방화벽, DMZ, 내부망

[투덜거리기]

10시 퇴근 후 집으로 돌아가는 버스 안 강남역, 신사역의 10시 풍경을 보며 풍겨오는 술냄새가 부럽다.

그 생각도 잠시 업무에 다시 신경이쓰여 오늘 관련 이슈사항을 정리하기로 했다.

 

[시작]

현재 고객사 내부망에서 외부 서버와 연계하는 업무를 맡아 진행하고 있다. 개발자로 외부 서비스를 연계하기 위해
네트워크 관련 지식이 많이 필요한 것 같다.

해당 업무를 위해서 인프라 담당자와 이야기 하면서, 뜬구름처럼 알고 있는 네트워크 지식으로 힘겹게 대화를 이어가니, 상당히 업무를 진행하기가 힘들었다.  외부사람에 질문에도 많은 답변과 자세히 알려주신 인프라 담당자님을 위해서라도, IT 업무용 지식을 조금 정리해야겠다.

 

오늘은 방화벽, DMZ, 내부망이다. 

 

 

방화벽

방화벽 관련해서 가장 잘 정의한 곳이 어딜까? 나무 위키일까?

방화벽 또는 firewall은 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이다.

 

이해가 되지 않는다. 그럼 방화벽 부문의 최고 업체라는 Cisco의 정의를 보자

 

방화벽은 수신/발신 네트워크 트래픽을 모니터링하고 정의된 보안 규칙 집합을 기준으로 하여 특정 트래픽의 허용 또는 차단을 결정하는 네트워크 보안 디바이스입니다.

방화벽은 오랜 기간 네트워크 보안의 1차 방어선에서 사용되었습니다. 방화벽은 신회 할 수 있는 안전하고 통제된 내부 네트워크와 인터넷과 같이 신뢰할 수 없는 외부 네트워크 사이에 장벽을 설치합니다.

 

방화벽은 하드웨어, 소프트웨어 또는 두 가지 모두의 형태일 수 있습니다.

 

공통적으로 네트워크의 트래픽을 모니터링하고, iptables, fire-wall 등 다양한 방화벽 설루션에 따라 정해진 규칙!

iptable [INPUT, OUTPUT, FORWARD],  패킷을 처리할 때 매칭 되는 조건 ( SOURCE, DESTINATION, PROTOCOLE.. )

target 규칙에서 취해야 할 동작들, accept, drop, reject 등등.. 내가 아는 방화벽 관련 지식이 이것밖에 없다니.. 

등등 이러한 규칙을 정의해서 보호해야 할 네트워크를 1차적으로 지키는 방어선이라고 이해를 했다.

 

추가적으로, 이러한 방화벽 설정은 각 개별 서버에서도, 백본 스위치에서도 프락시 서버에서도 각각 진행할 수 있을 것이다. 분명 하드웨어적이나, 소프트웨어 적으로 제공될 수 있다고 했으니 네트워크 장비에도 적용할 수 있다는 생각이다.

 

그럼 나는 내부망에서 외부망까지 연결을 위해 source ip 및 destination ip, port, protocols 등등을 정의해서 제출해야 하고 용도 또한 필요한 조건으로 보인다.  

 

또한 디폴트 게이트웨이에서도 방화벽 관련 처리를 할 수 있으면 어차피  내부 요청이 아닌 경우 DEFAULT GATEWAY로 요청이 가기 때문에 게이트웨이 쪽에서 처리를 하면 좀 더 효과적이지 않을까라는.. 생각을 해본다.

 

DMZ

 

컴퓨터 보안에서의 비무장지대(Demilitarized zone, DMZ)는 조직의 내부 네트워크와 외부 네트워크 사이에 위치한 서브넷이다.

실제 인프라 담당자분이 그려주신 그림과 상당히 유사하다. 

접근통제시스템에 백본 스위치가 있다고 했으며, 모든 시스템이 거쳐간다고 했다. 시간 되면 LAYER별 스위치 용도를 좀 봐야겠다. 외부망과 내부망 그리고 중간지점 DMZ라고 되어있다.

 

사실 그림으로 보면 DMZ망 또한 외부망과 방화벽 설정이 되어있는 것으로 보인다. 관련 유튜브를 찾아서 보니까 

DMZ망은 1차 방어선, 내부망은 2차 방어선이며, 내부적으로 시스템이 외부망과 연결을 해야 하는 경우 DMZ망에 있는 시스템에게 요청하고 그 정보를 외부망에서 가져옴으로 써 내부망은 내부망에 존재하지만 DMZ망을 통해 필요한 데이터를 가져올 수 있으며  보안 또한 챙길 수 있다. DMZ망은 내부망으로 접근하지 못하도록 하는 것이 전제이다.

 

그럼 DMZ망은 결국 시스템적으로 오픈하거나, 내부망에서 외부망의 정보가 필요할 때 DMZ망에 요청을 함으로써 데이터를 얻고 DMZ에서 내부망의 패킷은 방어하여 내부망의 보안을 지키는 걸로 확인이 된다.

 

아! DMZ망에 프락시 서버가 있다고했는데, 내부시스템이 외부시스템으로 요청할 때 방화벽설정을 여러번 해주는 것보다. DMZ망의 프록시 서버에 연결만 하면 쉽게 외부망에 연결될 수 있으니 DMZ망에 있는 프락시 서버는 참 편리하겠다.

 

편리한 만큼 보안적으로 문제는 있어 보인다. 주말에는 프락시 서버를 생성하고 실제로 실습을 진행해야겠다.

 

 

내부망

 

물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간

 

이건 이제 이해가 된다. 물리적으로 망분리, 즉 ip 대역대 자체가 다르다.  방화벽으로 막혀서 내부적으로만 통신이 가능한 상태이다.