차례:
비디오: my history up until being nys emt 1998,(preceded by my run through of emergency room today) (십월 2024)
오늘날 비무장 지대 (DMZ)의 가장 좋은 예는 한국의 철저한 보호 구역입니다. 남북 경계의 한쪽에있는 지역으로, 각 국가가 우연히 상대방과의 전쟁을 시작하지 않도록하기위한 것입니다. 컴퓨팅에서 DMZ는 신뢰할 수없는 인터넷 세계를 조직의 내부 네트워크 외부로 유지하면서 외부 세계에 서비스를 제공한다는 점에서 개념이 유사합니다. 오랫동안 인터넷에 연결된 거의 모든 종류의 네트워크를 구축하는 모든 IT 전문가는 당연히 DMZ를 구성했습니다. 그러나 클라우드는이 모든 것을 변화 시켰습니다.
2017 년 기업의 추가 보안 조치
여전히 작동중인 DMZ가있는 경우 일반적인 네트워크 세그먼트 화 예입니다. 자세히 살펴보면 일반적으로 방화벽과 라우터의 조합이 있습니다. 대부분의 경우 DMZ는 에지 보안 장치 (일반적으로 방화벽)에 의해 생성 된 다음 다른 라우터 나 게이트를 내부 네트워크로 보호하는 방화벽에 의해 백업됩니다.
대부분의 조직은 더 이상 외부 세계로부터 자신을 보호하기 위해 DMZ가 필요하지 않지만 귀중한 디지털 제품을 네트워크의 나머지 부분과 분리한다는 개념은 여전히 강력한 보안 전략입니다. DMZ 메커니즘을 완전히 내부적으로 적용하면 여전히 유스 케이스가 있습니다. 한 가지 예는 귀중한 데이터 저장소, 액세스 제어 목록 또는 유사한 보물에 대한 액세스를 보호하는 것입니다. 권한이없는 잠재적 인 사용자가 액세스하기 전에 가능한 한 많은 추가 후프를 뛰어 넘기를 원할 것입니다.
DMZ 작동 방식
DMZ는 다음과 같이 작동합니다. 개방형 인터넷의 공포에 직면하는 에지 방화벽이 있습니다. 그 후 DMZ와 회사 LAN (Local Area Network)을 보호하는 다른 방화벽이됩니다. 그 방화벽 뒤에는 내부 네트워크가 있습니다. 이 중간 네트워크를 추가하면 실제 내부 네트워크에 도달하기 전에 악의적 인 콘텐츠를 물리 칠 필요가있는 추가 보안 계층을 구현할 수 있습니다. 여기에서 모든 것은 네트워크 액세스 제어뿐만 아니라 엔드 포인트 보호 제품군도 포함합니다.
첫 번째 방화벽과 두 번째 방화벽 사이에는 일반적으로 인터넷에서 사용할 수있는 서버 및 장치에 네트워크 연결을 제공하는 스위치가 있습니다. 또한 스위치는 두 번째 방화벽에 연결합니다.
첫 번째 방화벽은 내부 LAN 및 DMZ의 서버에 도달해야하는 트래픽 만 허용하도록 구성해야합니다. 내부 방화벽은 내부 네트워크 작동에 필요한 특정 포트를 통한 트래픽 만 허용해야합니다.
DMZ에서는 특정 포트의 트래픽 만 허용하고 특정 프로토콜 만 허용하도록 서버를 구성해야합니다. 예를 들어 포트 80의 트래픽을 HTTP (HyperText Transfer Protocol)로만 제한하려고합니다. 또한 서버가 작동하는 데 필요한 서비스 만 실행하도록 해당 서버를 구성하려고합니다. 방화벽을 통한 맬웨어 공격을 탐지하고 중지 할 수 있도록 DMZ의 서버에서 IDS (Intrusion Detection System) 모니터 활동을 모니터링 할 수도 있습니다.
내부 방화벽은 방화벽의 열린 포트를 통과하는 트래픽을 검사하고 침입 또는 맬웨어의 표시를 찾는 차세대 방화벽 (NGFW)이어야합니다. 이것은 네트워크의 왕관 보석을 보호하는 방화벽이므로 잠깐 쉴 곳이 아닙니다. NGFW 제조업체로는 Barracude, Check Point, Cisco, Fortinet, Juniper 및 Palo Alto 등이 있습니다.
DMZ 포트로서의 이더넷 포트
소규모 조직의 경우 여전히 DMZ를 제공하는 비용이 덜 드는 다른 방법이 있습니다. 많은 가정 및 소규모 비즈니스 라우터에는 이더넷 포트 중 하나를 DMZ 포트로 지정할 수있는 기능이 있습니다. 이를 통해 웹 서버와 같은 장치를 해당 포트에 배치하여 IP 주소를 공유 할 수 있지만 외부에서도 사용할 수 있습니다. 말할 필요도없이이 서버는 가능한 한 잠겨 있어야하며 필요한 서비스 만 실행해야합니다. 세그먼트를 정리하려면 해당 포트에 별도의 스위치를 연결하고 DMZ에 둘 이상의 장치를 가질 수 있습니다.
이러한 지정된 DMZ 포트를 사용하면 단점이 하나뿐이라는 단점이 있습니다. 이러한 라우터의 대부분에는 내장 방화벽도 포함되어 있지만 일반적으로 NGFW의 전체 기능 세트는 포함되어 있지 않습니다. 또한 라우터가 위반되면 네트워크도 위반됩니다.
라우터 기반 DMZ는 작동하지만 원하는만큼 안전하지 않을 수 있습니다. 최소한 두 번째 방화벽을 추가하는 것이 좋습니다. 이것은 약간의 추가 비용이 들지만 데이터 침해만큼 비용이 많이 들지 않습니다. 이러한 설정의 다른 주요 결과는 관리하기가 더 복잡하다는 것입니다.이 방법을 사용하는 소규모 회사에는 일반적으로 IT 직원이 없기 때문에 컨설턴트를 고용하여이를 설정 한 다음 관리 할 수 있습니다 때때로.
DMZ를위한 레퀴엠
- 2019 년 최고의 VPN 서비스 2019 년 최고의 VPN 서비스
- 2019 년을위한 최고의 호스팅 된 엔드 포인트 보호 및 보안 소프트웨어 2019 년을위한 최고의 호스팅 된 엔드 포인트 보호 및 보안 소프트웨어
- 2019 년 최고의 네트워크 모니터링 소프트웨어 2019 년 최고의 네트워크 모니터링 소프트웨어
앞에서 언급했듯이 아직 너무 많은 DMZ가 야생에서 실행되고 있지는 않습니다. 그 이유는 DMZ가 오늘날 대부분의 비즈니스 기능을 위해 클라우드에서 처리되고있는 기능을 채우기위한 것이기 때문입니다. 배포하는 모든 SaaS 앱과 호스팅하는 모든 서버는 외부를 향한 인프라를 데이터 센터와 클라우드로 이동하며 DMZ가 그 길을 따라 왔습니다. 즉, 클라우드 서비스를 선택하고 웹 서버가 포함 된 인스턴스를 시작하고 클라우드 공급자의 방화벽으로 해당 서버를 보호 할 수 있습니다. 어쨌든 모든 일이 일어나므로 내부 네트워크에 별도로 구성된 네트워크 세그먼트를 추가 할 필요가 없습니다. 또한 DMZ와 함께 사용할 수있는 다른 기능도 클라우드에서 사용할 수 있으며 그렇게하면 더 안전 해집니다.
그럼에도 불구하고 일반적인 보안 전술로는 완전히 실행 가능한 측정입니다. 방화벽 뒤에 DMZ 스타일 네트워크 세그먼트를 만들면 LAN과 인터넷 사이를 스쿼시 할 때와 같은 이점이 있습니다. 다른 세그먼트는 악의적 인 사용자가 침입하기 전에 침투해야 할 수있는 더 많은 보호를 의미합니다. 그들이 정말로 원하는 것. 더 많은 작업을 수행할수록 사용자 또는 위협 탐지 및 대응 시스템이 더 오래 탐지하고 대응해야합니다.
