일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- ansible
- Spring
- 소켓
- AOP
- 액세스회선
- IntelliJ
- gradle
- 방화벽
- container
- DevOps
- LAN어댑터
- jdk
- STREAM
- docker
- tomcat
- Set
- 라우터
- Java
- Jenkins
- post
- cloud
- map
- sonarQube
- 허브
- 캐시서버
- Collection
- JPA
- mybatis
- Pipeline
- Linux
- Today
- Total
거북이-https://velog.io/@violet_evgadn 이전완료
웹 서버 설치 장소 본문
사내에 웹 서버 설치
◎ 라우터에 직접 연결
프로바이더의 NOC 및 POP 안에 있는 라우터를 통해 패킷이 중계되다 보면 결국 웹 서버와 연결된 프로바이더의 POP까지 패킷이 중계될 것이다.
이때 인터넷(프로바이더의 네트워크)을 빠져나와 웹 서버에 패킷이 도착하는 여정은 서버의 설치 장소에 따라 약간 다르다.
가장 간단한 웹 서버 설치 방식은 위 이미지와 같이 액세스 회선을 통해 POP와 웹 서버를 직접 연결시키는 것이다.
패킷은 단순하게 POP 라우터 → 액세스 회선 → 서버 측 라우터 → 웹 서버로 전달되며 웹 서버에 도착할 것이다.
예전에는 이런 형태로 서버를 설치하는 경우가 많았으나 현재 이 방법은 주류에서 밀려났다.
그 이유는 2가지가 존재한다.
먼저 글로벌 IP 주소의 부족이다.
만약 이 방식으로 웹 서버와 POP를 연결한다면 웹 서버에는 글로벌 IP 주소가 할당되어야 한다. 여기까지는 문제가 없는데, 문제는 사내 LAN에 설치된 기기 모두에게 글로벌 IP 주소가 할당되어야 한다는 점이다.
즉, 웹 서버 뿐 아니라 사내 LAN에 존재하는 클라이언트 PC에도 글로벌 IP 주소가 할당되어야 한다는 것이다.
간단히 말하자면 인터넷 접속용 라우터 없이 개인 PC에 글로벌 IP 주소를 할당한 상황인 것이다.
할당할 글로벌 IP 주소가 부족한 현재 네트워크 상황에선 이 형태를 선택하기 어렵다.
또한 보안성의 이유도 존재한다.
이전에 인터넷 접속용 라우터 없이 개인 PC와 BAS를 연결하는 상황에서 짧게 설명했는데 만약 프로바이더와 웹 서버를 직접 연결할 경우 패킷이 그대로 웹 서버에 도착할 수 있으므로 악의적인 공격에 취약해질 수 있다.
물론 악의적 공격에 견딜 수 있도록 서버 자체의 방어를 강화할 수도 있다.
하지만 이 경우 설정 실수 등으로 보안 구멍이 발생할 수 있는데 이 보안 구멍을 찾지 못하거나 방치 상태로 놔둘 경우 보안 구멍이 무방비 상태가 되어 버린다.
사람은 언제나 실수를 하기 때문에 보안 구멍을 완전히 막기 어렵고, 이런 점을 생각할 때 인터넷 측면에서 보면 방치된 상태로써 웹 서버를 설치하는 것은 좋은 방법이 아니다.
◎ 방화벽으로 분리하여 설치
현재는 지금 설명할 방화벽을 두어 웹 서버를 설치하는 방법이 일반회되었다.
방화벽은 성의 수문장 같은 역할을 한다.
방화벽은 특정 서버에서 동작하는 애플리케이션에 액세스하는 패킷만 통과시키고 그 외의 패킷을 차단하는 역할을 한다.
외부에서의 액세스가 허가되지 않은 애플리케이션으로 접근하는 패킷은 방화벽에서 차단시키므로 애플리케이션에 보안 구멍이 있더라도 공격용 패킷이 도착하지 않을 것이다.
물론 방화벽을 사용하더라도 외부에서의 액세스를 허가한 애플리케이션 자체에 보안 구멍이 있다면 공격받을 위험성이 남아있다.
보안 쪽을 공부했다면 SQL Inejction이라는 용어를 들어봤을 텐데, 이는 모두에게 열린 공개용 서버의 애플리케이션에 SQL 구문을 Request로 보내 공격을 수행하는 것이다.
공개용 서버는 모든 사용자가 사용할 수록 열어둔 서버이기 때문에 만약 애플리케이션 자체에 보안 구멍이 있는 경우는 막아줄 수 없는 것이다.
보안이 전부 무방비 되는 것보다는 위험성이 크게 낮아지기 때문에 방화벽이 의미가 없지는 않다.
예를 들어 사내에서만 사용하는 애플리케이션의 경우 방화벽을 통해 외부로부터의 접근을 막으면 보안 구멍을 신경 쓰지 않아도 사내에서 공격을 시도하는 게 아닌 이상 문제가 없을 것이다.
단지 최근에는 방화벽 구조를 빠져나가는 공격 수법이 많이 출현되었으므로 외부에 공개된 애플리케이션의 경우 부정 침입 검사, 바이러스 검사, 검역 네트워크 등의 구조를 함께 사용하는 것이 보통이다.
데이터센터에 웹 서버를 설치하는 경우
이는 프로바이더 등이 운영하는 데이터센터라는 시설에 서버를 설치하거나 프로바이더가 소유하는 서버를 빌려쓰는 형태로 운영하는 경우이다.
데이터 센터는 프로바이더의 NOC에 직접 접속되어 있거나 프로바이더들이 상호 접속하는 IX와 직접 연결되어 있다.
데이터 센터는 인터넷의 중심 부분에 고속 회선으로 접속되어 있으므로 여기에 서버를 설치한다면 고속으로 액세스가 가능해질 것이다.
이 방법은 서버에 대한 액세스가 증가했을 때 효과적인 방법이다.
또한 데이터센터는 내진 구조로 되어 있거나 자가 발전 장치가 비치된 건물에 설치되는 경우가 많고 24시간 입/퇴실을 관리하는 곳도 많으므로 사내에 설치하는 것보다 안정성이 높다.
추가로 데이터센터는 기기의 가동 상태 감시, 방화벽 설치 운영, 부정 침입 감시 등의 부가 서비스를 제공하는 경우도 있어 안정성이 높은 웹 서버 설치 방식이다.