DMZ는 비무장 지대를 의미합니다. 그것은 조직의 내부 네트워크와 외부 또는 비 소유권 네트워크 사이에서 안전한 중간 네트워크 또는 경로 역할을 하는 호스트 또는 네트워크를 정의합니다. 이를 네트워크 경계 또는 경계 네트워크라고 합니다.
DMZ는 일반적으로 외부 노드 및 네트워크와의 상호 작용 및 악용 및 액세스로부터 내부 네트워크를 보호하기 위해 구현됩니다. DMZ는 논리적 하위 네트워크이거나 내부 및 외부 네트워크 간의 보안 브리지 역할을 하는 물리적 네트워크일 수 있습니다.
DMZ 네트워크는 내부 네트워크에 대한 액세스가 제한되어 있으며 일부 통신은 내부적으로 공유되기 전에 방화벽에서 스캔됩니다. 공격자가 조직의 네트워크를 침해하거나 공격하도록 설계한 경우 성공적인 시도는 배후의 핵심 네트워크가 아닌 DMZ 네트워크의 협상으로 이어집니다. DMZ는 방화벽보다 더 안전하고 안전하게 취급되며 프록시 서버로도 작동할 수 있습니다.
DMZ 구성에서 LAN에 있는 대부분의 컴퓨터는 인터넷과 같은 공용 네트워크와 관련된 방화벽 뒤에서 실행됩니다. 여러 컴퓨터가 방화벽 외부인 DMZ에서도 실행됩니다. 외부에 있는 컴퓨터는 트래픽을 가로채고 브로커는 나머지 LAN을 요청하여 방화벽 뒤에 있는 컴퓨터에 대해 더 많은 방어 계층을 삽입합니다.
기존 DMZ를 사용하면 방화벽 뒤에 있는 컴퓨터가 DMZ로 아웃바운드 요청을 시작할 수 있습니다. DMZ에 있는 컴퓨터는 프록시 서버와 마찬가지로 인터넷이나 일부 공용 네트워크에 응답, 전달 또는 재발행해야 합니다. 일부 DMZ 구현은 단순히 프록시 서버를 DMZ 내부의 컴퓨터로 사용합니다.
LAN 방화벽은 DMZ에 있는 컴퓨터가 수신 요청을 받아들이지 못하도록 합니다. DMZ는 가정용 광대역 라우터에서 자주 사용되는 특성입니다. 그러나 어떤 경우에는 이러한 특성이 진정한 DMZ가 아닙니다. 광대역 라우터는 일반적으로 더 많은 방화벽 규칙을 통해서만 DMZ를 구현하므로 들어오는 요청이 방화벽에 직접 나타납니다.
DMZ를 생성할 때 조직은 시스템의 요소이지만 네트워크에 직접 연결되지 않은 다른 네트워크 세그먼트 또는 서브넷을 삽입합니다. DMZ를 삽입하면 방화벽에서 세 번째 인터페이스 포트를 사용할 수 있습니다. 이 구성을 통해 방화벽은 NAT(Network Address Translation)를 사용하여 일반 네트워크와 격리된 장치 모두와 데이터를 전송할 수 있습니다. 방화벽은 일반적으로 격리된 시스템을 보호하지 않으므로 인터넷에 더 직접 연결할 수 있습니다.
DMZ 구성은 외부 공격으로부터 보안을 지원하지만 일반적으로 패킷 분석기를 통한 스니핑 통신이나 이메일 스푸핑과 같은 스푸핑을 포함한 내부 공격과 관련이 없습니다.