연결된 글로벌 리소스이다.

VPC 네트워크의 특징

연결된 라우터와 방화벽 규칙을 포함한 전역 리소스이다.
방화벽 규칙은 인스턴스에서 송수신 되는 트래픽을 제어할 수 있다.
서브넷은 지역 리소스이며, 각 서프벳은 CIDR을 이용해 IP주소 범위로 정의한다.
내부 IP 주소가 있는 인스턴스는 Google API 및 서비스와 통신이 가능하다.
네트워크 관리는 IAM을 사용해 관리 가능하다.
VPC 공유를 이용하면 VPC 네트워크를 공용 Host Project에 유지할 수 있다.
VPC 피어링으로 VPC 네트워크를 다른 Project 또는 organization의 다른 VPC 네트워크에 연결 할 수 있다.
Cloud VPN이나 Interconnect를 이용하면 온프레미스 환경이나 타 벤더의 클라우드 서비스를 연결할 수 있는 하이브리드 환경을 지원한다.
VPC 네트워크는 IPv4 유니 캐스트 트래픽만 지원한다.
각 프로젝트는 사전 정의된 default 네트워크로 시작하고, 커스텀을 통한 네트워크도 가능하다.