Firewall(DMZ) / VPC

Firewall(DMZ) / VPC이란?

---

DMZ는 일반적으로 회사 내부에 네트워크와 분리된 하위 네트워크에서 웹,DNS 이메일기능과 같은 공용서비스를 노출하는 네트워크이더

서브넷 분리의 주요 목적은 인터넷과 같은 신뢰할 수 없는 네트워크에 이러한 서비스를 제공하면서 내부 시스템을 보호하는것  DMZ 에 대한 서비스에 대한 외부 엑세스는 네트워크 에서 데이터를 뺴내거나 어떤식으로든 피해를 입히려는 악의적인 사람들 그들은 소프트웨어 취약성을 악용 다른 내부 시스템 에 대한 추가 공격을 시작할 수 있는 시스템으로엑세스 DMZ 또는 경계 네트워크 사설 네크워크에서 이러한 공용서비스를 격리 보안계층을 제공

 

세분화를 제어하는 필수 요소는 방화벽입니다 방화벽은 패킷 주소,포트,헤더 필드 또는 메시지 내용을 조사하는 일련의 규칙을 기반으로 트래픽을 허용 거부하는 서브넷 간의 트래픽을 필터링하는데 유용

 

DMZ를 만들기 위한 기본 방화벽 배포 아키텍퍼는 2계층 설계를 기반

ㄷ

DMZ 디자인은 두 개의 직렬 방화벽을 사용하며 그 사이에 DMZ가 있다 

1.설계에서 취약성으로 인해 방화벽이 손상되거나 어떻게든 잘못 구성되면 개인테트워크 공격에 노출될 수 있다 외부 네트워크와 사설 너트워크 사이에 두개의 방화벽이 있는 경우 이제 엑세스 하려면 두 개의 장치가 손상 두개의 서로 다른 방화벽 공급업체를 사용하여 더 많은 보안을 추가 발견된 익스플로잇이 다른 하나에 존재할 가능성이 낮습니다

---

Gcp세계

---

gcp에서 이러한 DMZ 설계를 구현하기위해서는 방화벽 창츠 VPC네트워크에 배포된 소프트웨어 어플라이언스 이며 서브네트워크 분리 대신 각 네트워크에 대해 서로 다른 VPC가

호스트 가상 머신 VM 으로 대체되고 서브넷만 사용하는 대신 격리되고 독립적인 네트워크 도메인인 전체 VPC네트워크 사용

 

글러벌 연결 가능성은 너트워크 설계의 큰 차별화 요소이자 이점이므로 서로 다른 지역 서브넷을 상호 연결하는 작업을 할 필요가 없다 전체 메시는 VPC내의 트래픽을 리디렉션하거나 가로챌 수 없다 DMZ 예를 들면 DMZ 서브넷과 프라이빗 서브넷이 서로를 볼 수 있고 SDN 라우팅을 재저의할 수 없기 떄문에 서브넷만 사용 하여 단일 VPC  에서 구현하는것은 불가능하다 방화벽이 내트워크간의 트래픽을 필털링 할 수 있으려면 네트워크가 서로 다른 VPC 에 있어야하고 방화벽 어플라이언스가 두 네트워크에 연결되어야한다

---

GCP 방화벽

---

GCP 방화벽은 기존 네트워크 방화벽과 비교할때 다른 차이점을 나타 난다 라우팅과 마찬가지로 방화벽은 SDN 스택에서 구현 된다

vM이 다른 트래픽에 도달하려면 방화벽이 동일한 서브넷 내에 있더라도 하나가 아닌 두개의 방화벽을 통과해야한다 

네크워크 외부에 서 VM으로 가는 트래픽도 항상 방화벽을 통과 모든 VM 이 자체 DMZ에 있는것과 같다