DMZ 구간의 사설 IP 할당 필요 여부? :: 2cpu, 지름이 시작되는 곳!

가상화 more

쓰기

DMZ 구간의 사설 IP 할당 필요 여부?

IT란

2016-09

2016-09-21 09:44:06

조회 9593 추천 0

안녕하세요

생각을 해도 답이 안나오는것 같아 다른분들의 의견을 구해봅니다.

현재 네트워크 상의 DMZ 구간에서 공인IP를 이용한 서비스를 사용중입니다.

VPN을 통하여 해당 DMZ 구간으로 접근을 시도할 경우나 백업등의 작업을 할때 사설IP를 사용 하려고 합니다.

해서.. 현재 공인IP를 직접쓰고 있지만 사설IP로 설정하고 NAT 해서 해당 공인IP를 연결하는 방식으로 바꾸려고 합니다.

이렇게 하면 .. 큰의미가 있을까요?

아니면 공인IP을 쓰면서 다른포트를 이용하여 사설IP를 이용하는게 효율적이고 보안적인 측면에서 나은것인지 판단이 서질 않습니다.

※ DMZ 구간의 장비들은 내부망에 접근을 해야 합니다.(DB는 사설망)

※ DMZ 구간의 장비들을 백업해야합니다.(백업장비 사설망)

미리 답변 감사합니다.^^;

DMZ로 나눈 이유가 DMZ 구간의 장비가 악성코드나 바이러스에 감염됐을때 내부망을 보호하기 위해 나눈건데.. 위와 같은 이유로 통신은 해야합니다...

짧은글 일수록 신중하게.



김윤술 2016-09 후자죠. 구지 DMZ 쓸 이유가 있을까요? 예전에 스트리밍 서버들이 DMZ가 필요는 했었습니다만 지금은 프로그레시브를 지원해야되서 의미가 없어졌습니다. 보통 해당 서비스 포트만 내부로 매핑시켜줘서 서버운영하는데 노출시켜서 좋을거 하나도 없습니다. 그러면 방화벽도 두개이상이 필요하게 되거든요. DMZ용 방화벽과 내부용 방화벽... 꼭 DMZ를 써야겠다면 DMZ와 사설 네트워크를 각각 갖고 있어야 됩니다. 후자죠. 구지 DMZ 쓸 이유가 있을까요? 예전에 스트리밍 서버들이 DMZ가 필요는 했었습니다만 지금은 프로그레시브를 지원해야되서 의미가 없어졌습니다. 보통 해당 서비스 포트만 내부로 매핑시켜줘서 서버운영하는데 노출시켜서 좋을거 하나도 없습니다. 그러면 방화벽도 두개이상이 필요하게 되거든요. DMZ용 방화벽과 내부용 방화벽... 꼭 DMZ를 써야겠다면 DMZ와 사설 네트워크를 각각 갖고 있어야 됩니다.



IT란 2016-09 답변 감사합니다.^^ 이메일, 웹서버 등을 사용합니다. 현재 방화벽은 1개로 사용하면서 포트별로(DMZ, 사설) 구별해서 사용중 입니다.(포트에서 다른포트로 네트워크 접근이 필요하면 방화벽 정책을 넣어야 합니다.) 보안을 강화한다고 이렇게 사용중인데 DMZ 구간에 사설IP를 할당하고 외부로 NAT 시키는게 의미가 있는지 애매해서 문의 드립니다.^^;; 답변 감사합니다.^^ 이메일, 웹서버 등을 사용합니다. 현재 방화벽은 1개로 사용하면서 포트별로(DMZ, 사설) 구별해서 사용중 입니다.(포트에서 다른포트로 네트워크 접근이 필요하면 방화벽 정책을 넣어야 합니다.) 보안을 강화한다고 이렇게 사용중인데 DMZ 구간에 사설IP를 할당하고 외부로 NAT 시키는게 의미가 있는지 애매해서 문의 드립니다.^^;;



김윤술 2016-09 이메일 웹서버면 DMZ를 사용할 이유가 없습니다. 전부 내부로 바꿔야 할듯 싶네요. 이메일 웹서버면 DMZ를 사용할 이유가 없습니다. 전부 내부로 바꿔야 할듯 싶네요.



IT란 2016-09 이메일 및 웹서버에 접근하는 사용자는 외부사용자 입니다.(ANY) 내부로 돌려서 NAT 처리하는것이 보안상 더 좋은 방법인가요? 그렇다면 한쪽 포트에 많은 트래픽이 들어오게 되는 부분도 있지 않나요? 제가 이해 하기로는 불편하지만 그래도 대역(포트)를 구분하는게 안전하다 라고 생각하고 있어서요 이메일 및 웹서버에 접근하는 사용자는 외부사용자 입니다.(ANY) 내부로 돌려서 NAT 처리하는것이 보안상 더 좋은 방법인가요? 그렇다면 한쪽 포트에 많은 트래픽이 들어오게 되는 부분도 있지 않나요? 제가 이해 하기로는 불편하지만 그래도 대역(포트)를 구분하는게 안전하다 라고 생각하고 있어서요



김윤술 2016-09 내부로 포워딩 했다고 외부사용자들이 못들어오는건 아니죠. 내부로 전부 통합하고 외부로 매핑해줄것만 열어주는게 오히려 관리하기 더 편할겁니다. 내부로 포워딩 했다고 외부사용자들이 못들어오는건 아니죠. 내부로 전부 통합하고 외부로 매핑해줄것만 열어주는게 오히려 관리하기 더 편할겁니다.



IT란 2016-09 관리상 편리하다고 생각은 합니다. 보안적인 측면에서 어느부분이 더 좋을까 라고 생각한다면 DMZ 구간으로 두고 DMZ 구간에 있는 서버를 사설IP로 설정하고 NAT 해서 필요 포트(서비스만) 허용하는게 더 좋을까 해서 여쭤 봅니다. 관리상 편리하다고 생각은 합니다. 보안적인 측면에서 어느부분이 더 좋을까 라고 생각한다면 DMZ 구간으로 두고 DMZ 구간에 있는 서버를 사설IP로 설정하고 NAT 해서 필요 포트(서비스만) 허용하는게 더 좋을까 해서 여쭤 봅니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

4970/5710

번호	제목Page 4970/5710	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (734)	정은준1	2014-05	5160775	0
[필독] 처음 오시는 분을 위한 안내 (734) 2014-05 5160775 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1695083	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1695083 1 백메가
14815	[ESXi] VMWARE vSphere Client 말고 WEB Client는 설치하기 어렵나요? (3)	이동환1	2014-02	9526	0
[ESXi] VMWARE vSphere Client 말고 WEB C… (3) 2014-02 9526 1 이동환1
14814	VMware 때문에 CPU를 바꿨는데 변한게 없는 것 같습니다. (8)	가가린	2012-12	9526	0
VMware 때문에 CPU를 바꿨는데 변한게 없… (8) 2012-12 9526 1 가가린
14813	이베이 구매 취소는 어떻게 합니까? (3)	미수맨	2012-02	9526	0
이베이 구매 취소는 어떻게 합니까? (3) 2012-02 9526 1 미수맨
14812	trojan.script.29327 지워도 나타닙니다. (1)	강호형	2010-05	9527	0
trojan.script.29327 지워도 나타닙니다. (1) 2010-05 9527 1 강호형
14811	싱글시스템 사양 평가 좀 부탁드립니다 (2)	김정중	2003-07	9527	12
싱글시스템 사양 평가 좀 부탁드립니다 (2) 2003-07 9527 1 김정중
14810	하.. 델 as 어찌 받아야 할지... 답답하네요. (15)	Dreamer	2017-01	9527	1
하.. 델 as 어찌 받아야 할지... 답답하네… (15) 2017-01 9527 1 Dreamer
14809	Dell Precision T7400 sas하드 설치법 알려주세요 (4)	edguy	2010-02	9527	0
Dell Precision T7400 sas하드 설치법 알… (4) 2010-02 9527 1 edguy
14808	운영체제 설치를 새로 했습니다.. (5)	권영돈	2003-09	9528	5
운영체제 설치를 새로 했습니다.. (5) 2003-09 9528 1 권영돈
14807	인터넷 속도는 잘나오는데 컴퓨터간 파일공유가 문제네요. (3)	장동건2014	2014-11	9528	0
인터넷 속도는 잘나오는데 컴퓨터간 파일… (3) 2014-11 9528 1 장동건2014
14806	삼성노트북 NT300E5C 모델 바이오스 진입이 안되고 있습니다... (12)	stones	2019-06	9529	0
삼성노트북 NT300E5C 모델 바이오스 진입… (12) 2019-06 9529 1 stones
14805	레노버 x230에 외부모니터 연결하려면 이거 한방이면 모든 되겠죠? (11)	장동건2014	2017-12	9529	0
레노버 x230에 외부모니터 연결하려면 이… (11) 2017-12 9529 1 장동건2014
14804	웹서버 iis에서 백업관련해서...문의드립니다. (4)	윤치열	2004-01	9529	54
웹서버 iis에서 백업관련해서...문의드립… (4) 2004-01 9529 1 윤치열
14803	토요일 에버랜드 몇시쯤 가면 좋을까요 (17)	2CPU최주희	2015-08	9529	0
토요일 에버랜드 몇시쯤 가면 좋을까요 (17) 2015-08 9529 1 2CPU최주희
14802	PC의 전원이 안들어올때 (3)	김승태	2004-04	9529	8
PC의 전원이 안들어올때 (3) 2004-04 9529 1 김승태
14801	채굴버전 RX580 (조텍이라고 알려진) 이 스트레스 테스트 도중 꺼집니다 ㅠㅠ (15)	쓰레기단장	2020-01	9529	0
채굴버전 RX580 (조텍이라고 알려진) 이 … (15) 2020-01 9529 1 쓰레기단장
14800	인텔 SSD Vs. 삼성 SSD...??? (8)	김정중	2011-04	9529	0
인텔 SSD Vs. 삼성 SSD...??? (8) 2011-04 9529 1 김정중
14799	듀얼링크 dvi 케이블을 뜯어보려고 하는데요 (1)	영어선생님	2010-10	9530	0
듀얼링크 dvi 케이블을 뜯어보려고 하는데요 (1) 2010-10 9530 1 영어선생님
14798	scsi 내장 보드 scsi와 ide hdd 같이 쓸려면... (4)	허영준	2003-11	9530	5
scsi 내장 보드 scsi와 ide hdd 같이 쓸려… (4) 2003-11 9530 1 허영준
14797	메모리 호환성, 성능에 대한 질문.. (3)	심규상	2003-11	9530	67
메모리 호환성, 성능에 대한 질문.. (3) 2003-11 9530 1 심규상
14796	FreeNAS 8 ZFS RAID, WD20EARS (4k advanced format) 문의	mash	2011-03	9530	0
FreeNAS 8 ZFS RAID, WD20EARS (4k advanc… 2011-03 9530 1 mash