안녕하세요~ 처음뵙겠습니다.
네트워크 구성에 대해 궁금한 부분이 있어서 질문 드립니다.
-------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------
현재 구성이 위 그림과 같습니다.
각 서버는 모두 공인IP와 사설IP를 가지며, 외부에서 서버로(공인IP) 접근했을 때, 2개의 NIC(공인,사설)로 인해 내부로도 접근이 가능한 상황입니다.
위 네모의 위치에 방화벽을 설치하여 서버에서 내부로(10.10.10.XXX) 의 접근을 막고자 하는데 위 구성이 맞는지 궁금합니다.
위와 같이 구성했을 때
1.방화벽에서 내려오는 L2 스위치단이 DMZ 구간이 되는건지..
2.서버가 여러대인데 추가가되는 방화벽 포트에다가 서버의 NIC(내부)->방화벽(추가예정)->L3 이런 구성이 되는건지
매우 궁금합니다...
글 읽어주셔서 감사드리고.. 많은 조언 부탁드리겠습니다. ^^
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
9개의 답변이 있습니다.
제가 보기에는 DMZ 서버와 (공인 IP) 내부 서버 (사설 IP) 를 분리 하기 위함 인 거 같네요
그럴 경우 DMZ 서버에는 WAF 장비가 있어야 할 거 같고 내부 서버에 앞 단에는 서버팜 방화벽
장비가 있어야 할 거 같네요
저도 좋은 내용 보고 갑니다.
클라이언트에서는 서버에 접속할 수 있고, 서버에서는 클라이언트에 접속하지 못하게 하고 싶다는 질문인것 같은데요.
서버에 할당된 10.10.10.xxx 사설 IP만 제거해 버리면 되고, 방화벽 연결하려는 LAN 케이블을 제거해 버리면됩니다.
클라이언트에서 서버에 접속할때는 공인 IP를 이용해서 접근하면 되겠고요.
저 위치에 방화벽을 꼭 넣고 싶다면...
서버에 할당된 사설 IP와 클라이언트들에 할당된 사설 IP의 대역을 달리해서, 방화벽의 상위 네트워크( WAN ) 포트를 서버 쪽에 연결하고, 방화벽의 LAN 포트를 클라이언트 스위치에 연결 시켜 사용하면 되겠습니다.
은럽 (casurin) | 8달 전
wansoo님, 답변 정말 감사합니다. 그럼 위에서 하신 말씀이
위와같이 분리를 하면 된단 말씀이신가요~
공인 서버는 공인ip만, 사설은 사설로만. 사설->공인에 대한 통신은 isp 를 통하여.
다시 한번 감사말씀드립니다, 식사 맛있게 하세요.
wansoo | 8달 전
사설 IP를 가진 서버를 별도로 두는 이유가 뭘까요??
위의 이미지 처럼 사설 IP를 가진 서버를 제거하고 구성한다면...
서버에 공인 IP가 할당되어 있기 때문에 사설 IP를 가진 클라이언트 컴퓨터들은 공인 IP를 이용해서 서버에 접속해서 사용하면 되겠고요.
공인 IP를 가진 서버에서는 사설 IP를 가진 클라이언트로 접속은 다른 특별한 설정이 없다면 불가능하게 되는 것이고요.
은럽 (casurin) | 8달 전
추가 답변까지 해주셔서 정말 감사합니다.
파일서버등은 내부에서 제어하는게 트래픽에 대한 이점이 있다 생각해 내부로 빼 놓았는데
내부에 대역이 10.10.11.xxx, 10.10.12.xxx 다양하게 있어 결국 L3를 거쳐 통신이 됩니다.
wansoo님, 실례지만 질문 하나만 더 드려도 될까요?
파일서버를 공인IP 로 위치시킨다 하면 내부 사용자들은 L3, 그리고 추가로 ISP 를 거치게 되는데 공인IP 서버들과 통신을 할때 트래픽이 외부로 나갔다 다시 들어와서 인터넷속도(200Mbps) 에 영향을 받는건지, 아니면 같은 대역이라 ISP장비속도(1Gbps) 로 통신을 하는건지 궁금합니다..
wansoo | 8달 전
공인 IP를 통해서 서버에 접속한다면 트래픽이 외부로 나갔다 다시 들어 오게 될 수 밖에 없습니다.
파일 서버를 웹서버등의 인터넷으로 접근하는 서버에서도 사용하고, 사내에 있는 사용자들도 사용하지만 사내 사용자들은 내부망을 통해서 사용하고 싶은 경우라면 별도 "파일 서버"를 한대 더 두는 방법이 좋을 것 같네요.
첨부한 이미지 처럼 별도 파일서버를 하나 더 두어서
파일 서버 및 공인 IP를 가진 서버에 네트워크 카드를 한개씩 더 추가 장착해서
공인 IP를 가진 서버와 파일 서버간의 전용 LAN 케이블로 직접 연결해서 사용하면 되겠습니다.
공인 IP를 가진 서버는 파일 서버에는 접속할 수 있지만 내부 네트워크에는 접근을 할 수 없느 상태이고, 내부의 각 클라이언트들은 파일 서버에 사설 IP를 이용해서 내부망에 있는 파일들을 안전하고 빠르게 접근해서 사용할 수 있게 되고...
공인 IP를 가진 서버와 통신이 필요할 경우에는 공인 IP를 이용해서 인터넷 상에 있는 서버에 접속해서 작업을 처리할 수 있겠고요.
은럽 (casurin) | 8달 전
아! 위와 같은 방법도 있네요. 정말 감사합니다~ 얼굴도 모르는 저에게 이런 친절을 배풀어 주시다니.. 정말 크고 많은 도움이 되었습니다. 다시한번 고개숙여 감사의 말씀을 전합니다.. 행복하세요 !
wansoo | 8달 전
앞의 질문
공인IP 서버들과 통신을 할때 트래픽이 외부로 나갔다 다시 들어와서 인터넷속도(200Mbps) 에 영향을 받는건지, 아니면 같은 대역이라 ISP장비속도(1Gbps) 로 통신을 하는건지 궁금합니다.
에 대한 보완 설명을 드려야 할 것 같네요.
사설 IP 네트워크의 상단 장비인 NAT 장비의 외부 IP와 공인 IP를 가진 서버들이 같은 네트워크 대역의 IP를 사용할 경우라면 사설 IP에서 요청한 트래픽이 외부 회선까지 나가지 않고, NAT과 방화벽이 연결된 내부 회선을 통해서 통신을 하게 됩니다.
아마도 통신사에서 들어오는 인터넷 회선이 200Mbps이고, 방화벽과 NAT 장비를 연결한 네트워크 회선이 1Gbps인 걸로 추정되는데...
공인 IP 서버들과 NAT 장비의 외부 IP가 동일한 네트워크 대역대에 있는 IP 주소가 할당되어 있을 경우라면 내부 회선 1Gbps를 통해서 트래픽을 주고 받을 수 있기 때문에 1Gbps로 서로 통신을 할수 있게 됩니다.
그리고, 쿠폰까지 보내 주시고...
보내 주신 쿠폰 잘 사용하고 있습니다.
고맙습니다. ^^
보통은 DMZ 구성은 ISP - L3 Router - 방화벽 - 서버로 구성하는게 일반적입니다.
DMZ 구성과 내부 사설은 별도 구성하는게 보안상으로는 좋습니다.
추가하시려는 방화벽은 서버단 앞에 두는 core 방화벽입니다.
내부에서 접근을 통제하기 위해 서버 앞 저렇게 구성합니다.
은럽 (casurin) | 8달 전
topkslee님, 답변 정말 감사합니다. ISP - L3 Router - 방화벽 - 서버가 일반적이군요.. 외부망만의 방화벽, 그리고 사설망만의 방화벽으로 구성 되는경우는 없나 봅니다.
현재 구성에서 L3장비를 통해서 컨트롤 해도 되지 않으실까요?
L3이면 하위 장비 IP 및 포트 등 ACL 구성이 가능할 것 같아서요 !
그것도 아니면 L3 위에 있는 방화벽에 정책을 구성하셔도 될 것 같아요
현재 구성에서 서버랑 L2 사이에 방화벽을 하나 더 두는 건 낭비일 것 같습니다.
NIC 2개 유지가 필수라고 한다면,
왼쪽 서버 방화벽은 그대로 NIC2 공인은 유지하시고,
NIC1쪽 서버 사설 통신을 사설끼리만 통신하면 되는 지 기준을 잡으시는 게 좋을 듯 해요
사설끼리만 통신해도 된다면 NIC1서버 사설 IP 외부 통신 차단하는 정책을 가져가면 될 것 같구요 ~
방화벽-L3가 구성되어 있는 상태라 2개 장비에서 컨트롤 하셔도 될 듯 합니다.
은럽 (casurin) | 8달 전
inside07님, 답변 정말 감사합니다. L3 로 들어오는 포트에다 ACL정책(inside) 을 걸어, 서버 내부 IP 리스트를 등록해 놓으면 그것도 방법일까요?
그림만 보면 왜 거기에? 라는 생각이 드는데 공인과 사설 존을 DMZ 와 내부 존으로 구분해서 그림은 다시그리면 존과 존 사이에 방화벽을 둔 다면 구성 상으론 문제가 없어보이는데 관리 포인트가 증가하고 보안정책으로 성능저하가 있을 수도 있지 않을까 생각됩니다.
근데 궁금한건 보안강화를 위히니 꼭 해야한다고 고집하는게 아니면 지금 각 존에 있는 방화벽 정책으로도 가능할 것 같습니다.
앵그리파파 | 8달 전
1.DMZ
2.가능 하지만 성능 고려한다면꼭 그렇게 할 필요가 있을까요?
은럽 (casurin) | 8달 전
앵그리파파님, 답변 정말 감사합니다. 여러 감사한 답변들로 조금씩 이해가 돼 가고 있습니다. ^^
1.방화벽에서 내려오는 L2 스위치단이 DMZ 구간이 되는건지..
--> 왼쪽 구간이 DMZ 구간(WEB/E-mail/FTP) 이고 WEB L/B 하기 위해선 L4 가 있어야 겠구요
2.서버가 여러대인데 추가가되는 방화벽 포트에다가 서버의 NIC(내부)->방화벽(추가예정)->L3 이런 구성이 되는건지
--> DMZ zone - Priviate zone 은 방화벽에서 S-T 형태로 정책적으로 가거니
DMZ zone - Priviate zone 구간으로 서비스가 많다면 F/W두는것도 나쁘지 않겠네요
은럽 (casurin) | 8달 전
Genghis Khan님, 답변 정말 감사합니다. 실무초보이다보니 어려운점이 많네요.. ^^;
좀 복잡하네요. 내부-외부 모두 사용하는 서버 같으면
DMZ 구간을 두던가 서버팜을 두고 NAT 1:1 맵핑하는게 오히려 관리적 측면이 간단할 듯 합니다만.
NIC를 2개 두면 오히려 장애 포인트가 증가합니다. 라우팅 꼬일수도 있고요..
방화벽 2개 별개인 것을 주-예비로 구성하세요.
차니 | 8달 전
수정해봤습니다. 가능하면 구성은 간단하게 하시는게 관리하기에 편합니다.
차니 | 8달 전
보통은 외부 접속하는 장비는 DMZ 에 두고
내부는 라우팅해서 DMZ 서버에 접근합니다.
어절수 없이 사설로 구성해야 한다면 구성이라도 간단하게 하심이...
은럽 (casurin) | 8달 전
차니님, 정말 감사합니다. 위 그림으로 방화벽 한대 운용에 대한 이해가 조금은 되었습니다.
혹시 위 그림처럼 따로 운용을 하는 경우도 있을까요? L3 상단 방화벽은 사실상 NAT처리만 하고 있습니다.
차니 | 8달 전
규모(트래픽 등 감안) 따라 그리고 필요에 따라 따로 할수도 있습니다만...
저흰 이중화로 2대이지 개별 구성은 안했습니다.
외부서비스용 서버는 DMZ로 두고 내부 서버는 서버팜 구성(일반 업무용 등과는 네트워크 대역은 다르게) 해서 운영중입니다.
비교적 구성이 간단해서^^
은럽 (casurin) | 8달 전
다시 한번 감사말씀 드립니다! 점심 맛있게 드세요 ^^
보통 DMZ 구간은 대외서비스를 하는 구간으로, WEB서버를 두고 있습니다.
보통의 구성은 ISP - 라우터(L3) - DMZ 방화벽 - L4 - 웹서버 이런식으로 구성을 하죠.
이걸 감안해서 구성을 하면 됩니다. DMZ 서버에서는 내부와의 통신은 보통 WEB - WAS 서버간의 통신밖에 없습니다. 그외 다른 연결을 할 필요는 없죠.
그리고 내부서버는 외부 IP를 가져선 안되죠. 예전부터 유행했던 망분리를 생각하면...
내부 서버에는 보통 WAS, DB 서버 등이 있기에 외부로 나갈일이 없습니다. 간혹 WAS서버에서 외부 API를 호출할 일이 있을 땐, DMZ서버쪽에 중계서버를 하나 두고 거기에 API를 호출하고 거기의 서버를 WAS에 연결하는 식으로 보통 합니다.
만약 위와 같이 서버에 인터페이스를 2개 두고, 하나는 내부 하나는 외부에 한다면 GW가 2개가 생겨버리기에 라우팅 관리를 하지 않으면 무조건 사고가 터집니다. 서버의 GW는 하나만 있는게 좋습니다. 나가는 구멍, 들어오는 구멍이 하나여야 보안에도 좋고, 나중에 장애가 터졌을때 트러블슈팅하기에도 용이하고요.
그리고 2번처럼 서버가 여러대인데 그 모든 서버를 방화벽에 붙이면... 방화벽 포트가 L2처럼 포트가 많은것도 아닙니다. 아무리 하이엔드 급이라도 그렇게 모든 서버를 방화벽에 붙이게 된다면 문제가 됩니다.
서버를 종류별로 내부서버, 주요서버, DMZ서버 등 구간을 나눠 그 앞단에 L2스위치를 두고 연계하는게 좋겠습니다.
은럽 (casurin) | 8달 전
에이스퐝님, 정말 감사합니다. 어렵지만 많은 이해가 되었습니다~