DMZ와 프록시 서버

DMZ (DeMilitarized Zone)

내부망을 보호하기 위해 외부와 내부 사이에 두는 '완충 지대' 네트워크

특징

• 내부 네트워크 안에 있지만, 인터넷 등 외부에서 접속할 수 있도록 별도로 분리해 둔 네트워크 영역
• 외부에 서비스를 제공해야하는 것들을 DMZ에 둠 (웹 서버, 메일 서버, FTP 서버 등)
• 중요한 내부망 (WAS, DB 서버 등)은 방화벽 뒤에 둬서 DMZ 서버 해킹 시 내부망 피해 최소화하도록 설계

프록시 서버

클라이언트와 인터넷 사이에 위치해서, 클라이언트 대신 외부 서버에 요청을 보내고 응답을 다시 전달해 주는 중개 서버

특징

• 방화벽과 함께 배치해 내부 사용자의 외부 접속을 제어
• 캐시 기능으로 자주 요청되는 콘텐츠 저장해서 속도 개선 및 트래픽 절감

프록시 서버의 종류

Forward Proxy

내부 클라이언트가 외부 사이트에 직접 나가지 않고 프록시를 거쳐서 나가는 형태로, 외부는 실제 클라이언트가 아닌 프록시만 보게됨

Reverse Proxy

외부 클라이언트는 프록시 서버를 서비스 서버처럼 보고 접속하고, 프록시가 내부의 실제 웹/WAS 서버로 요청을 라우팅해 주어 로드밸런싱/보안 강화에 사용됨

DMZ와 프록시 서버

DMZ와 프록시 서버의 관계

• 기업 네트워크에서는 보통 외부 인터넷과 내부망 사이 DMZ를 두고, DMZ 영역에 웹 서버나 Reverse Proxy 서버를 배치해 내부 애플리케이션 서버•DB 서버는 내부망에 숨김
• 내부 사용자의 인터넷 사용 통제와 로그 수집을 위해 Forward Proxy 서버를 DMZ 또는 경계 구간에 두어, 외부와의 모든 트래픽을 한 번 더 필터링•모니터링하기도 함

DMZ와 프록시 서버 비교

실제 환경에서 사용

전체 네트워크 레이어

• 인터넷과 사내망 사이 외부 방화벽 - DMZ - 내부 방화벽 순으로 네트워크 레이어를 나눔
• DMZ에는 외부에 노출되는 웹 서버, 메일 서버, VPN 서버, Reverse Proxy 등이 들어감
• 내부망에는 WAS, DB, 사내 업무 시스템등이 위치

WEB_WAS_DB 3 Tier 개념

• WEB 서버는 DMZ에서 클라이언트의 HTTP/HTTPS 요청을 받아 정적 파일 제공, 동적 요청은 내부의 WAS로 전달
• WAS는 내부망에서 비즈니스 로직을 수행, 필요한 데이터는 내부망의 DB 서버에서 질의하여 처리 결과를 다시 WEB 서버로 넘김

DMZ와 WEB 계층 역할

• DMZ의 WEB 서버는 대게 Nginx/Apache 같은 웹 서버이면서 Reverse Proxy로 동작, 외부 요청을 내부 WAS로 라우팅
• WEB만 외부에 노출시키고 WAS는 내부망에 숨기면, WEB 서버가 해킹되더라도 내부망으로 한 번 더 방화벽을 통과해야 하므로 WAS•DB를 보호

WAS•DB 내부망 배치

• 금용권에서는 원칙적으로 WAS와 DB는 내부망에 두고, DMZ에서 내부망으로 연결되는 포트를 최소한으로 열어둠
• DB는 가장 민감한 데이터를 다루므로 사설 IP 대역에서만 접근 가능하게 하고, WAS 계층에서만 접속을 허용하도록 방화벽과 권한 설정

결론

DMZ와 프록시 서버를 공부하여 실제 프로젝트에서 잘 활용하자!