230602 DMZ 와 NAT

DMZ

외부 네트워크와 내부 네트워크 사이에서 외부 네트워크 서비스를 제공하면서 내부 네트워크를 보호하는 서브넷

즉 외부에 오픈된 서버영역

 DMZ의 앞뒤로 방화벽이 설치된다. 하나는 내부 네트워크와 다른 하나는 외부 네트워크와 연결된다.

내/외부 네트워크는 DMZ에 접속할 수 있지만,  DMZ내의 컴퓨터는 오직 외부 네트워크에만 연결할 수 있다.

 

 

DMZ 사용목적

 

웹서비스, 메일 서비스,DNS 등 외부에 서비스를 운영함에 따라 불가피하게 열어야 하는 Well-known Port 를 통한 공격에 대비하며 외부의 접근 제한 수행한다.

외부와 통신해야 하는 서버를 위해 포트를 열어 사용하다 보면 내부 네트워크까지 노출되어 해킹의 가능성이 커지기때문에 DMZ를 구성하는 것이다.

 

NAT

 

IP 주소 변환 담당하는 기능

외부에 알려진 것과 다른 IP주소(사설)를 사용하는 내부 네트워크에서 IP주소(공인)를 변환하여 인터넷 사용을 가능하게 한다.

 

NAT 목적 (장점)

①하나의 공인IP로 여러 사설 IP를 사용가능. 절약

②외부로부터 내부망(구축된 사설IP)을 보호하여 보안성 우수

 

NAT 특징

- 내부에서 외부로 통신 가능

- 외부에서 내부로 통신 불가

 

 

Static NAT (1:1)

- 내부 호스트 또는 서버가 외부로 패킷을 전송할 경우에 특정 IP 주소로만 (100.100.100.100) 변환하고자 할 때 사용된다.

- 사설IP와 공인 IP를 1:1 매핑

- 주소 mappoing 이 고정적이어서 내부 <-> 외부 통신 가능

 

Dynamic NAT (N:M)

- 여러 사설 IP들이 정해놓은 범위내의 공인 IP 주소(100.100.100.100~110)로 변환하고자 할 때 사용된다.

매핑된 IP 주소는 고정되지 않으며, 내부 호스트가 외부로 나갈 때마다 사용 가능한 공인 IP 중 하나가 할당된다.

-  다수 사설 IP와 다수 공인 IP를 매핑

- 주소  mapping 이 고정적이지 않아 먼저 내부 -> 외부로만 통신 가능

( 응답은 NAT 테이블을 통해 잘 돌아오지만 외부에서 직접적인 요청은 NAT 장비가 허용하지 않는다.)

 

PAT (1:N)

- 동적 NAT에서 여러 사설 IP들이 소수의 공인 IP로 변환되어 포트번호를 이용하여 전송하는 것

- 다수 사설 IP들과 1개의 공인 IP가  매핑

- 포트가 유동적으로 할당되며, 따라서 내부< -> 외부로 통신가능

- 내부 ip:내부 port <-> 외부 ip:외부 port

ex) 192.168.10.4:40001 <-> 10.0.72.100:60001

      192.168.10.3:40001 <-> 10.0.72.100:70001

 

 

'''

방화벽 : 외부로부터 외부망을 보호하기 위한 네트워크 구성요소의 하나

 

베스천호스트 : 내부의 공격을 방어하기 위한 특수 목적을 가진 네트워크 상의 컴퓨터로 방화벽 바깥이나 DMZ애 위치하여 프록시나 로드밸런싱 등 대부분 한가지의 역할을 함.

 

프록시서버 :  대리 역할, 방화벽을 가지고 있는 경우 외부와의 통신을 위해 만들어 놓은 서버, 캐시를 이용하여 요청된 정보를 저장한다.

 

'''