네트워크 구성 - VPN , DMZ Zone, PAT 와 NAT에 대해서

본 게시글은 네트워크 입문자에게 적합한 글입니다 포스팅 주의 바랍니다. 

 

네 안녕하세요 시란입니다.

네트워크 망을 구성하려는데 (회의목적) 제가 잘 못알아먹는 단어들과 내용들이 나와서 정리를 하려는 목적에서 본 포스팅을 작성하게 되었습니다. 

이점 참고하시기 바랍니다. 

DMZ Zone - 비무장지대 Demilitarized zone, DMZ는 조직의 내부 네트워크와 외부 네트워크 사이에 위치한 서브넷입니다. 내부 네트워크와 외부 네트워크가 DMZ로 연결할 수 있도록 허용하면서, DMZ 내의 컴퓨터는 오직 외부 네트워크에만 연결할 수 있도록 한다는 점. (내트워크의 중립지역을 의미)

DMZ 안에 있는 호스트들은 내부 네트워크로 연결할 수 없다. 즉, DMZ에 있는 호스트들이 외부 네트워크로 서비스를 제공하면서 DMZ 안의 호스트의 침입으로부터 내부 네트워크를 보호합니다. 

내부 네트워크로 불법적 연결을 시도하는 외부 네트워크의 해커를 방어할 수 있다.  다시 말해 외부 악의적 의도로 내부 pc나 서버에 직접 접속 못하도록 하는 기술입니다. 

DMZ는 일반적으로 메일서버, 웹서버, DNS 서버와 같이 외부에서 접근되어야 할 필요가 있는 서버들을 위해 사용됩니다. 

외분에서 내부로 트래픽이 못들어오게 하려면 외부와 내부를 분리하고 외부에서는 DMZ를 자유롭게 들어올 수 있게 설정하되 외부에서 내부로는 못들어오게 필터링을 합니다. 또한 내부에서 외부나 DMZ로 가는 것을 설정하빈다. 

이처럼 내부 보안정책에 따라 내부에서 외부나 DMZ로 가는 것을 제한하는 역할을 하는 것이 방화벽입니다. 

외부에서 DMZ로 가는 연결을 일반적으로 포트 주소 변환(Port Address Translation, PAT)를 통해 제어됩니다. 

 

PAT - Port Address Translation의 약자이며 NAT와 비슷한 개념입니다. 영어 그대로 포트주소 변환 기능입니다. 

NAT의 경우는 공인IP와 사설 IP를 바꿔주는 기능이지만 PAT는 포트번호만 바꿔주는 기능입니다. 

 

여러대의 PC의 경우 다음과 같이 공인IP를 사용합니다. 

192.168.0.2(사설) > 122.140.10.131(공인)

192.168.0.3(사설) > 122.140.10.131(공인)

192.168.0.4(사설) > 122.140.10.131(공인)

NAT변환 장치를 통해 공인IP로 외부로 나가게 됩니다. 

 

반대로 PAT는 공인 IP는 그대로 두고 포트번호를 변경하여 사설 IP들이 통신이 가능하게 해줍니다. 

PAT를 통해 192.168.02(사설)에 +55555 (통신 포트번호)를 받습니다.

 

서브넷 - 서브넷이란 부분망이라는 의미입니다. IP 주소에서 네트워크 영역을 부분적으로 나눈 부분망, 부분 네트워크를 의미합니다. 위의 DMZ Zone는 서브넷이라고 했는데 이 의미는 즉, 내부와 외부 네트워크 사이에 존재하는 부분망이라는 의미입니다. 

이 서브넷을 만드는 개념이 서브넷 마스크입니다. 서브넷 마스크를 이용해 IP주소 체계의 Network ID와 Host ID를 서브넷 마스크를 이용해 분리할 수 있습니다. 

(현 포스팅에서는 서브네팅 방법에 대해서는 언급하지 않겠습니다)

 

VPN - 가설사설망입니다.  Virtual Private Network라고 불리우며, 인터넷 네트워크와 암호화 기술을 이용해 통신 시스템을 구축하는 것을 의미함. 보통 공기업 사기업 등 단체에서 내부인들만 쓸수 있는 인트라넷을 구축할때 해당되는 컴퓨터만 전용선을 연결해서 접근 못하도록 사용하지만, 외부에 나갈 경우도 생기며, 이럴경우 물리적으로 전용선으로 묶을수 없는 경우가 생긴다 이런 경우 인터넷 회선을 암호화된 규격을 통해 개인 전용선 같이 끌어 쓰는것이 가상 사설망의 핵심입니다. 

 

여기까지 모르는 용어에 대한 정리를 했습니다. 

다음번에도 모르는 컴퓨터 용어들을 정리하는 포스팅은 계속됩니다. 

 

감사합니다.