컴퓨터 지식 네트워크 - 컴퓨터 프로그래밍 - DMZ 구역이란 무엇입니까? DMZ 구역의 역할은 무엇입니까? DMZ 는 어떻게 구축해야 합니까

DMZ 구역이란 무엇입니까? DMZ 구역의 역할은 무엇입니까? DMZ 는 어떻게 구축해야 합니까

DMZ 구역이란 무엇입니까?

DMZ 는 영어' demilitarized zone' 의 약어이며, 중국어 이름은' 격리 구역' 또는' 비군사화 구역' 이라고도 합니다. 방화벽을 설치한 후 외부 네트워크가 내부 네트워크 서버에 액세스할 수 없는 문제를 해결하기 위한 것입니다. 엔터프라이즈 내부 네트워크와 외부 네트워크 사이의 작은 네트워크 영역 내에 있는 비보안 시스템과 보안 시스템 사이의 버퍼를 설정합니다. 엔터프라이즈 웹 서버, FTP 서버, 포럼 등과 같이 공개해야 하는 일부 서버 시설을 이 작은 네트워크 영역 내에 배치할 수 있습니다. 한편, 이러한 DMZ 영역을 통해 내부 네트워크를 더욱 효과적으로 보호할 수 있습니다. 이러한 네트워크 구축은 일반 방화벽 구성보다 공격자에게 한 단계 더 많은 수준을 제공하기 때문입니다.

DMZ 영역의 역할 < P > 일반 네트워크는 인트라넷과 엑스트라넷, 즉 LAN 과 WAN 으로 나뉘며, 물리적 위치에 서버 1 대가 있고 엑스트라넷에 의해 액세스되어야 하고 인트라넷에 액세스될 경우 두 가지 방법이 있습니다. 하나는 LAN 에 있습니다. 방화벽은 기본적으로 인트라넷을 보호하기 위한 것이기 때문에, 일반적인 전략은 인트라넷에 대한 액세스를 금지하고 인트라넷에 대한 액세스를 허용하는 것이다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 방화벽명언) 하지만 이 서버가 엑스트라넷에 액세스할 수 있다면, 이 서버가 이미 신뢰할 수 없는 상태에 있다는 의미라면, 이 서버는 인트라넷에 능동적으로 액세스할 수 없다. < P > 따라서 서버가 인트라넷 (포트 리디렉션을 통해 엑스트라넷 액세스 허용) 에 놓이면 해당 서버가 공격을 받으면 인트라넷은 매우 안전하지 않은 상태가 됩니다. < P > 하지만 DMZ 는 엑스트라넷이 내부 자원, 즉 이 서버에 액세스할 수 있도록 하기 위한 것이고, 인트라넷도 이 서버에 액세스할 수 있지만, 이 서버는 능동적으로 인트라넷에 액세스할 수 없습니다.

DMZ 는 이러한 영역입니다. 물리적 위치를 인트라넷에 배치하고 엑스트라넷이 방문할 수 있는 이런 영역을 희망합니다.

LAN,DMZ, WAN 등. 모두 논리적 관계입니다.

DMZ

1 구축, 방화벽을 사용하여 DMZ

생성 이 방법은 3 개의 인터페이스가 있는 방화벽을 사용하여 격리 영역을 생성합니다. 각 격리 영역은 이 방화벽 인터페이스의 일부가 됩니다. 방화벽은 zone 과 zone 간의 격리를 제공합니다. 이 메커니즘은 DMZ 보안에 대한 많은 통제를 제공합니다. 그림 1 은 방화벽을 사용하여 DMZ 를 만드는 방법을 보여 줍니다. 방화벽에는 여러 개의 인터페이스가 있을 수 있으므로 여러 개의 DMZ 를 만들 수 있습니다. 이 방법은 DMZ 를 만드는 가장 일반적인 방법입니다.

2. 방화벽 외부의 공용 * * * 네트워크와 방화벽 사이에 DMZ

를 만듭니다. 이 구성에서는 DMZ 가 방화벽의 공용 * * * 쪽에 노출됩니다. 방화벽을 통한 트래픽은 먼저 DMZ 를 통과해야 한다. 일반적으로 이 구성은 디바이스 보안을 제어하는 데 사용할 수 있는 DMZ 의 제어가 매우 적기 때문에 권장되지 않습니다. 이러한 장치는 실제로 공공 * * * 영역의 일부이며 실제로 보호되지 않습니다. 그림 2 는 DMZ 를 만드는 방법을 보여 줍니다.

3. 방화벽 외부에 있고 공용 * * * 네트워크와 방화벽 사이에 DMZ

를 만들지 않는 구성은 그림 3 과 같이 두 번째 방법과 유사합니다. 단, 여기서 DMZ 는 방화벽과 공용 * * * 네트워크 사이에 있는 것이 아니라 연결된 방화벽 공용 * 에 있습니다 이러한 유형의 구성은 DMZ 네트워크의 디바이스에 매우 작은 보안을 제공하지만, 이러한 구성을 통해 방화벽은 보호되지 않고 공격받기 쉬운 DMZ 네트워크를 격리할 수 있습니다. 이 구성의 에지 라우터는 DMZ 서브넷에서 방화벽이 있는 서브넷으로의 모든 액세스를 거부하는 데 사용할 수 있습니다. 또한 격리된 VLAN 을 사용하면 방화벽이 있는 서브넷과 DMZ 서브넷 간에 두 번째 계층 격리를 수행할 수 있습니다. 이러한 유형의 구성은 DMZ 서브넷의 호스트가 손상되고 공격자가 이 호스트를 사용하여 방화벽과 네트워크에 대한 추가 공격을 시작하는 경우에 유용합니다. < P > 4, 계단식 방화벽 사이에 DMZ 생성 < P > 그림 4 와 같이 두 개의 방화벽을 계단식으로 배치하여 전용 네트워크에 액세스할 때 모든 트래픽은 두 개의 계단식 방화벽을 통과해야 하며 두 방화벽 사이의 네트워크는 DMZ 로 사용해야 합니다. DMZ 앞의 방화벽으로 인해 많은 보안이 이루어지지만 모든 전용 네트워크에서 공용 * * * 네트워크로의 데이터 흐름은 DMZ 를 통과해야 한다는 단점이 있습니다. 함락된 DMZ 장치는 공격자가 다양한 방법으로 이 트래픽을 차단하고 공격할 수 있도록 합니다. 방화벽 사이에 전용 VLAN 을 설치하여 이러한 위험을 줄일 수 있습니다.

조닝 (zoning) 은 보안 설계의 중요한 개념으로, 잘 설계된 DMZ 격리 방식을 사용하여 저안전 지역 디바이스가 손상될 경우 지역 장비 손상 위험도 적습니다.

上篇: 메모리 카드에 오류가 있으면 어떻게 해야 하나요? 下篇: 카라를 사랑하는 여러분, 가오웬은 결국 누구와 맺게 되었나요?
관련 내용