서브넷마스크, IP 대역, VPN 정리

네트워크 & 보안 개념 정리

1. 서브넷마스크와 CIDR

• **서브넷마스크(Subnet Mask)**는 IP 주소를 네트워크 부분과 호스트 부분으로 나누기 위한 값입니다.
• 표기 방식: /24, /23 처럼 CIDR(Classless Inter-Domain Routing) 방식으로 자주 사용됩니다.
  • /24 = 255.255.255.0 → 호스트 254개 사용 가능
  • /23 = 255.255.254.0 → 호스트 510개 사용 가능
  • 호스트 수 계산 = 2ⁿ - 2 (n = 호스트 비트 수, 네트워크 주소/브로드캐스트 주소 제외)
• 즉, / 뒤 숫자가 작을수록 네트워크가 커지고, 클수록 쪼개져서 호스트 수가 줄어듭니다.

---

2. 공인 IP vs 사설 IP

• 공인 IP: 인터넷 상에서 고유하게 사용되는 주소 (예: 121.xxx.xxx.xxx)
• 사설 IP: 내부 네트워크에서만 사용하는 주소
  • 10.0.0.0 ~ 10.255.255.255
  • 172.16.0.0 ~ 172.31.255.255
  • 192.168.0.0 ~ 192.168.255.255
• 라우터/방화벽 장비가 NAT(Network Address Translation)을 통해 사설 IP ↔ 공인 IP 변환을 합니다.

---

3. VLAN (Virtual LAN)

• 스위치에서 포트 단위로 논리적으로 네트워크를 분리하는 기술.
• 같은 스위치/다른 스위치라도 VLAN ID가 같으면 같은 네트워크처럼 동작합니다.
• 보안이 중요한 부서는 VLAN 20, 일반 부서는 VLAN 10 이런 식으로 분리 가능.
• VLAN 간 통신은 라우터나 L3 스위치가 필요합니다.

---

4. VPN (Virtual Private Network)

• 멀리 떨어진 네트워크를 암호화된 터널로 연결하는 기술.
• 회사 본사 ↔ 지사, 본사 ↔ 공장 등을 연결할 때 사용.
• 종류:
  • IPSec VPN: 네트워크 계층(L3)에서 동작, 사설망처럼 연결됨. 보통 본사–지사 연동에 사용.
  • SSL VPN: 응용 계층(L7)에서 동작, 웹 브라우저/전용 클라이언트로 접속. 원격 근무자에게 자주 사용.

---

5. IPSec (IP Security)

• VPN을 구현하기 위한 핵심 프로토콜.
• IP 패킷 자체를 암호화/인증해서 안전하게 통신 가능.
• 두 가지 동작 모드:
  • 전송 모드: 패킷의 페이로드(데이터)만 암호화 (주로 개인 PC ↔ 서버)
  • 터널 모드: 전체 패킷(IP 헤더 포함)을 암호화 후 새 헤더 붙임 (Site-to-Site VPN에서 많이 사용)
• IPSec을 통해 본사와 공장, 지사 네트워크를 안전하게 묶을 수 있습니다.

---

6. FortiGate 방화벽 기본 정책

• FortiGate는 차세대 방화벽(NGFW) 장비.
• 주요 기능:
  • 방화벽 정책 (IPv4/IPv6 Policy)
  • VPN (IPSec, SSL)
  • NAT (VIP: 외부 → 내부, IP Pool: 내부 → 외부)
  • ISDB(Internet Service Database): 유튜브, 드롭박스, 오피스365 같은 서비스 단위 제어
  • DoS Policy, 트래픽 셰이핑 등 세부 보안 기능
• 실무에서 제일 많이 쓰는 건:
  1. IPv4 Policy (허용/차단 규칙)
  2. VPN (Site-to-Site, SSL VPN)
  3. NAT (포트포워딩, 공인IP 변환)

---

7. FortiGate 정책 예시

• 유튜브 차단
  • Source: 내부망 (192.168.10.0/24)
  • Destination: Any
  • Service: YouTube (ISDB)
  • Action: Deny
  • Schedule: 업무시간(09:00~18:00)
• Office365 허용, 개인 클라우드 차단
  • Office365 = Allow
  • Dropbox, Google Drive, Box = Deny
  • 정책 순서: 허용 → 차단 → 기본 허용