한국인이라면 누구나 실면서 한번 쯤은 뉴스나 각종 매체를 통해 들어봤을 단어 DMZ / 비무장지대(Demilitarized Zone).
항상 생소한 용어와 단어들이 난무했던 개발 공부 속에서 원래 알고 있던 단어가 나왔을 때에는 그렇게 반가울 수가 없다.
또한 방화벽(firewall)도 컴퓨터를 써본 사람이라면 한번 쯤은 보안설정을 할 때나 엑세스 파일을 받기 위해 어떤 기능인지는 모르더라도 만진 기억이 있을 것이다.
그렇다면 네트워크에서 존재하는 DMZ란 무엇이며, 우리가 설정해보았던 방화벽은 실제로 어떤 기능을 할까?
우선 DMZ란,
DMZ란,외부 네트워크와 내부 네크워크 사이에서 외부 네트워크 서비스를
제공 하면서 내부 네트워크를 보호하는 서브넷, 즉 외부에 오픈된 서버 영역을 의미
라고 정의 된 글을 찾을 수 있었지만,
위에 몇줄만 읽고서는 DMZ가 정확히 어디에 위치하고 어떤 역할을 하는지 이해가 되지 않아 몇가지 이미지를 찾아와 보았다.
첫번째 이미지로 보아하니 방화벽 밖에는 인터넷 (외부 네트워크) 그리고
방화벽(Firewall)과 방화벽 사이의 공간에 존재하는 것이 DMZ인 듯 하다.
두번째 이미지를 보니 더 명확한 외부, 내부 네트워크 구조가 이해 할 수 있었는데,
외부 네트워크로 부터 여러 데이터들을 서버와 주고 받을 때는 방화벽을 거쳐야 하며 내부 네트워크에서 더 깊게 들어갈 때도 마찬가지로 방화벽을 거쳐야 하는 구조로 이루어 진 것을 볼 수 있었다. 그리고 여기서 DMZ는 내부 네트워크 안에서 비교적 여러가지 데이터를 주고 받을 수 있는 공간? 정도로 이해 했다.
그나저나 이 구조 뭔가 익숙하다...?!
?!
예전에 거인들이 침공해오는 만화에서 봤던 요새랑 되게 비슷하다고 느껴졌다...
둘러쌓여진 성벽으로 식량이나 탐사를 하고 돌아오는 사람들을 신뢰할 수 있는 데이터,
들어와서는 안되는 거인들을 신뢰되지 않는 데이터나 바이러스 등 유해한 데이터,
그리고 요새의 중앙에서 왕도를 지키기 위해 설치된 성벽 또한 내부망을 보호하는 방화벽 등 유사한 부분이 괭장히 많았다. (ㅆㄷ 아님...)
나와 같은 생각을 가지시는 분을 찾았는데, 알기 쉽게 방화벽과 DMZ 그리고 내부망에 대해 강의 해주셨다.
https://www.youtube.com/watch?v=p5qm-h04W5M
(참조)
이 분께서는 두개의 방화벽을 각각 약한 정책과 강한 정책에 비유해서
약한 정책은 비교적 쉽게 들어올 수 있는 외부네트워크와 DMZ사이에 존재하는 방화벽,
강한 정책은 누구나 함부러 들어올 수 없는, 신뢰할 수 있는 데이터만 들어와야하는 DMZ와 내부망 사이에 존재하는 방화벽이라고 설명해주셨다.
즉, DMZ는 외부네트워크와 내부 네트워크 사이에 최소한의 안전이 보장되어 있는 구역이며, 외부로 자주 주고 받을 데이터를 관리하는 업무 (소통과 관련된 업무)를 하는 곳이며,
방화벽은 DMZ 및 내부네트워크로 데이터가 들어가고 나올 때 검문소 역할을 하는 곳으로써
- 패킷필터링을 통한 외/내부 네트워크의 접근 제어
*패킷필터링: 내부로 접근하는 패킷의 IP,Port 등을 검열하여 허용된 패킷의 주소와 허용되지 않는 패킷의 주소를 나눠서 접근을 허가하거나 거부하는 기능
-
프록시(proxy) 기능을 통한 유해성 검사
*프록시: 보안정책에 따라 실제 서비스를 수행하는 서버로, 클라이언트의 서비스 요청을 받아 전달하고, 결과를 수신하여 사용자에게 전달하는 기능 -
네트워크의 내부망과 외부망을 나누는 주소 변환NAT(Network Address Translation)기능
와 같은 세가지 대표적인 기능을 가지고 네트워크를 보호하는 기능을 가지고 있다.
