DMZ / DeMilitarized Zone 정의 및 설명

DMZ / DeMilitarized Zone 정의 및 설명

 

 

DMZ는 DeMilitarized Zone의 약자로 직역하면 "비무장 지대"에서 인터넷 등의 외부 네트워크와 내부 네트워크 사이에 만들어지는 네트워크 세그먼트(지역)를 말한다.

 

 

외부 네트워크로부터 내부 네트워크에서도 방화벽 등에 의해 격리되어 있다. 이 격리된 DMZ에 서버를 설치하는 등을 통해 보안 강화를 꾀할 수있다.

외부에 공개하는 것이 전제가되는 Web 서버는 항상 위험에 노출되어 있다. 만약 Web 서버를 회사 네트워크에 두면 만일 해킹되거나(원격 해킹) 악의적인 악성 코드 등을 포함 할 경우 회사 네트워크에 연결되어있는 다른 서버 나 PC가 모든 피해를 볼 가능성이 있다.

 

DMZ에 공개 용의 Web 서버를 설치하여 내부 네트워크와 격리하여 해킹 된 후 악성 코드의 확산을 방지 할 수 있고, 업무 시스템 등의 침입에 의한 기밀 정보의 유출을 방지 할 수 있게 된다.

이러한 네트워크의 분리는 증가하고있는 표적 공격 (APT) 대책과 내 번호 보호 등에도 유효로 총무성 이나 IPA (독립 행정법인 정보 처리 추진기구)도 권장하고 있다 . 기밀 정보를 다루는 시스템이나 내 번호를 취급 업무용 단말 (PC) 등을 인터넷이나 일반 회사 네트워크에서 분리, 격리하여 직원의 PC가 멀웨어 감염도 격리 된 서버 및 업무 단말 를 확산으로부터 보호하고 기밀 정보의 유출을 방지 할 수있다.

DMZ 구성에는 두 방화벽을 설치하여

인터넷 - 방화벽 (FW) -DMZ - FW - 사내 네트워크와 방법이 보안 강도가 높아지지만, 방화벽 하나만으로 구성하는 방법도 있다.

 

 

네트워크 보안을 강화 해 나가기 위해서는 방화벽 을 이용한 DMZ에 IDS · IPS 및 WAF 등을 함께 종합적인 대책을 할 필요가 있다 .