네트워크에서 DMZ 란 무엇입니까?

DMZ 는 영어' demilitarized zone' 의 약어로, 중국어 이름은' 격리 구역' 또는' 비군사화 구역' 으로 불린다. 방화벽을 설치한 후 외부 네트워크가 내부 네트워크 서버에 액세스할 수 없는 문제를 해결하기 위한 것입니다. 엔터프라이즈 내부 네트워크와 외부 네트워크 사이의 작은 네트워크 영역 내에 있는 비보안 시스템과 보안 시스템 사이의 버퍼를 설정합니다. 엔터프라이즈 웹 서버, FTP 서버, 포럼 등과 같이 공개해야 하는 일부 서버 시설을 이 작은 네트워크 영역 내에 배치할 수 있습니다. 한편, 이러한 DMZ 영역을 통해 내부 네트워크를 보다 효과적으로 보호할 수 있습니다. 이러한 네트워크 배포는 일반 방화벽 구성보다 공격자에게 한 단계 더 많은 수준을 제공하기 때문입니다. < P > 네트워크 디바이스 개발업체는 이 기술을 활용하여 적절한 방화벽 솔루션을 개발했습니다. "비군사 지역 구조 모델" 이라고 불립니다. DMZ 는 일반적으로 내부 네트워크와 외부 네트워크 사이에 보안 영역을 구성하는 필터링된 서브넷입니다.

DMZ 방화벽 체계는 보호할 내부 네트워크에 보안 방어선을 추가하며, 일반적으로 매우 안전한 것으로 간주됩니다. 또한 공용 * * * * 서버를 배치할 수 있는 영역을 제공하여 일부 상호 연결 응용 프로그램이 공개되어야 하고 내부 보안 정책과 상충되는 상황을 효과적으로 방지할 수 있습니다. Modem 영역에는 일반적으로 요새 호스트, 모뎀 풀 및 모든 공용 * * * 서버가 포함되지만 전자 상거래 서버는 사용자 연결로만 사용할 수 있으며 실제 전자 상거래 백그라운드 데이터는 내부 네트워크에 배치해야 합니다. < P > 이 방화벽 시나리오에는 외부 네트워크의 공격을 막고 모든 외부 네트워크의 DMZ 액세스를 관리하는 두 개의 방화벽이 포함되어 있습니다. 내부 방화벽은 내부 네트워크에 대한 DMZ 액세스를 관리합니다. 내부 방화벽은 내부 네트워크의 세 번째 보안 방어선 (앞에 외부 방화벽과 요새 호스트가 있음) 으로, 외부 방화벽이 실패할 경우 내부 네트워크를 보호하는 기능도 제공합니다. LAN 내부에서 인터넷에 대한 액세스는 내부 방화벽과 DMZ 에 위치한 요새 호스트에 의해 제어됩니다. 이러한 구조에서 해커는 세 개의 개별 영역 (외부 방화벽, 내부 방화벽 및 요새 호스트) 을 통과해야 LAN 에 도달할 수 있습니다. 공격의 난이도가 크게 강화되고 해당 내부 네트워크의 보안도 크게 강화되었지만 투자 비용도 가장 높았습니다. < P > 컴퓨터가 웹 사이트나 기타 네트워크 서비스를 제공하지 않는다면. DMZ 를 설정하지 마십시오. DMZ 는 컴퓨터의 모든 포트를 네트워크에 개방하는 것입니다.

1: DMZ

DMZ(Demilitarized Zone) 란 무엇입니까? 일반적으로 비군사 지역이라고 불리며, 군사 지역 및 신뢰 지역에 해당하며 웹, e-메일 등 외부 액세스를 허용하는 서버를 해당 지역 포트에 별도로 연결하는 역할을 합니다. DMZ 는 일반적으로 웹, 메일, FTP 등과 같은 기밀 정보가 없는 공용 서버를 배치하는 엑스트라넷 또는 인트라넷과는 다른 특수한 네트워크 영역으로 이해할 수 있습니다. 이렇게 하면 엑스트라넷 방문자가 DMZ 의 서비스에 액세스할 수 있지만 인트라넷에 저장된 회사 기밀 또는 개인 정보 등을 접할 수는 없으며 DMZ 의 서버가 손상되어도 인트라넷의 기밀 정보에 영향을 주지 않습니다.

2: 왜 DMZ

가 실제 운용에서 일부 호스트는 외부 서비스를 제공하고, 더 나은 서비스를 제공하면서, 내부 네트워크의 보안을 효과적으로 보호하고, 외부 개방이 필요한 호스트를 내부 수많은 네트워크 디바이스와 분리하고, 필요에 따라 적절한 격리 조치를 취해야 하는 이유는 무엇입니까 서로 다른 자원에 대해 서로 다른 수준의 보호 기능을 제공하기 위해 호스트 환경에 네트워크 수준의 보호 기능을 제공하는 DMZ 영역을 구축할 수 있으며, 신뢰할 수 없는 고객에 대한 서비스 제공으로 인한 위험을 줄일 수 있어 공개 * * * 정보를 배치할 수 있는 가장 좋은 장소입니다. 비 DMZ 시스템에서 내부 네트워크 및 호스트의 보안은 일반적으로 사람들이 생각하는 것만 큼 강하지 않으며, 인터넷에 제공되는 서비스는 많은 취약점을 만들어 다른 호스트가 공격에 취약하게 만듭니다. 하지만 DMZ 를 구성하면 보안이 필요한 웹 애플리케이션 서버와 데이터베이스 시스템을 인트라넷에 배치하고 민감한 데이터를 포함하지 않고 프록시 데이터 액세스 역할을 하는 호스트를 DMZ 에 배치하여 애플리케이션 시스템 보안을 보장할 수 있습니다. DMZ 는 중요한 데이터가 포함된 내부 시스템을 외부 네트워크에 직접 노출되는 것을 방지하며 공격자는 초기 침입이 성공해도 DMZ 설정의 새로운 장애물에 직면하게 됩니다.

3: DMZ 네트워크 액세스 제어 정책

DMZ 를 보유한 네트워크를 계획할 때 네트워크 간 액세스 관계를 명확히 하여 다음 6 가지 액세스 제어 정책을 결정할 수 있습니다.

1. 인트라넷이 엑스트라넷 < P > 인트라넷에 액세스할 수 있는 사용자는 분명히 엑스트라넷에 자유롭게 액세스해야 합니다. 이 정책에서 방화벽은 소스 주소 변환이 필요합니다.

2. 인트라넷은 DMZ

에 액세스할 수 있습니다. 이 정책은 인트라넷 사용자가 DMZ 에서 서버를 쉽게 사용하고 관리할 수 있도록 하기 위한 것입니다.

3. 인트라넷은 인트라넷에 액세스할 수 없습니다. < P > 인트라넷에는 엑스트라넷 사용자가 액세스할 수 없는 회사 내부 데이터가 저장되어 있는 것이 분명합니다.

4. 엑스트라넷은 DMZ

DMZ 의 서버를 액세스할 수 있습니다. 그 자체가 외부 세계에 서비스를 제공하기 위한 것이므로 엑스트라넷은 DMZ 에 액세스할 수 있어야 합니다. 또한 외부 네트워크에서 DMZ 에 액세스하려면 방화벽에서 외부 주소를 서버의 실제 주소로 변환해야 합니다.

5.DMZ 는 인트라넷에 액세스할 수 없습니다. < P > 이 정책을 위반하면 침입자가 DMZ 를 함락시킬 때 인트라넷의 중요한 데이터를 추가로 공격할 수 있습니다.

6.DMZ 엑스트라넷에 액세스할 수 없음

이 정책에도 예외가 있습니다. 예를 들어 DMZ 에 메일 서버를 배치할 때 엑스트라넷에 액세스해야 합니다. 그렇지 않으면 제대로 작동하지 않습니다. 네트워크에서 비군사 지역 (DMZ) 은 신뢰할 수 없는 시스템에 서비스를 제공하는 고립된 네트워크 세그먼트를 의미하며, 민감한 내부 네트워크를 액세스 서비스를 제공하는 다른 네트워크와 분리하여 인트라넷과 엑스트라넷이 직접 통신하지 못하도록 하여 인트라넷 보안을 보장하기 위한 것입니다.

4: DMZ 서비스 구성

DMZ 에서 제공하는 서비스는 NAT (network address translation) 및 보안 규칙에 의해 제한되어 실제 주소를 숨기고 액세스를 제어하는 기능을 제공합니다. 먼저 제공할 서비스 및 보안 정책에 따라 명확한 네트워크 토폴로지를 구축하고 DMZ 영역 애플리케이션 서버의 IP 및 포트 번호, 데이터 흐름을 결정해야 합니다. 일반적으로 네트워크 트래픽은 외부 네트워크 영역과 인트라넷 영역 간의 직접 통신을 금지하는 것입니다. DMZ 영역은 보안 규칙에 따라 외부 네트워크 영역과 통신하거나 인트라넷 영역과 통신할 수 있습니다.

1 주소 변환

DMZ 영역 서버와 인트라넷 영역 및 엑스트라넷 영역 간의 통신은 네트워크 주소 변환 (NAT) 을 통해 이루어집니다. 네트워크 주소 변환은 개인 인트라넷과 같은 한 주소 도메인을 인터넷과 같은 다른 주소 도메인에 매핑하여 개인 네트워크를 숨기는 데 사용됩니다. DMZ 영역 서버는 내부 서비스 시 인트라넷 주소로 매핑되고, 외부 서비스 시 외부 네트워크 주소로 매핑됩니다. 정적 매핑을 사용하여 네트워크 주소 변환을 구성할 때 서비스용 IP 와 실제 IP 를 일일이 매핑하려면 소스 주소 변환과 대상 주소 변환이 모두 있어야 합니다.

2 DMZ 보안 규칙 개발

보안 규칙 세트는 보안 정책의 기술 구현으로, 안전하고 신뢰할 수 있는 보안 규칙 세트는 성공적이고 안전한 방화벽을 구현하는 데 매우 중요한 단계입니다. 방화벽 규칙 세트가 잘못 구성된 경우, 아무리 좋은 방화벽도 장식일 뿐이다. 규칙 세트를 설정할 때 규칙 순서에 주의해야 합니다. 방화벽은 대부분 패킷을 순차적으로 점검하고, 같은 규칙을 다른 순서로 배치하면 방화벽 작동을 완전히 바꿀 수 있기 때문입니다. 패킷이 각 규칙을 통과하지만 일치하는 것을 찾지 못하면 해당 패킷은 거부됩니다. 일반적으로 일반적인 순서는 보다 특수한 규칙이 앞에 있고, 보다 일반적인 규칙이 뒤에 있는 경우, 특정 규칙을 찾을 때까지 일반 규칙이 일치하지 않도록 하여 방화벽이 잘못 구성되지 않도록 하는 것입니다.

DMZ 보안 규칙은 비군사 지역 내 호스트 (IP 주소) 에 대한 보안 정책을 지정합니다. DMZ 구역에 배치된 서버 호스트는 공용 * * * 서비스를 제공합니다. 해당 주소는 공개되어 엑스트라넷 사용자가 액세스할 수 있으므로 DMZ 영역 보안 규칙을 올바르게 설정하는 것이 네트워크 보안을 보장하는 데 중요합니다.

FireGate 는 패킷의 주소, 프로토콜 및 포트를 기준으로 액세스 제어를 수행할 수 있습니다. 각 연결을 데이터 스트림으로 사용하여 규칙 테이블을 통해 연결 테이블 * * * 과 함께 네트워크 연결 및 세션의 현재 상태를 분석하고 모니터링합니다. 필터링 및 모니터링에 사용되는 IP 패킷 정보는 주로 소스 IP 주소, 대상 IP 주소, 프로토콜 유형 (IP, ICMP, TCP, UDP), 소스 TCP/UDP 포트, 대상 TCP/UDP 포트, ICMP 메시지 유형 도메인 및 코드 도메인, 입니다 < P > DMZ 구역의 애플리케이션 서버가 인트라넷의 DB 서버 (서비스 포트 44, TCP 프로토콜 사용) 와 통신할 수 있도록 DMZ 영역 보안 규칙을 추가하여 DMZ 기반 보안 애플리케이션 서비스를 구성해야 합니다. 기타 적용 서비스는 보안 정책에 따라 개별적으로 구성할 수 있습니다.

DMZ 는 네트워크 보안 방어 시스템의 중요한 부분이며 침입 탐지 및 기타 호스트 기반 보안 조치를 통해 공공 * * * 서비스 및 전체 시스템의 보안을 크게 향상시킬 것입니다.