비무장지대(Demilitarized zone, DMZ)는 조직의 내부 네트워크와 외부 네트워크 사이에 위치한 서브넷입니다. 내부 네트워크와 외부 네트워크가 DMZ로 연결할 수 있도록 허용하면서도, DMZ 내의 컴퓨터는 오직 외부 네트워크에서만 연결할 수 있도록 한다는 점입니다. 즉, DMZ 안에 있는 호스트들은 내부 네트워크로 연결할 수 없습니다. 이것은 DMZ에 있는 호스트들이 외부 네트워크로 서비스를 제공하면서 DMZ 안의 호스팅의 침입으로부터 내부 네트워크를 보호합니다. 내부 네트워크로 불법적 연결을 시도하는 외부 네트워크의 누군가가 있다면, DMZ는 그들에게 막다른 골목이 됩니다.
DMZ는 일반적으로 메일서버, 웹서버, DNS 서버와 같이 외부에서 접근되어야 할 필요가 있는 서버들을 위해 사용됩니다. 외부 네트워크에서 DMZ로 가는 연결은 일반적으로 *포트 주소 변환(PAT, port address translation)을 통해 제어됩니다.
*포트 주소 변환(PAT): 외부 네트워크상의 호스트 및 포트와 내부 네트워크 상의 호스트 및 포트 간에 이루어지는 TCP(UDP) 통신을 변환해 주는 네트워크 장비의 기능입니다. PAT를 이용해서 기대할 수 있는 장점으로는 하나의 IP 주소를 가지고 여러 개의 내부 호스트를 사용할 수 있다는 점입니다.
DMZ는 종종 방화벽의 설정 옵션을 통해 만들어지는데, 이 설정 옵션을 통해 각각의 네트워크는 방화벽에 서로 다른 포트를 사용하여 연결하게 됩니다. 이것을 삼각 방화벽 설정이라 부릅니다. 더 강력한 방법은 두 개의 방화벽을 사용하는 것입니다. DMZ는 이 두 개의 방화벽 중간에 위치하며, 두 개의 방화벽과 연결됩니다. 하나의 방화벽은 네트워크와 연결되고 다른 하나는 외부 네트워크와 연결됩니다. 이것은 우연한 설정 실수를 통해 외부 네트워크가 내부 네트워크로 연결할 수 있게 되는 상황을 방지합니다. 이런 구성 형식을 차단된 서브넷 방화벽이라고 부릅니다.
References
https://commons.wikimedia.org/wiki/File:XQuery-publishing-dmz.png
