DMZ와 내부망을 분리하려고 합니다.
내부망에는 별도 내부 방화벽을 두어 네트워크를 처리하려고 구상중인데요.
여기서 L3를 추가하는 것과 없는것의 차이가 궁금합니다.
(1) L3가 G/W 역할을 하고 F/W은 정책만 태우는 역할
(2) F/W이 G/W 역할
위 두 가지 구성을 비교했을 때 둘 다 네트워크 통신에는 문제가 없음을 알고 있습니다만 L3가 있는 것과 없는 것의 실질적인 차이가 궁금합니다. L3 하단에서의 망 추가는 고려할 필요가 없어 확장성 측면은 고려하지 않아도 됩니다.
(굳이 G/W 역할을 하는 네트워크 장비를 따로 둘 필요가 있을지?)
7개의 답변이 있습니다.
DMZ 및 내부 네트워크가 포함된 네트워크 아키텍처를 설계할 때 L3 사용 여부는 네트워크 크기, 복잡성, 원하는 보안 수준, 성능 등 다양한 요소에 따라 결정할 수 있습니다.
설치할 때,
1.L3는 MAC 주소 기반 스위칭 외에도 IP주소 기반 트래픽을 라우팅 할 수 있습니다. 즉, 네트워크 계층 정보를 기반으로 전달 결정을 내릴 수 있어 다양한 네트워크 세그먼트 간의 트래픽 흐름에 대한 유연성과 제어 기능을 제공합니다.
2.L3를 사용하면 스위치에서 직접 VLAN 간 라우팅을 수행할 수 있습니다. 이를 통해 외부 장치를 통해 라우팅할 필요없이 VLAN 간 통신이 가능해 잠재적으로 성능이 향상되고 대기 시간이 줄어듭니다.
3.L3 자체내에서 라우팅 기능을 통합하여 네트워크에서 추가 라우팅 장치의 필요성을 줄여 네트워크를 단순화 할 수 있습니다.
4.특히, 고성능 라우팅이 필요한 중대형 네트워크에서 VLAN간 라우팅을 위해 기존 라우터를 사용하는 것보다 확장성이 더 뛰어난 경우가 많습니다.
설치하지 않을 때,
1.L3가 없으면 일반적으로 VLAN간 라우팅 및 DMZ와 내부 네트워크 간의 방화벽을 위해 라우터를 사용하게 됩니다. 이는 특히 복잡성이 덜한 소규모 네트워크의 경우 간단한 설정이 될 수 있습니다.
2.DMZ와 내부 네트워크 간의 라우팅에 전용 라우터를 사용하면 보안 정책 및 ACL을 세부적으로 제어할 수 있어 트래픽을 보다 구체적으로 필터링하고 검사할 수 있습니다.
3.경우에 따라 라우팅 기능을 위해 별도의 라우터를 사용하면 L3가 제공할 수 있는 것보다 라우팅 프로토콜, VPN 지원 및 기타 고급 기능 측면에서 더 많은 유연성을 제공할 수 있습니다.
기본적으로 L3 라우터는 방화벽 상단에 위치하는게 정석입니다.
내부망 : L3 - FW - L2 - 내부 FW - L2 이런식으로 구성을 합니다.
외부망 : L3- FW - L4 - 서버 이런식으로 구성이 됩니다.
L3는 보통 최상단 라우터로 많이 쓰고 중간 중간에는 L2나 백본정도를 쓰지 L3를 GW로 쓰진 않습니다.
오히려 아무런 기능이 없는 FW이 L3보다 더 비용이 저렴하기 때문에;;
네트워크는 같은 기능이면
심플하게
네트워크 구성이...
보통
L3(router) - FW - (내부망) - core FW - L2
L3(router) - FW - (DMZ) - WAF - L2
이런 형태가 일반적일텐데요.
1안도 그렇고... 2안도 그렇고...?? ㅎㅎㅎ
1안을 조금 잘못 그린게 아닐까요..?
아래와 같이 수정한 연결도 처럼 방화벽들과 상위 네트워크를 통합 연결시키기 위해 필요한 스위치를 둔다는 걸 잘못 그린것이 아닐까 하는 생각이 드네요.
1안도, 2안도...
왜 저렇게 연결을 했을까 하는 느낌만 드네요.
1안과 2안으로 구성하는건 이해 하겠는데요
저렇게 구성하면 방화벽 낭비 아닐까요?
방화벽 이중화를 하고 하단 L3 - DMZ 망과 L3- 내부망 이렇게 구성해도 될것 같습니다.
내부망과 DMZ 서비스가 복잡하지 않는다면요
스위치가 없으먄 방화벽 4개를 크로스로 묶어야 하지
않나요? 만일 상단 하나 하딘 하나기 동시에 죽는다면..
차니 | 약 한 달 전
그런데 방화벽에서 지원이 되는지 모르겠네요.