외부공격에서 내부 네트워크 보호 완충지대 DMZ

외부공격에서 내부 네트워크 보호 완충지대 DMZ

비무장지대를 뜻하는 De Militarized Zone의 앞 글자를 딴 약칭입니다.

외부 네트워크를 경유하는 공격으로부터 내부 네트워크를 보호하는 완충지대를 말합니다.

인터넷 웹 서버, 메일 서버, DNS 콘텐츠 서버, Proxy 서버 등은 외부에 공개되어 있기 때문에 공격받기 쉽고 해킹의 위험에 노출되어 있습니다.

그래서 방화벽과 외부 네트워크 사이에 DMZ(비무장지대)를 설치함으로써 외부 네트워크로의 접근을 가능하게 하면서 내부 네트워크를 보호할 수 있는 구조입니다.

예전에는 내부 네트워크와 외부 네트워크 사이에 있는 방화벽에서 네트워크 세그먼트를 분기시켜 DMZ를 설치하는 방법이 일반적이었으나, 보안성을 높이기 위해 2대의 방화벽으로 DMZ를 끼워 넣도록 구성하기도 합니다.

방화벽과 DMZ를 조합해 구축한 네트워크에는 내부 네트워크 외부 네트워크 DMZ의 세그먼트(segment)가 존재하기 때문에, 설정이 번잡해지기 쉽고, 인위적 미스를 초래할 리스크가 높습니다.

또한 서버용으로 DMZ 세그먼트(segment)를 설치하면 해킹 등의 공격으로부터 내부 네트워크를 보호할 수 있지만 서버 자체에 대한 공격을 완전히 억제할 수는 없습니다.

인접한 내부 네트워크가 어떤 공격을 받을 위험에 대비해 다른 대책과의 병용 등도 검토해야 합니다.