DMZ(DeMilitarized Zone)
"내부 네트워크와 외부 내트워크 사이에 위치하며 외부에서 접근할 수 있는 특수한 네트워크 영역"
내부 네트워크와 외부 네트워크가 DMZ로 연결할 수 있도록 허용하면서도, DMZ 내의 컴퓨터는 오직 외부 네트워크에서만 연결할 수 있도록 한다. 즉, DMZ 안에 있는 호스트 들은 내부 네트워크로 연결할 수 없다.
→ 내부 네트워크로 불법적 연결을 시도하는 외부 네트워크로 부터 보호
DMZ 활용 예제
영역 A : 회사 내부 그룹웨어 시스템에서 외부에서 접속해야 할 웹서버/이메일 서버/FTP 서버 시스템
영역 B : 외부에서 접속이 불가능 해야 하는 회사 내부 그룹웨어 시스템
- 외부에서 열린 A에서, B로서 접속은 보안상 우려(해킹 등)가 있으므로 접속을 막음
→ A를 통해 내부 시스템에 접속이나 침입이 불가 - B에서, A로의 접속은 보안상 우려가 없고, A가 가진 정보가 필요한 경우가 있으므로 접속을 허가
→ 내부 시스템은 외부 인터넷을 통해 얻은 정보를 내부에 저장하고 활용할 수 있다.
외부 연결이 필요한 시스템들을 DMZ에 배치한다.
모든 연결이 DMZ로 가능한 것이 아니라, 알맞은 서비스만 연결이 되도록 방화벽 설정이 필요하다. DMZ 내의 컴퓨터는 오직 외부 네트워크에서만 연결할 수 있도록 허용한다 이는 또 다른 방화벽에서 설정으로 구현 가능하다.
프록시 서버(Proxy Server)
프록시 서버란 시스템이 방화벽을 가지고 있는 경우 외부와의 통신을 위해 만들어 놓은 서버이다. 프록시 서버는 장치와 인터넷 웹 사이트 간의 간접적으로 접속할 수 있게 해주는 중개자 역할을 해주는 컴퓨터이다. 즉, 보안상의 이유로 직접통신을 할 수 없는 두 점 사이에서 대리로 통신을 수행하는 기능을 한다.
(이 프록시 서버는 보안상의 목적으로 설치되는 경우 보통 위에서 말한 DMZ에 배치가 된다)
프록시 서버는 프록시 서버에 요청된 내용들을 캐시를 이용하여 저장한다.
캐시를 이용하여 저장을 하기때문에 전송시간도 절약할 수 있으며 동시에 불필요하게 외부와의 연결을 하지 않아도 된다는 장점을 가지게 된다. 또한 외부와의 트래픽을 줄이게 됨으로써 네트워크 병목 현상을 방지할 수 있습니다.
프록시 서버 동작 원리
- 사용자의 웹 브라우저 도메인 입력 (요청)
- 프록시 서버의 사용자의 요청수신.
- 프록시 서버에 도메인 홈페이지의 페이지를 가지고 있는지 확인
- 가지고 있는 경우, 프록시내 캐시에 저장된 페이지가 최신 버전인지 체크 후 갱신
- 가지고 있지 않는 경우, 홈페이지의 서버와 연결하여 페이지를 캐시에 저장
- 프록시 서버는 액세스하려는 웹 서버로 요청을 전달한다.
- 웹 서버는 응답(웹 사이트 데이터)을 프록시 서버로 다시 보냄.
- 프록시 서버가 사용자에게 응답을 전달.
프록시 서버 특징
- 로컬PC와 외부 인터넷 사이의 징검다리 역할
- 중계를 해주기 때문에 외부 인터넷에서는 Client 정보를 알 수 없다. (A Client가 B Proxy에 접근하여 C인터넷에 접속하는 방식.)
- 외부 인터넷의 내부 침입을 막는 방화벽과 관련이 있다. (프록시 서버는 보통 DMZ에 위치하고 있음.)
- 프록시 서버는 캐시 기능이 있다.
- IP를 바꾸기 위한 용도로 사용된다.
프록시 서버 종류
1. Forward 프록시
클라이언트가 서버로 요청할때 직접 요청하지 않고 먼저 프록시 서버를 통해 요청하는 방식
: 일반적인 프록시 방식
: 서버에게 클라이언트를 노출시키지 않는 방식
포워드 프록시를 사용하는 이유
- 주 당국 또는 기관의 검색 제한을 피하기 위해
일부 정부, 학교, 기타 조직에서는 방화벽을 사용하여 사용자에게 제한된 버전의 인터넷에 대한 액세스 권한을 부여합니다. 포워드 프록시를 사용하면 사용자가 방문하는 사이트에 직접 연결하지 않고 프록시에 연결할 수 있으므로 이러한 제한을 피할 수 있습니다.
- 특정 콘텐츠에 대한 액세스를 차단하려면
반대로 사용자 그룹이 특정 사이트에 액세스하는 것을 차단하도록 프록시를 설정할 수도 있습니다.예를 들어 학교 네트워크에서는 콘텐츠 필터링 규칙을 활성화하는 프록시를 통해 웹에 연결하도록 구성되어 Facebook 및 기타 소셜 미디어 사이트의 응답 전달을 거부할 수 있습니다.
- 온라인에서 자신의 신원을 보호하기 위해
어떤 경우에는 일반 인터넷 사용자가 단순히 온라인에서 익명성을 원하지만, 다른 경우에는 정부가 반체제 인사에게 심각한 처벌을 가할 수 있는 곳에 인터넷 사용자가 살 수도 있습니다.웹 포럼이나 소셜 미디어에서 정부를 비판하면 이러한 사용자에게 벌금이나 징역형이 선고될 수 있습니다.이러한 반체제 인사 중 한 명이 정방향 프록시를 사용하여 정치적으로 민감한 댓글을 게시하는 웹 사이트에 연결하는 경우, 댓글 게시에 사용된 IP 주소로 반체제 인사를 추적하는 일이 더 어려워집니다.프록시 서버의 IP 주소만 표시됩니다.
2. Reverse 프록시
리버스 프록시 (Reverse Proxy)
- 클라이언트가 서버를 호출할때 리버스 프록시가 호출되는 방식
: 클라이언트의 요청을 프록시서버가 대신 받고 대신 서버에 요청하고 전달해주는 방식
: 클라이언트는 실제 서버의 IP나 정보를 알 수 없음
리버스프록시를 사용하는 이유
부하 분산
매일 수백만 명의 사용자를 확보하는 인기 있는 웹 사이트에서는 단일 원본 서버로 들어오는 모든 사이트 트래픽을 처리하지 못할 수 있습니다.대신, 사이트에서는 동일한 사이트에 대한 요청을 모두 처리하는 서로 다른 서버 풀에 분산될 수 있습니다.이 경우 역방향 프록시는 단일 서버에 과부하가 걸리는 것을 방지하기 위해 들어오는 트래픽을 여러 서버에 고르게 분산하는 부하 분산 솔루션을 제공할 수 있습니다.서버가 완전히 실패하는 경우 다른 서버가 트래픽을 처리하기 위해 나설 수 있습니다.
공격으로부터 보호
역방향 프록시를 사용하면 웹 사이트 또는 서비스에서 원본 서버의 IP 주소를 공개할 필요가 없습니다.이로 인해 공격자가 DDoS 공격과 같은 표적 공격을 활용하기가 훨씬 더 어려워집니다.대신 공격자는 Cloudflare의 CDN과 같은 역방향 프록시만 대상으로 지정할 수 있습니다. 이는 사이버 공격을 방어하기 위해 더 엄격한 보안과 더 많은 자원을 갖게 됩니다.
전역 서버 부하 분산 (GSLB)
이 부하 분산 형식에서 웹 사이트는 전 세계 여러 서버에 분산될 수 있으며 역방향 프록시는 클라이언트를 지리적으로 가장 가까운 서버로 보냅니다.그러면 요청과 응답이 이동해야 하는 거리가 줄어들어 로드 시간이 최소화됩니다.
캐싱
역방향 프록시도 콘텐츠를 캐시할 수 있으므로 성능이 향상됩니다.예를 들어, 파리에 있는 사용자가 로스앤젤레스에 있는 웹 서버가 있는 역방향 프록시 웹 사이트를 방문하는 경우, 사용자는 실제로 파리에 있는 로컬 역방향 프록시 서버에 연결할 수 있습니다. 그러면 이 서버는 LA에 있는 원본 서버와 통신해야 합니다. 프록시 서버는 그런 다음 응답 데이터를 캐시(또는 임시 저장)할 수 있습니다.사이트를 탐색하는 파리의 후속 사용자는 파리의 역 프록시 서버에서 로컬로 캐시된 버전을 가져오므로 성능이 훨씬 빨라집니다.
SSL 암호화
각 클라이언트에 대한 SSL(또는 TLS) 통신의 암호화 및 암호 해독은 원본 서버의 경우에 계산 비용이 많이 들 수 있습니다.역방향 프록시는 들어오는 모든 요청을 해독하고 나가는 모든 응답을 암호화하여 원본 서버의 귀중한 리소스를 확보하도록 구성할 수 있습니다.
Proxy 서버의 목적
1. 보안 : 익명의 사용자가 서버에 접근하는 것을 막는다.
2. 속도 : Proxy 서버는 사용자의 요청을 캐시해서 동일 요청이 들어오면 캐시 자원을 반환한다. (서비스 속도를 높혀줌.)
3. ACL : 사이트 접근에 대한 접근 정책을 정의할 수 있다. (ACL = 프록시 서버에 접속할 수 있는 범위를 설정하는 옵션)
4. Log/Audit : 회사 내 직원의 인터넷 사용을 레포팅할 수 있다. 반대로 인트라넷의 사용을 레포팅할 수도 있다.
5. 지역 네트워크의 제한 우호 : 보안 상의 이유로 80포트 외에 포트를 막아 놓은 경우가 있는데 이러한 제한을 우회해서 원하는 다른 서비스를 이용할 수 있다.
'IT 기술 > 그외 관련지식' 카테고리의 다른 글
| [IT 상식] DBMS 종류와 특징 (0) | 2024.03.03 |
|---|
댓글