SECURITY · CH3
DMZ 구성 예시
DMZ는 외부 공개 서버를 내부망과 분리된 중간 구간에 배치해 침해
확산을 줄이는 네트워크 구조다.
DMZ Layout
인터넷과 내부망 사이에 공개 서비스 완충 구간을 둔다.
| 인터넷 | 외부 접근 출발점외부 사용자는 웹, 메일, DNS 같은 공개 서비스에만 접근한다. |
|---|---|
| 외부 방화벽 | 공개 포트 선별인터넷에서 DMZ로 들어오는 트래픽 중 허용 포트만 통과시킨다. |
| DMZ | 공개 서버 완충 구간웹 서버, 메일 서버, DNS 서버처럼 외부 노출이 필요한 서버를 둔다. |
| 내부 방화벽 | 내부망 보호 경계DMZ에서 내부 DB로 가는 접근은 필요한 포트와 대상만 제한적으로 허용한다. |
| 내부망 | 업무 시스템 분리DB와 업무 시스템은 공개 서버 침해가 바로 확산되지 않도록 별도 구간에 둔다. |
망 분리 판별
DMZ는 내부망을 완전히 안전하게 만드는 장치가 아니라 인터넷과 내부망
사이의 피해 전파 경로를 줄이는 구간 분리 전략이다.