[해키피디아] Network DMZ

DMZ(Demilitarized Zone) 네트워크는 조직의 내부 네트워크와 외부 네트워크 중간에 위치하여 조직이 내부 네트워크를 보호할 수 있도록 합니다. 조직이 인터넷과 같은 신뢰할 수 없는 네트워크에 대한 액세스를 제공하는 동시에 내부 네트워크와 LAN(Local Area Network)을 안전하게 유지할 수 있습니다. 일반적으로 외부의 사용자에게 서비스를 제공하는 DNS(Domain Name System), FTP(File Transfer Protocol), 메일, 프록시, VoIP(Voice over Internet Protol) 및 웹 서버, 외부 서비스 및 리소스를 저장합니다.

DMZ는 이를 위해 단일 방화벽 또는 이중 방화벽으로 설계되지만 현재는 이중 방화벽 방식을 많이 사용합니다. 보통 첫 번째 방화벽은 DMZ에 대한 외부 트래픽만 허용하고, 두 번째 방화벽은 DMZ에서 내부 네트워크로 가는 트래픽만 허용합니다. 그렇게 되면 공격자는 조직의 내부 네트워크에 액세스하기 위해 두 방화벽을 모두 통과해야 합니다.

중요한 점은 조직의 민감한 데이터 및 내부 네트워크에 대한 액세스를 제한하여 고급 보안 계층을 제공하지만 다음과 같은 추가적인 보안 이점을 제공합니다.

1. 액세스 제어 활성화: 기업은 외부 네트워크를 통해 서비스에 대한 액세스를 사용자에게 제공하는 동시에 권한이 없는 사용자가 내부 네트워크에 도달하는 것을 어렵게 만듭니다. DMZ는 내부 트래픽 흐름을 중앙 집중화하고 해당 트래픽의 모니터링 및 기록을 단순화하는 프록시 서버도 포함될 수 있습니다.
2. 네트워크 정탐(network reconnaissance) 방지: 인터넷과 내부 네트워크 사이에 존재함으로써 공격자가 내부 네트워크에 대한 정보 수집을 수행하는 것을 방지합니다. DMZ 내의 서버는 공개되어 있지만 공격자가 내부 네트워크를 볼 수 없도록 방화벽에 의해 다른 보안 계층을 제공합니다. DMZ가 훼손되더라도 내부 방화벽은 내부 네트워크와 DMZ를 분리해 보안을 유지하고 정탐을 어렵게 합니다.
3. 인터넷 프로토콜(IP) 스푸핑 차단: 공격자는 IP 주소를 스푸핑하고 네트워크에 승인된 장치를 가장하여 시스템에 액세스하려고 할 때, DMZ는 스푸핑 시도를 발견하고 차단할 수 있습니다.