DMZ, SuperDMZ

DMZ(Demilitarized Zone, 비무장지대)

 

조직의 내외부 사이에 존재하는 서브넷을 의미한다.

 

특징으로

DMZ 내부의 PC들은 오직 외부네트워크만 사용이 가능하며,

내부네트워크 사용이 불가능하다.

 

이렇게 생겨난 이유는, 내 외부가 분리된 폐쇄망 형태가 생겨난 것이 이유인데,

외부에서 내부 네트워크에 침입하는 것을 방지하기 위해서다.

 

그렇기에 외부네트워크가 필요한 메일서버, 웹서버, DNS서버 등이

주로 DMZ구간에 구축된다.

 

--

 

DMZ는 보통 포트포워딩의 일종으로 취급하는데,

모뎀이나 공유기의 모든 포트(1~65,535)를 망 내부의 특정 PC로 포워딩하는 것을 의미한다.

 

그냥 쉽게 말하면, 포트포워딩은 하나의 포트나 수십개의 포트 이런식으로 할당한다고 하면,

DMZ설정은 그냥 포트 전체를 싸그리 포트포워딩 한다고 생각하면된다.

 

특이한 점은 DMZ설정을 하고도 포트포워딩 설정이 가능하다.

우선순위는 포트포워딩으로, 해당 모뎀이나 공유기는 1차로 포트포워딩이 설정된 값을 본 뒤

2차로 DMZ 설정에 따라 진행한다.

 

단점

 

당연히 보안적 관점에서는 좋지않은데,

포트포워딩을 하는 이유부터가, 특정 포트를 제외하고는

외부접속을 막아 보안을 지킨다 같은 의미이지만

DMZ설정은 모든 포트를 일괄적으로 개방하는 것과 동일하기에

사실상은 추천되지 않는 설정이다.

(따로 방화벽 장비 ex. fortigate 등의 장비가 있다면 말이 다르지만..)

 

 

Super DMZ

 

Super DMZ는 말 그대로 DMZ의 기능에서 슈퍼ㅓㅓ 해진건데,

특징이라고 한다면, 외부 IP와 내부 IP가 동일해진다.

DMZ는 말 그대로 포트만 열어주는거지만,

SuperDMZ는 포트 뿐만아니라 공인 IP도 동일하게 준다.

 

또한, SuperDMZ는 우선순위도 DMZ와는 다르게

포트포워딩보다 우선권을 가진다는 차이가 존재한다.

 

당연히 단점으로는 보안 측면에서는 좋지않고,

이 역시도 Fortigate등의 보안 장비가 있다면 상관이 없는 내용이다.