네트워크의 정의 및 역할
네트워크 개념
서버는 우리 몸의 눈,코,입,팔,다리 등 각각의 역할을 하는 기관으로 볼 수 있다.
네트워크는 여러 기관과 상호작용하기 위한 혈관으로 볼 수 있다.
- 네트워크(Network) : Net + Work, 그물을 짜는 행위 → 그물처럼 연결된 상태를 뜻함
- IT 네트워크의 시작: 1960년대, 미국에서 하나의 거대한 메인프레임의 성능을 다수의 사람이 동시에 활용할 수 있도록 하기 위해 여러 대의 단말기를 메인프레임과 전화선으로 연결함, 이것이 네트워크의 시작
- 단말기들을 메인 프레임(Main Frame)과 전화선으로 연결
- 메인 프레임의 성능을 단말기들이 나눠서 사용
- 1개 전화선으로 연결 시 동시에 사용 불가(예전에 전화와 컴퓨터 동시에 사용 불가한 원리와 동일)
- 각 단말기별로 전화선이 다른 경우 동시에 사용 가능
- 네트워크는 하나의 거대한 메인 프레임의 성능을 여러 대의 다른 단말기들이 나눠서 사용할 수 있게끔 하는 것
- ARPANET(Advanced Research Projects Agency Network)
- 미국 DARPA(Defense Advanced Research Projects Agency)에서 연구 목적으로 만든 네트워크로 패킷 교환 방식을 처음으로 사용한 네트워크이며, 현재 인터넷의 시초가 됨
※ DARPA: 미국 국방성 연구, 개발 부문을 담당한 방위 고등 연구 계획국
- APARNET: 패킷 교환 방식을 최초로 사용한 네트워크
- 회선 교환 방식(Circuit Exchange Method): 데이터를 교환하기 위해 1:1로 연결된 데이터 통로(회선)를 만들고 데이터 교환이 완료될 때까지 회선을 계속 사용하는 방식
- 데이터 전체를 한번에 전송하는 방식
- 패킷 교환 방식(Packet Exchange Method): 데이터를 패킷이라는 작은 단위로 나누고, 헤더라는 정보를 붙여 데이터를 교환하는 방식
- 헤더에는 송수신 포트번호, 패킷 순서 번호, 데이터 시작 위치, 한번에 전송할 수 있는 데이터의 양 등이 포함됨
- 패킷(Packet) = 소포라는 뜻, 패킷이라는 택배 물품에 헤더라는 송장을 붙여 보내는 개념
- 패킷 교환 방식(Packet Exchange Method): 필요한 만큼만 회선을 이용하며 같은 회선을 다른 사용자도 함께 사용할 수 있음, 패킷이 손상될 경우 데이터 전체를 다시 보내지 않고 손상된 패킷만 보내면 됨
네트워크 프로토콜과 계층
- 프로토콜(Protocol): 패킷을 전송하기 위한 규칙, 정해진 규칙을 따르기 때문에 통신이 가능해짐
- HTTP(HyperText Transfer Protocol): 웹 서버와 웹 브라우저가 패킷을 교환할 때 사용하는 프로토콜
- 이 외에도 DNS, FTP, SSL/TLS, TCP, UDP, SNMP, IEEE, ARP 등 매우 많은 프로토콜이 존재함
- 통신 프로토콜: 통신하기 위한 규칙
- 계층(Layer): 송신 기기와 수신 기기 사이에서 주고 받는 데이터는 각 계층 별로 처리됨
- 계층 별로 처리: 한 계층에서의 처리가 완료되면 임무를 다음 계층으로 전달
- 대표적인 2가지 계층: TCP/IP 참조 모델, OSI 참조 모델
- TCP/IP 참조 모델: 1970년대 미국 방위 고등 연구 계획국(DARPA)이 개발한 계층 구조 모델, 4개 계층으로 구성
※ TCP/IP 1계층은 링크 계층 or 네트워크 엑세스 계층으로 불린다.
- 업계에서 주로 사용하는 계층은 5계층 모델
- 계층 = Layer / 각 계층마다 L1, L2, L3, L4, L7으로 부름
- PDU: Protocol Data Unit, 네트워크 계층에서 처리하는 데이터 단위
- 데이터를 제어하기 위해 필요한 정보를 담은 헤더, 데이터 그 자체를 의미하는 페이로드(Payload)로 구분
- 각 계층 별로 PDU 명칭이 다름
- 4계층은 세그먼트(TCP), 데이터그램(UDP)로 구분됨
네트워크 기기
- 네트워크 기기: 계층 별로 존재하는 프로토콜에 따라 데이터를 전송하는 기기
- 각 계층 별로 동작하는 네트워크 기기가 다름
- L7 기기는 L1 ~ L7 전부 다 사용 가능하지만, 전체 계층에서 사용하기에는 부하가 발생하므로 L7 에서만 사용
- NIC(Network Interface Card): PC나 서버를 네트워크에 연결해주는 하드웨어 = 랜카드
- PC나 서버의 슬롯에 장착형, USB 포트형, 메인보드의 슬롯에 장착하거나 온보드로 부착된 형태가 있음
네트워크 기기 : L1
- 허브(Hub): 전달받은 패킷(비트)의 복사본을 포트에 연결된 다른 모든 기기로 전송, 브로드캐스팅과 비슷
- 연결된 기기들이 네트워크 대역폭(Bandwidth)을 나눠서 쓰기 때문에 데이터 전송 성능이 떨어짐
※ 대역폭: 네트워크 회선이 초당 처리할 수 있는 비트의 양, bps(bit per second)
- 대역폭이 100mbps인 회선으로 허브에 5대 PC를 연결하면 PC당 20mbps 대역폭만 사용
- AP(Access Point): 패킷을 전파로 바꿔서 송출하는 기기, 무선과 유선 사이의 다리 역할을 수행
- 무선 WiFi 네트워크 환경에 반드시 필요한 네트워크 기기
네트워크 기기 : L2
- MAC Address: Media Access Control Address, 컴퓨터들이 서로 데이터를 전송하기 위해 사용하는 물리적 주소로 NIC에 내장되어 있음. 그 기기만의 고유번호, 식별번호 등 기기를 구분하기 위한 주소로 사용됨
- MAC 주소: 랜카드에 저장되어 있는 고유의 식별번호(물리적 주소)
- 이더넷(Ethernet): 네트워크 환경에서 데이터를 주고 받기 위한 가장 대표적인 기술 규격, 1980년에 상용화됨
- UTP(Unshielded Twisted Pair) 케이블로 단말기와 네트워크 기기를 연결함 = 랜선
- UTP 케이블의 숫자가 커질수록 전송할 수 있는 데이터량이 많아짐
- L2 스위치(Switch): 단말기가 보낸 패킷(프레임)의 헤더에 있는 MAC Address를 보고 같은 네트워크의 다른 단말기로 패킷을 전송, 이더넷(Ethernet) 규격을 사용하기에 이더넷 스위치라고도 부름
- MAC Address Table: 포트번호와 MAC 주소를 저장한 테이블 = 컴퓨터의 MAC 주소가 등록되는 데이터베이스
네트워크 기기 : L3
- IP Address: Internet Protocol Address, 서로 다른 네트워크에 연결되어 있는 컴퓨터들이 데이터를 전송하기 위해 사용하는 논리적 주소로 OS상에서 설정한 주소임
- Public IP Address: 공인 IP 주소, 네트워크와 외부의 네트워크가 통신하기 위해 사용(아파트 이름)
- Private IP Address: 사설 IP 주소, 같은 네트워크 안에서 통신하기 위해 사용(아파트 동 호수)
- 라우터(Router): 단말기가 보낸 패킷(IP 패킷)의 헤더에 있는 IP Address를 보고 다른 네트워크의 다른 단말기로 패킷을 전송(라우팅)
- 라우팅 테이블(Routing Table): 네트워크상의 특정 목적지까지의 거리와 가는 방법등을 명시하고 있는 테이블
컴퓨터 네트워크에서 목적지 주소를 목적지에 도달하기 위한 네트워크 노선으로 변환시키는 목적으로 사용됨, 각 라우터의 라우팅 테이블은 모든 목적지 정보에 대해 해당 목적지에 도달하기 위해서 거쳐야 할 다음 라우터의 정보를 가지고 있음
- FPGA(Field Programmable Gate Array): 프로그래밍이 가능한 집적 회로 반도체, 용도에 따라 프로그래밍을 통해 기능을 변경할 수 있음 → 커스텀이 가능한 반도체
- 프로토타입 용도 혹은 AI, 암호화폐 채굴기, DAC(Digital-to-Analog Converter, 디지털 신호를 아날로그 신호로 변환시키는 장치), 데이터 센터 그래픽 가속기 등 시스템의 높은 처리 능력과 변화에 용이한 유연성이 요구되는 분야를 위해 소량 생산하는 반도체
- ASIC(Application-Specific Integrated Circuit): 특정 용도를 위해 설계된 주문형 집적회로 반도체
- 한번 용도에 맞게 제작하면 다시 기능을 프로그래밍하거나 수정할 수 없음
- 산업용 설비, 자동차 ECU(Electronic Control Unit), 의료장비, 비트코인 채굴기, 데이터 센터 TPU(TensorFlow Processor Unit), AMP(Amplifier)등 특정 목적을 위해 대량 생산하는 반도체
FPGA = 커스텀이 가능한 반도체
ASIC = 특정 용도에만 사용가능한 반도체
- L3 스위치(Switch): L2 스위치에 라우터 기능을 추가한 네트워크 기기, 다수의 포트가 있어 여러 단말기를 연결할 수 있으며 IP 패킷 라우팅도 가능
- MAC Address Table과 Routing Table을 조합한 정보를 FPGA, ASIC과 같은 패킷 전송 처리 전용 하드웨어에 기록한 다음 스위칭 혹은 라우팅 함
- 라우팅 테이블의 정보를 반도체에 전달하여 반도체에서 기록 후 라우팅 함 → 다른 네트워크로 데이터 전송 가능
- FPGA/ASIC 과 같은 반도체가 L3 스위치에 있어 데이터 처리 속도가 L2 스위치보다 훨씬 더 빠름, 고성능
네트워크 기기 : L4
- L4 스위치(Switch): IP주소와 포트 번호를 참조하여 트래픽을 분산해 서버로 전송하는 로드 밸런싱 기기
- 로드 밸런싱(Load Balancing): 들어오는 트래픽을 둘 이상의 서버로 분산해서 전송하여 부하를 분산하는 것
- 트래픽(Traffic): 서버와 네트워크 장치에서 일정 시간 내에 흐르는 데이터의 양
- 방화벽(Firewall): IP주소와 포트 번호를 참조하여 통신을 허가하거나 차단하는 기기
- 미리 정의된 보안 규칙에 따라 들어오고 나가는 트래픽을 제어할 수 있음
네트워크 기기 : L7
- L7 스위치(Switch): IP주소와 포트 번호 + 애플리케이션 콘텐츠 정보들을 참조해서 로드 밸런싱하는 기기
- 애플리케이션 콘텐츠 정보: URL, 파일명, 콘텐츠의 문자열 등
- L4 스위치 = IP + 포트번호 참조하여 부하 분산
- L7 스위치 = 애플리케이션 정보 참조하여 부하 분산
- 웹 방화벽(WAF: Web Application Firewall): 웹 애플리케이션 서버를 안전하게 보호하는 기기
- 클라이언트와 서버 사이에서 교환되는 데이터를 애플리케이션 레벨(7계층)에서 상세히 검사하고 조치함
- 블랙리스트, 화이트리스트, 웹 트래픽 분석 등 다양한 보안 기능 제공
- 블랙리스트: 리스트에 있는 IP는 제외하고 모든 통신 허용
- 화이트리스트: 리스트에 있는 IP만 통신 허용
- 웹 트래픽 분석: 사용자가 서버로 보내는 트래픽을 분석하여 정책에 따라 조치함
- XSS(Cross-Site Scripting): 애플리케이션에 악성 스크립트를 심어두고 사용자가 접속하면 공격해서 정보 갈취
- SQL Injection: 악성 SQL을 실행하여 데이터베이스 정보를 조작(데이터 수정 혹은 삭제)
네트워크 형태
- LAN(Local Area Network): 근거리 통신망, 가정이나 기업 내부 등 한정된 범위의 네트워크
- 한정된 범위 내 같은 네트워크 = L2 스위치 통신 = MAC 주소 사용하여 통신
- LAN(Local Area Network): 근거리 통신망, 가정이나 기업 내부 등 한정된 범위의 네트워크
- 클라이언트 기기와 L2 스위치로 구성
- WAN(Wide Area Network): 원거리 통신망, 물리적으로 거리가 매우 떨어진 곳의 네트워크를 연결
- 다른 네트워크와 통신 = L3 스위치 통신 = IP 주소 사용하여 통신
- 인터넷(Internet): 모든 컴퓨터를 하나의 통신망 안에 연결하고자 하는 International Network(다수의 WAN)
- 월드와이드웹(World Wide Web): 인터넷에 연결된 컴퓨터를 통해 사람들이 정보를 공유할 수 있는 공간
- WAN(Wide Area Network): 원거리 통신망, 물리적으로 거리가 매우 떨어진 곳의 네트워크를 연결
- LAN 환경에 L3 스위치를 추가해서 구성
- WAN 이 모여서 Internet 이 된다.
- VPN(Virtual Private Network): 인터넷 상에서 가상의 전용선을 만들어 통신할 수 있게 하는 기술
- 특정 네트워크들만을 위한 전용 WAN으로 Peer to Peer, 1:1로 연결하고 이 구간의 통신은 암호화함
- 기업 본사 LAN과 자사 LAN을 연결할 때 인터넷을 거치지 않고 이 두 네트워크만의 전용 WAN을 VPN으로 구성
- VPN을 사용하면 내 정보를 숨기고 특정 지역의 네트워크에 접속할 수 있음
- 네트워크 간에 전송되는 트래픽이 암호화되기 때문에 보안이 뛰어남
- VPN 사용 예시 #1: 터널베어라는 VPN을 사용해 한국에서 아르헨티나의 서비스에 접속 가능(TIDAL, NETFLIX 등)
- VPN 사용 예시 #2: 집 혹은 카페와 같은 외부에서 기업 내부의 애플리케이션(사내 그룹웨어)에 안전하게 접속 가능
- 카페에서 일반 인터넷 사용 시 기업 내부 애플리케이션 접근 불가
- DMZ(Demilitarized Zone): 비무장지대, 외부망(외부 네트워크)과 내부망(내부 네트워크)의 중간 지점
- 외부망에 있는 해커의 공격으로부터 기업의 중요한 서버와 클라이언트를 보호하기 위해 사용
- 외부에 서비스를 제공하면서 내부 네트워크를 보호하는 서브넷, 즉 외부에 오픈된 서버 영역
- DMZ 앞뒤로 방화벽이 설치됨(내부망/외부망)
- 내/외부 네트워크는 DMZ에 접속할 수 있지만, DMZ내의 컴퓨터는 오직 외부 네트워크에만 연결할 수 있다, 이는 DMZ 내의 호스트의 침입으로부터 내부 네트워크를 보호하기 위함이다.
- 내부망에서는 DMZ에 접근 가능하지만, DMZ에서는 내부망에 접근 불가
- 일반적인 LAN, WAN, DMZ 구성도
