TIL

DMZ 망 및 WAF? 방화벽이 있는 위치

하얀잔디 2026. 5. 8. 13:09

1. 외곽 방화벽 (Perimeter Firewall)

가장 일반적인 위치임. 인터넷에서 우리 회사 망으로 들어오는 입구에 딱 버티고 서 있음.

  • 위치: 인터넷 ↔ 라우터 ↔ [방화벽] ↔ 메인 스위치
  • 역할: "허락되지 않은 IP나 포트는 아예 우리 집 근처에도 못 오게 하겠다!"는 문지기 역할.
  • 비유: 아파트 단지 입구에 있는 차단기와 경비실 같은 존재임.

 


 

2. DMZ 구간 방화벽

DMZ가 어딘가 헷갈리지만 개발자라면 꼭 알아야 할 위치임.

웹 서버처럼 외부에서 접속해야 하는 애들을 따로 모아둔 구역(DMZ)을 지킴.

 

  • 위치: 외곽 방화벽 ↔ [웹 서버(DMZ)] ↔ 내부 방화벽 ↔ [DB 서버(내부망)]
  • 구조: 보통 방화벽을 두 번 거치게 설계함.
    • 1차 방화벽 뚫려도 DB가 있는 진짜 내부망까지는 못 들어오게 중간에 한 번 더 막는 거임.
  • 비유: 아파트 현관문은 열어줘도, 금고가 있는 안방문은 한 번 더 잠그는 것과 같음.

 


3. 호스트 방화벽 (OS 레벨)

물리적인 장비가 아니라, 내가 띄운 VM(서버) 내부에 설치된 소프트웨어 방화벽임.

  • 위치: 서버 OS 안 (Linux의 iptables, nftables, Windows의 방화벽 등)
  • 역할: 네트워크 장비가 다 막아줘도, 혹시 모르니 서버 스스로가 "난 80, 443 포트 말고는 다 닫을 거야"라고 선언하는 최종 수비수.
  • 클라우드: AWS의 Security Group(보안 그룹)이 바로 이 역할을 논리적으로 처리해 주는 거임.

 


4. WAF (Web Application Firewall, L7 방화벽)

아까 L7 이야기했지? 이건 단순 포트가 아니라 데이터 내용을 검사하는 특수 방화벽임.

  • 위치: 보통 L7 로드밸런서(ALB) 앞단에 위치함.
  • 역할: "포트는 열려있지만, 패킷 내용을 보니 SQL Injection 공격이네? 이건 차단!"
  • 특징: 일반 방화벽(L4)은 통과시켜 줄 '정상 포트' 요청이라도, 알맹이가 나쁘면 L7 방화벽이 잡아냄.

 


 요약하자면

  1. 네트워크 방화벽: 라우터와 스위치 사이 (거대한 성벽)
  2. 내부 방화벽: 웹 서버와 DB 서버 사이 (내부 칸막이)
  3. 호스트 방화벽: 서버 OS 내부 (개인 방패)
  4. WAF: 로드밸런서 근처 (내용물 검사기)