티스토리 뷰
728x90
반응형
- DMZ? 비무장지대 | 외부에서 접근 가능하지만, 내부엔 접근 불가능한 영역
- 구성 방법 : 방화벽, NATM PAT 이용해 구성
- 방화벽 : 들어오는 패킷(인바운드), 나가는 패킷(아웃바운드)을 제어하는데 사용되는 보안 장치 | 특정 유형의 패킷만 통과하도록 허용하고 다른 모든 트래픽은 차단하도록 구성
- NAT(Network Address Translation) : IP헤더에 있는 주소 정보를 수정해 하나의 IP주소를 다른 IP주소로 매핑 | 공인 IP(방화벽)를 DMZ 내부 IP주소로 매핑해 사용
- PAT(Port Address Translation) : 다른 IP를 가진 여러 장치가 단일 공인 IP 주소의 Port 번호를 사용해 공유할 수 있게 해주는 NAT의 한 종류 | NAT로 인해 변환된 주소는 하나의 공인 IP를 사용하기에 구분이 어려워 포트번호로 원래 IP를 구분
03. NAT
- 한 IP주소를 다른 IP주소로 바꾸는 기술 | 사설 IP주소를 공인 IP주소 또는 공인 IP 주소를 사설 IP주소로 변환
- IP주소 부족 문제 해결 | 보안(특성상 IP 숨기기 가능... 라우터를 통해 외부로 나갈 때 사설 IP가 공인 IP로 바뀌어서 공격자는 라우터 안쪽에 있는 사설 IP를 알 수 없음)
- NAT 흐름 : 게이트웨이를 통해 외부로 통신 요청 → PC는 게이트웨이의 주소로 응답 → 게이트웨이에서 A PC로 전달
- Static NAT : 공인IP와 사설IP 주소가 1:1로 매칭 되어 있는 1:1NAT | 공인 IP주소의 절약 효과는 없으나 내부 IP를 숨길 수 있음
- A PC는 공인망으로 나가기 위해 NAT장비에 패킷 요청 → NAT장비는 1번 패킷을 받아 사설 IP주소를 공인 IP로 변경 → 요청 받은 PC는 요청한 장비에게 응답을 보냄 → NAT장비는 A PC가 보낸 요청을 기억하고 있어 다시 목적지IP를 공인IP에서 사설IP로 변환해 전달
- Dynamic NAT : 여러 개 공인 IP, 여러 개 사설 IP가 있을 때 사용 | M:N으로 매핑 | 대부분 공인 IP주소가 사설IP주소보다 적을 때 사용
- A PC가 A Server와 통신할 때 공인IP 하나를 사용해 NAT가 이뤄짐 → B PC가 B Server와 통신할 때 또 다른 공인IP 하나를 사용해 NAT → C PC가 C Server와 통신할 때 또 다른 공인 IP를 사용해 NAT → D PC가 통신을 시도하지만 남아있는 공인 IP가 없어 통신 불가
- PAT : 하나의 공인 IP와 여러 개 사설 IP를 Port번호를 이용해 NAT 수행 | 1:N 방식
04. VPN
- Virtual Private Network : 가설사설망... 사용자ㅏ가 인터넷과 같은 공용 네트워크를 통해 사설망에 안전하게 연결할 수 있는 기술
- 등장배경 : 물리적으로 떨어져 있는 서버들은 안전한 통신을 위해 전용 회선 필요... but, 회선 일부를 독점하기 때문에 비싼 가격... 대역폭에 따라 가격 변동으로 인해 많은 데이터 전송 시 더 많은 비용 지불
- 구성 : 터널링 프로토콜이라는 특별한 TCP/IP기반 프로토콜을 사용해 VPN 서버의 가상 포토에 대해 가상 호출 수행
- 터널링(Tunneling) : 공인망을 사용해 별도 라우팅 없이 사설망과 사설망의 통신 제공, 암호화된 통신 제공
- Passenger Protocol : VPN 터널이 전달하는 프로콜로 VPN터널을 통해 전송되는 데이터를 암호화하고 해동하는데 사용
- Encapsulating Protocol : VPN 터널을 만드는데 사용되는 프로토콜... Passenger Protocol을 캡슐화하고, 암호화된 메시지 전송
- Carrier Protocol : Encapsulationg된 패킷을 운반하기 위한 프로토콜... 네트워크 장비들이 이해할 수 있는 프로토콜, 주로 IP 사용
- 터널링(Tunneling) : 공인망을 사용해 별도 라우팅 없이 사설망과 사설망의 통신 제공, 암호화된 통신 제공
- IPSEC(Internet Protocol Security) : 통신 세션의 각 IP패킷을 암호화하고, 인증하는 안전한 인터넷 프로토콜 통신을 위한 인터넷 프로토콜 | 네트워크 계층에서 IP 패킷 단위로 인증, 암호화, 키관리를 수행하고 주로 VPN에서 사용 | 주로 IPSEC VPN은 인터넷을 이용해 본사&자사 네트워크 LAN을 연결시 사용되어 'Side to side' or 'LAN to LAN'으로 칭함
- 전송모드(Transport) : IP패킷의 페이로드를 보호하는 모드... 상위 프로콜 데이터를 보호하는 모드 | IP 헤더는 그대로 유지하므로 네트워크 상 패킷 전송에 문제 발생 X | IP헤더를 보호하지 않기에 트래픽 흐름이 노출될 수 있음 | 종단간 데이터 보호 위해 사용
- 터널모드(Tunnel) : IP패킷 전체를 보호하는 모드... IP패킷 전체를 IPSEC으로 캡슐화해 IP헤더를 식별할 수 없기때문에 네트워크상 패킷 전송이 불가능함... 문제해결 위해 새로운 IP헤더 추가 | 원본 IP헤더를 보호하기에 최초 출발지, 최종 목적지에 대한 트래픽 정보의 기밀성 보장 | 주로 게이트웨이 구간 IP패킷을 보호하는 목적으로 사용, 물리적으로 떨어진 본점과 지점 사이 구간 VPN환경이 있음
- 주요서비스
728x90
반응형
'- > 케이쉴드 주니어 스타트업' 카테고리의 다른 글
| [윈도우즈기초] 01. 윈도우즈 운영체제 | 02. 윈도우즈 관리 (0) | 2024.11.01 |
|---|---|
| [운영체제기초] 01. 운영체제 기초 | 02. 운영체제 종류 (0) | 2024.11.01 |
| [웹기초] 01. WEB의 이해 | 02. HTML의 이해 | 03. 도메인의 이해 | 04. 프로토콜의 이해 | 05. 쿠키와 세션 (1) | 2024.10.30 |
| [네트워크기초] 01. 네트워크 기초 (2) | 2024.10.30 |
| 정보보안개론 (0) | 2024.10.29 |