DMZ (Demilitarized Zone)

DMZ (Demilitarized Zone)

외부 네트워크(인터넷)와 내부 네트워크(신뢰 영역) 사이에 위치하여, 외부에서 접근해야 하는 서비스를 격리하고 내부망을 보호하는 완충 네트워크 영역

목적: 외부 공개 서비스와 내부 자산 분리, 외부 침해 시 피해 범위 제한, 보안 정책의 계층화

구성 방식: 단일 방화벽(방화벽이 DMZ와 내부망 분리), 이중 방화벽(외부 FW-DMZ-내부 FW, 권장, 다른 벤더 사용)

배치 서버: 웹 서버, 메일 서버(MTA), DNS 서버, VPN Gateway, 리버스 프록시

트래픽 규칙: 외부→DMZ(특정 포트만 허용), DMZ→내부(최소 필요만 허용, DB 연결), 내부→DMZ(관리 목적만), DMZ→외부(필요 시만), 외부→내부(차단 원칙)

적용사례: 웹 서비스 공개, 메일 서버 운영, 외부 접근 서비스 격리

비교: 단일 방화벽 DMZ(비용 저렴/단일 장애점/소규모) vs 이중 방화벽 DMZ(보안 강화/벤더 분리/권장/대규모)

연관: 방화벽, 네트워크 세그멘테이션, 보안 아키텍처