[네트워크] DMZ, 포트주소변환(PAT), 네크워크주소변환(NAT)

DMZ란?

---

• DMZ란 내부네크워크와 외부 네트워크 구간 사이에 위치한 서브넷으로, 침입차단시스템 등으로 접근 제한 등을 수행하지만 외부 네트워크에서 직접 접근이 가능한 영역
• 외부에 서비스 제공 시 내부 자원을 보호하기 위해 내부 네트워크 구간과 외부 네트워크 구간 사이에서 접근제한을 수행하는 영역
• DMZ 안에 있는 호스트들은 내부 네트워크로 연결할 수 없음
  • DMZ에 있는 호스트들이 외부 네트워크로 서비스를 제공하면서 DMZ를 통한 침입으로부터 내부 네트워크를 보호
• 보통 메일 서버, 웹 서버, DNS 서버 등 외부에서 접근되어야 할 필요가 있는 서버들을 위해 사용
• 외부 네트워크에서 DMZ로 가는 연결은 포트주소변환(PAT)를 통해 이루어진다.

참고

---

NAPT(포트주소변환)

• NAPT : 포트 번호도 변환함으로써 하나의 글로벌 IP주소로 복수의 컴퓨터 접속이 가능함, NAT테이블에 기록
• NAT는 공인 IP와 사설 IP를 변환해주지만 PAT는 포트번호를 바꿔줌
• 1개의 공인 IP로 많은 사설 IP들이 나가야할때 공인 IP는 그대로 두고 포트번호를 변경하여 사설 IP들이 통신이 가능하게 해줌
• PAT 장비는 하나의 공식 전화번화 비슷하게 작용. 외부에서는 같은 번호로 걸지만 그 안에서 내선 번호로 연결해주는 개념
• PAT를 사용하면 내부 호스트의 IP 주소 또는 포트 번호 대신 PAT 장비의 글로벌 IP 주소와 포트 정보를 이용한다.
• 장점 : NAT 테이블에 없는 변환은 변환되지 않기 때문에 내부 네트워크에 데이터가 흘러가지 않아 보안에 효과적
• 단점1: LAN 내부에서 외부로 공개하고 싶은 서버가 있을 경우 NAPT 테이블에 없기 때문에 미리 등록해줘야함(정적 NAPT)
• 단점2: FTP처럼 데이터 부분에도 송신처의 IP주소와 포트 번호가 기술되는 경우 통신이 불가능

NAT(네트워크 주소 변환)

• 사설 IP주소를 할당하는 이유는 내부 네트워크 내에서 TCP/IP를 사용한 통신을 하기 위해서임, 인터넷을 사용하지 않아도 필요함
• IP 주소를 변환(공유기를 생각하면 됨)
• 사설주소는 인터넷에 연결해도 외부에서 접근할 수 없기 때문에 퍼블릭 IP 주소로 변환하기 위해 필요함
• 정적(static) NAT : 내부 호스트 또는 서버가 외부로 패킷을 전달할 때 특정 IP주소로 변환하려 할 때 사용
• 동적(dynamic) NAT : 내부 다수의 호스트들이 외부로 패킷을 전송할 때 정해놓은 범위 내의 IP주소로 변환하고자 할 때 사용
• 한계 : 내부의 여러 호스트가 같은 포트번호를 사용하고 있다면 라우터는 요청에 대한 응답을 어느 호스트에게 되돌려 보내야 하는지 포트만 보고 판단하지 못함, 외부에서 온 데이터를 전달하지 못함(단순히 IP 주소만 변환함)
• 글로벌 IP주소의 수만큼만 동시 접속할 수 있음(사설IP주소와 글로벌IP주소가 1:1로 대응되어야 하기 때문)

포트 포워딩

• 라우터의 특정 포트 번호로 통신이 들어오면 내부의 특정 서버에 전달되도록 설정할 수 있는 방법