DMZ(DeMilitarized Zone)
내부 네트워크에 존재하지만 외부에서 접근할 수 있는 특수한 네트워크 영역을 DMZ라고 한다.
외부 네트워크와 내부 네트워크 사이에서 외부 네트워크 서비스를 제공하면서 내부 네트워크를 보호하는 서브넷, 즉 외부에 오픈된 서버 영역을 말한다.
외부 연결이 필요한 시스템들을 DMZ에 배치합니다.
그렇다고 모두 연결이 DMZ로 가능한 것이 아니라 알맞은 서비스만 연결이 되도록 방화벽 설정이 필요합니다.
DMZ에서 내부로의 연결은 불가능하지만 반대로 내부에서 DMZ로의 연결은 가능합니다. 이는 또 다른 방화벽에서의 설정으로 구현 가능합니다.
DMZ의 앞뒤로 방화벽이 설치된다. 하나는 내부 네트워크와 다른 하나는 외부 네트워크와 연결된다.
내/외부 네트워크는 DMZ에 접속할 수 있지만, DMZ내의 컴퓨터는 오직 외부 네트워크에만 연결할 수 있다.
이는 DMZ 내의 호스트의 침입으로부터 내부 네트워크를 보호하기 위함이다.
- 내부 네트워크 : 외부망과 연결되지 않고 특정 단체나 조직원만 접근 가능한 사설망
- 외부 네트워크 : 인터넷에 연결된 망.
컴퓨팅과 네트워크를 사용하는 기관들은 보안의 목적으로 내부네트워크만 사용하여 시스템을 운영하곤한다.
이 경우에는 외부 네트워크와 단절되어 메일서버, 웹서버, DNS서버와 같이 기본적인 인터넷 서비스를 사용할 수 없다.
이와 같이 DMZ는 외부에서 접근되어야 할 필요가 있는 서버들을 위해 사용한다.
외부와 통신해야하는 서버를 위해 포트를 열어 사용할 경우, 내부 네트워크까지 노출되어 해킹 될 위험이 있다.
외부 네트워크에서 DMZ로 가는 연결은 일반적으로 포트 주소 변환(PAT=Port Address Translation)을 통해 제어된다.
-> 쉽게 말하면 외부랑 내부가 통신할 때 보안을 위해 DMZ가 외부 데이터 걸러서 들어오게 해주는 것! 방화벽 역할을 해줌!
