선릉역 1번 출구
망분리 본문
망분리란?
: 네트워크를 여러 개의 작은 네트워크로 분할하여 보안을 강화하는 것
여기서 망이란?
망 자체에서는 MAC 주소를 통해 LAN 통신을 하는 것을 의미함, 라우터를 거치지 않고 스위치(L2)만으로 통신이 가능한 경우임
*망분리는 꼭 내부망과 외부망을 나누는 것을 의미하지 않음, 내부에서도 부서마다 망을 분리하기도 함
기준
1. 물리적/논리적
물리적 망분리: 물리적으로 내부망과 외부망을 분리하는 것, 네트워크 장비(스위치, 라우터, 방화벽 등)를 사용해 외부망과 내부망을 연결함
- 물리적인 방화벽 사용
- DMZ 구성(외부망과 내부망 사이에 위치한 중간 지역으로 인터넷 서비스를 제공함)
논리적 망분리: 논리적으로 내부망과 외부망을 분리하는 것, 가상 네트워크나 VLAN 등을 사용해 내부망과 외부망을 분리함
- 서브넷 구성
- ACL(접근 제어 목록), tcp wrapper와 같이 소프트웨어적으로 서로 다른 네트워크 환경을 구분하는 것도 논리적 망분리에 해당됨
- VPN
2. 내부망/외부망
내부망: 기업이나 조직 내부에서 사용하는 네트워크를 의미함, 일반적으로는 사설 IP를 사용해서 구성함
- 인터넷과는 분리되어 있거나, 인터넷과는 방화벽 등의 보안장비를 통해 연결되어 있음
외부망: 인터넷이나 다른 네트워크를 의미함, 일반적으로 공인 IP 주소를 사용하고 외부에서 내부망에 접근하거나 반대로 내부망에서 외부로 접속할 때는 보안장비(방화벽)을 통해 필요한 인증 및 권한 검사를 거쳐 접근이 가능함
Q. 왜 VPN이 논리적 망분리인가? VPN은 망분리로 인해 나누어진 내부망을 접속하기 위한 기술아닌가?
A. VPN을 사용하면 외부에서 접속하는 사용자가 VPN 서버에 접속한 후, VPN 서버가 내부망에 있는 서버나 클라이언트처럼 행동할 수 있도록 내부망과는 논리적으로 분리된 가상의 네트워크 환경을 제공함
이 가상의 네트워크에서는 내부망에서 사용하는 IP 주소 대역과는 다른 별도의 IP 대역을 사용하며 외부에서는 해당 가상의 네트워크만 보이게 되는데, 이렇게 VPN을 통해 제공되는 가상의 네트워크 환경은 논리적 망분리를 구현하는 방식 중 하나이기 때문
Q. 내부에서 망을 분리하는 경우, 네트워크 ID가 같으면 해당 망끼리는 MAC 주소를 가지고 LAN 통신이 가능한가?
A. ㅇㅇ 그러나 이 경우는 물리적으로 망이 분리된 것이 아니어서, 엄밀하게 망분리라고 보기 어려움 -> 망분리라는 것은 기본적으로 IP 주소를 가지고 통신하는 것을 의미함
내부에서 여러 개의 망을 분리하는 경우에도 해당 망끼리는 MAC 주소를 통해 LAN 통신이 불가하고, 고유한 IP 대역을 할당받아 IP 주소를 가지고 통신함
'Computer > Network' 카테고리의 다른 글
| 유무선 동시 연결 (0) | 2023.05.04 |
|---|---|
| HTTP version 별 특징(HTTP/0.9 ~ HTTP/2.0) (0) | 2023.04.28 |
| DOM과 Virtual DOM (0) | 2023.04.11 |
| HTTP에서 socket이 사용되는가? (0) | 2023.04.11 |
| SSL VPN (0) | 2023.03.15 |
