방화벽 구축 방식
방식 한줄 개념 최소 구성도(ASCII) 통과 원리 장점 주의/권장 용도 스크리닝 라우터 (Screening Router) 라우터 ACL로 1차 차단 Internet ─ [ACL Router] ─ IntranetIP/포트(헤더) 기반 필터링 단순·저비용·고성능 콘텐츠/앱 레벨 제어 약함. 소규모·간단 정책에 적합 베스천 호스트 (Bastion Host) 외부 노출 서비스용으로 강화된 서버 Internet ─ [Bastion] ─ Intranet필요한 서비스만 공개/프록시 특정 서비스만 안전하게 노출 하드닝·패치·로그 필수. 단독 사용 시 외곽 방어 한계 싱글 홈드 게이트웨이 (Single-Homed Gateway) NIC 1개인 애플리케이션 프록시 Internet ─ [ACL Router] ─ [Proxy(1NIC)] ─ IntranetL3 라우팅은 라우터, 앱은 프록시가 중계 구성 단순, 프록시로 세밀 제어 물리 분리 부족 → 반드시 ACL 라우터와 함께. 중간 보안 수준 듀얼 홈드 게이트웨이 (Dual-Homed Gateway) NIC 2개인 프록시/게이트웨이로 L3 분리 `Internet ─ [GW: NIC1 NIC2] ─ Intranet` IP 포워딩 금지, 프록시만 통행 네트워크 분리+앱 제어 동시 달성 스크린드 호스트 게이트웨이 (Screened Host) 스크리닝 라우터 + 베스천 조합 Internet ─ [ACL Router] ─ [Bastion/Proxy] ─ Intranet1차(ACL) + 2차(앱/프록시) 이중 방어, 운영 유연 DMZ 없음. 정책·운영 복잡도 상승 스크린드 서브넷 게이트웨이 (Screened Subnet, DMZ) 외부/내부 사이 DMZ를 두는 표준형 Internet ─ [외부FW] ─ DMZ(베스천들) ─ [내부FW] ─ Intranet구간별 최소권한 정책(외부↔DMZ↔내부) 보안성·격리 최상, 확장성 좋음 비용·복잡도↑. 기업·공공 표준 아키텍처 구성도 & 이해 포인트
1) 스크리닝 라우터
Internet ── [Router with ACL] ── Intranet
라우터 ACL만으로 외부 트래픽을 1차 차단
빠르고 저렴하지만, 콘텐츠/애플리케이션 심층 제어는 어렵습니다.
2) 베스천 호스트
Internet ── [Bastion/Proxy] ── Intranet
외부에 노출될 서비스(웹/메일/프록시)를 강화된 단일 지점으로 운영
패치·접근통제·로그/모니터링이 생명입니다.
3) 싱글 홈드 게이트웨이 (1 NIC)
Internet ── [ACL Router] ── [Proxy(1 NIC)] ── Intranet
물리적 분리는 약하므로 ACL 정책이 매우 중요합니다.
4) 듀얼 홈드 게이트웨이 (2 NIC)
Internet ── [Gateway: NIC1 | NIC2] ── Intranet
외부/내부를 물리적으로 분리하고, 모든 통신은 애플리케이션 프록시로만 통과
보안성↑, 대신 처리량·가용성 설계가 관건입니다.
5) 스크린드 호스트 게웨이트
Internet ── [Screening Router/ACL] ── [Bastion/Proxy] ── Intranet
라우터가 1차 차단, 베스천이 2차로 애플리케이션 제어
DMZ 없이도 이중 방어를 구현합니다.
6) 스크린드 서브넷 게이트웨이 (DMZ)
Internet ── [External FW] ── DMZ(웹/메일/프록시) ── [Internal FW] ── Intranet
외부 ↔ DMZ ↔ 내부를 분리해 구간별로 다른 정책 적용
공개 서비스는 DMZ, 핵심 자산은 내부망에 격리하는 정석 구조입니다.
상황별 추천 가이드
예산·규모 최소: 스크리닝 라우터
특정 서비스만 공개: 베스천 / 싱글 홈드 게이트웨이
네트워크 분리+앱 제어: 듀얼 홈드 게이트웨이
이중 방어 필요(비DMZ): 스크린드 호스트
기업 표준·확장성·보안성 최우선: 스크린드 서브넷(DMZ)
한 줄 정리
“DMZ(스크린드 서브넷)은 외부와 내부 사이에 완충지대를 만드는 개념. 공개 서비스는 DMZ에, 핵심 자산은 내부망에!”
- 약어 : NIC(Network Interface Card)
- 약어 : ACL(Access Control List)
