🙊 잘못된 정보는 댓글로 지적 부탁드립니다~
🔥방화벽(Firewall)
침입 차단 시스템 중 하나로 관리자가 허용하는 패킷만 전송을 허용하는 방식으로 가장 기본적인 개념의 네트워크 보안 솔루션이다. 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 정책에 따라 차단하거나 보내준다.
🚦 방화벽의 주요 기능
- 접근제어: 자산을 보호할 정책에 맞게 데이터를 필터링하는 기능으로, 패킷 필터링과 프록시 필터링이 있다.
- 인증: 내부 네트워크에 접근할 수 있는 사용자의 신분을 증명할 수 있다.
- 모니터링 및 로깅(Logging)/감사추적(Auditing): 지속적으로 트래픽을 모니터링 하면서 유동적인 정책을 세울 수 있게 하는 모니터링 기능과 침해가 발생했을 때 역추적의 정보를 남기는 로깅/감사추적의 기능이 있다.
- NAT(Network Address Translation): 내부 네트워크의 주소를 외부에 노출시키지 않고, 외부에서 내부 네트워크로의 직접적인 접근을 차단하게 한다. 여기서 NAT는 트래픽이 외부로 나갈 경우 라우터(혹은 공유기)를 통해 사설 IP가 공인 IP로 변환되기 때문에, 내부의 사설 IP가 외부에 공개되지 않는 주소 변환 기능을 말한다.
- VPN : 방화벽에서 다른 방화벽 또는 호스트까지 전달되는 트래픽을 암호화해서 전달한다. 나중에 이어서 쓸 포스트인 VPC 와 연관이 있는 개념!
어찌됐든 지금 내가 배우는 단계에서 알아둬야 할 정보는 방화벽이 있으면 허용하지 않은 외부 IP가 들어올 수 없지만, 테스트 하는 입장에서는 번거롭기 때문에 정책적으로 설정을 해줘야하는 부분이라는 점인 것 같다.
⚠️DMZ(Demilitarized Zone)
예전에 서버 토폴로지 짤 때에는 간단하게 외부에 서비스를 제공하는 구간 이라고 개념을 잡아놨는데 이번 기회에 더 찾아봤다. 근데 거의 같은 말이던데? 무슨 말을 더 써야할 지 모르겠지만 더 써보겠다...
일반적으로 서비스를 운영할 경우, 웹이나 메일, DNS, FTP와 같이 외부와 연결이 되어야 하는 서비스들을 몰아넣는 구역을 DMZ라고 한다. 이 안에 있는 서비스들은 서버 내부에 있지만, 외부와 통신이 정상적으로 이루어져야 한다.
그렇다면 왜 굳이 번거롭게 이런 DMZ를 만들어야 하느냐? 이건 보안과 관련된 문제인데, 일반적으로 보안을 위해서 대부분의 시설들이 내부망을 사용하는데, 이때 외부와의 통신이 완전히 단절되면 불편하기 때문에 따로 외부 연결을 허용하는 구간을 만든 것이다.
편의를 위해서 DMZ를 만들어두었지만, 네트워크로 외부와 연결된 구간이기 때문에 내부에 있지만 DMZ에 있지 않응ㄴ 다른 서비스들과는 쌍방향 통신이 불가능하다. 이걸 가능하게 하는 것이 위에서 서술한 방화벽이다! (정책으로 설정 가능!)
