history

VPC(Virtual Private Cloud)

- 사용자에게 제공하는 가상 네트워크 사설 망.

- VPC를 적용하면 EC2 인스턴스 간의 네트워크 복잡성을 줄일 수 있으며, 각 각 네트워크 환경의 독립적인 설정이 가능해진다.

Subnet

- VPC 내에서 더 작은 범위로 나눈 것

- 더 많은 네트워크를 구성하기 위한 목적

- AWS의 가용영역에 의해 subnet이 나눠진다.

- 인터넷과 Public Access가 가능하면 puplic subnet, 불가능하면 private subnet

Router

- 라우터란 둘 혹은 그 이상의 네트워크와 네트워크 간 데이터 전송을 위해 최적 경로를 설정해주며 데이터를 해당 경로를 따라 한 통신망에서 다른 통신망으로 통신할 수 있도록 도와주는 인터넷 접속 장비이다.

CIDR 

- Classless Inter-Domain Routing(CIDR)로 클래스 없는 도메인 간 라우팅 기법으로 IP주소를 할당하는 최신 방법

-  ip 주소 뒤에 /로 구분하고, 서브넷 마스크의 비트수를 적어 표시하는 방법 

- ex) 10.0.0.16/16

NETMASK

- 네트워크 주소 부분의 비트를 1로 치환한 것이 netmask

- IP 주소와 netmask를 and 연산하면 네트워크 주소를 얻을 수 있다.

Routing Table

- 네트워크 이동에 대한 이정표

- 상위 그림의 Subnet A에 존재하는 인스턴스들에 대한 네트워크 요청은 로컬(local)을 찾게 되어 있다.

- 하지만 외부로 나가는 요청은 인터넷 게이트웨이(igw-id)가 대상이 된다.

Internet Gateway

- 인터넷과 연결해주는 중간 매개체

- 라우팅 테이블에서 상위부터 매칭되는 IP에 대한 타깃을 찾고, 없으면 가장 마지막 igw ip를 찾게 된다.

NAT Gateway

- private subnet이 인터넷과 연결하기 위한 아웃바운드 instance

- private network가 외부에서 요청되는 인바운드는 필요 없더라도 인스턴스의 펌웨어나 혹은 주기적인 업데이트가 필요하여 아웃바운드 트래픽만 허용되야할 경우가 있다. 이때 퍼블릭 서브넷상에서 동작하는 NAT 게이트웨이는 private subnet에서 외부로 요청하는 아웃바운드 트래픽을 받아 인터넷 게이트웨이와 연결한다.

NACL (Network ACL) 과 보안 그룹

- 네트워크 ACL과 보안그룹은 방화벽과 같은 역할을 하며 인바운드 트래픽과 아웃바운드 트래픽 보안정책을 설정할 수 있다.

- 먼저 보안그룹은 Stateful 한 방식으로 동작하는 보안 그룹은 모든 허용을 차단하도록 기본 설정되어있으며 필요한 설정은 허용해주어야 한다. 

- 네트워크 ACL은 Stateless하게 작동하며 모든 트래픽을 기본 설정되어있기 때문에 불필요한 트래픽을 막도록 적용해야 한다. 서브넷 단위로 적용되며 리소스 별로는 설정할 수 없다. 네트워크 ACL과 보안 그룹이 충돌한다면 보안 그룹이 더 높은 우선순위를 갖는다.

https://medium.com/harrythegreat/aws-%EA%B0%80%EC%9E%A5%EC%89%BD%EA%B2%8C-vpc-%EA%B0%9C%EB%85%90%EC%9E%A1%EA%B8%B0-71eef95a7098

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_Subnets.html

간단하게 서로 다른 대역의 LAN을 연결 시켜주는 장치

OS 2계층 (데이터)에 있는 여러개의 네트워크 세그먼트를 연결한다.

https://zetawiki.com/wiki/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC_%EB%B8%8C%EB%A6%AC%EC%A7%80

바이트 순서

바이트 순서는 해당하는 OS 시스템이 내부적으로 데이터를 표현하는 방법을 의미한다.

그렇기 때문에 모든 시스템의 데이터 표현방식이 같지 않다.

표현방식에는 2가지 방식이 존재한다.

Little Endian, Big Endian

시스템이 내부적으로 데이터를 처리하는데 Big-Endian을 사용하느냐 Little-endian을 쓰느냐는 시스템의 CPU에 따라 달라진다.

이것을 호스트 바이트 순서라고 한다.

0x12345678 의 32비트 데이터를 표현

Big Endian : 0x12 0x34 0x56 0x78

낮은 주소 -> 높은 주소

Little Endian : 0x78 0x56 0x34 012

낮은 주소 -> 높은 주소

그렇기 때문에 빅 엔디안을 쓰는 CPU와 리틀엔디안을 사용하는 CPU가 데이터 통신을 하게 되면 문제가 발생할 수 있다.

네트워크 바이트 순서

네트워크 바이트 순서는 Big Endian 방식만을 사용한다.

따라서 Little Endian을 사용하는 경우  Big Endian 방식으로 데이터를 변경해서 전송해야 하며 수신한 데이터에 대해서 역순으로 조합해야 한다.

또한 포트와 주소는 항상 네트워크 바이트 순서 규칙을 사용하여 소켓 함수를 호출 할 때 지정된다.

바이트 순서 전환

h : host byte order

n : network byte order

l : long(32bit)

s : short(16bit)

일반적으로 4byte의 long  타입은 IP 변환에 사용되며, 2byte의 short 타입은 포트 변환에 사용된다.

>>CPU is Intel

>>Host 12345678

>>Network Byte Order 78563412

>>Port 3456

>>Network Byte Order 5634

JAVA

자바에서는 기본적으로 부호없는 정수 (Unsigned int)는 존재하지 않으며 정수를 표현할 때 빅 엔디안을 따른다.

그렇기 때문에 다른 플랫폼에서 사용한 데이터의 네트워크 바이트 순서 전환없이 리틀 엔디안의 데이터를 받는다면, 빅 엔디안으로 변경할 필요가 있다.

(애초에 네트워크 바이트 순서의 빅 엔디안으로 사용하는 것이 좋을 것이다.)

참고 : http://iblog.or.kr/hungi/it/server/network/2056

3-Way Handshake

서버와 클라이언트간의 TCP 연결 단계에서 신뢰성 있는 연결을 하게 된다.

이 때 데이터의 정확한 전송을 보장하기 위한 세션을 성립(Establish) 단계를 위해 3-Way Handshake 방식을 사용하게 된다.

1-1)client는 TCP SYNchronize 패킷을 server로 전송합니다.

4-Way Handshake

4-way handshake는 클라이언트와 서버의 통신을 종료하기 위해서 사용된다.

1) 클라이언트가 연결을 종료하겠다는 FIN패킷을 전송

2) 서버는 세그먼트A를 확인 후 클라이언트에게 ACK패킷을 발송한 후, 자신의 통신이 끝날 때까지 대기(TIME-WAIT)한다. 이때, 클라이언트는 서버의 FIN패킷을 대기(FIN-WAIT-2)한다.

3) 서버의 통신이 끝나서 종료할 준비가 되었다면, 클라이언트에게 FIN패킷 전송한다.

4) 클라이언트는 서버에 ACK패킷을 전송하고 서버는 ACK 패킷을 받는다.

- 서버에서 FIN패킷을 발송하기 전에 전송한 패킷이 라우팅 지연이나 패킷 유실로 인한 재전송 등으로 FIN패킷보다 늦게 도착하는 상황이 발생할 수 있다.

- 클라이언트가 세션을 종료한 후, 뒤늦게 도착하는 패킷이 있다면 이 패킷은 드랍되고 데이터는 유실된다.

- 이런 현상에 대비하여 클라이언트는 서버로부터 FIN패킷을 수신하더라도 일정시간(디폴트 240초) 동안 세션(session)을 남겨놓고 잉여 패킷을 기다리는 과정을 거치는데, 이 과정을 TIME-WAIT라고 한다.

※ 왜 3 way-handshake 와 4-way handshake 방식을 사용할까?

: TCP는 4layer에서 수행되며 신뢰성 있는 통신이다.  클라이언트와 서버간의 연결/종료는 데이터의 정확한 전달만큼 중요한 단계이다.

클라이언트-서버간 서로 SYN과 ACK 패킷을 통해 연결 요청에 대해 물어보고, FIN과 ACK 패킷을 통해 서로간의 통신중단에 대해 물어보는 과정이다.

참고: http://www.tcpipguide.com/free/t_TCPConnectionEstablishmentProcessTheThreeWayHandsh-3.htm

TCP Packet(Segment) 

1)  Sourse/Destination Port Number (각 16 비트)             

 - 데이터를 생성한 애플리케이션에서 사용하는 포트번호

 - 목적지 애플리케이션에서 사용하는 포트번호

2) Sequence number (32 비트)             

 - 전송되는 데이터의 가상 회선을 통해 데이터의 모든 바이트에는 고유한 일련번호가 부여된다.

 - 네트워크가 불안하여 패킷을 분실, 지연 등으로 세그먼트가 순서가 어긋나게 도착 할 수 있기 때문에 sequence number를 이용하여 데이터를 올바른 순서로 재배열 할 수 있다.

3) acknowledgement number (32 비트)             

- 수신하기를 기다리는 다음 바이트 번호 

- 마지막 수신성공 번호 +1 .. 순서로 할당

9)  Urgent Pointer (16 비트)

- TCP 세그먼트에 포함된 긴급 데이터에 대한 마지막 바이트에 대한 일련번호

 현재 일련번호(sequence number)로부터 긴급 데이터까지의  바이트 오프셋(offset)
        . 해당 세그먼트의 일련번호에 urgent point 값을 더해 긴급 데이터의 끝을 알수있음

참고자료: http://www.ktword.co.kr/abbr_view.php?m_temp1=1889

OSI 7 Layer (Open System Interconnection) 

기종이 다른 컴퓨터간의 통신시 네트워크 구조에 상관없이 개방형 통신을 할 수 있도록
국제표준화기구(ISO)에서 개발한 모델.
네트워크를 이루는 구성요소들을 계층적 방법으로 나누고 각 계층의 표준을 정한 것.

OSI 모델의 목적은 기본적인 하드웨어와 소프트웨어의 논리적인 변경없이 시스템간의 통신을 개방하는 것.

TCP/IP 4 layer 가 먼저 나왔으며, 향후 OSI 7 layer로 발전하였다. (프로토콜에서 모델로 발전)

그렇다고 해서 TCP/IP 가 OSI 계층의 기능을 수행하지 못하는 것은 아니다.

해당 층에 수행하는 기능을 각각 비교해보자.

<OSI 7 Layer 와 TCP/IP 4 Layer>

스위치: 허브와 같이 포트에 들어온 신호를 다른 포트에 전송하는 기능

         허브는 모든 포트에 전송을 하지만 스위치는 프레임을 필터링 함

         MAC(물리주소, 랜카드 하드웨어)주소를 이용, 데이터를 보내고자 하는 포트에만 신호 전달

         충돌 도메인이 나뉘어짐

라우터: Routing protocol을 사용하여 IP Packet이 원하는 목적지까지 원할하게 갈 수 있도록 경로를 정해주는 역할을 하는 장비를 지칭하는 것.

-  스위치와 브릿지, 허브를 통해서 LAN을 구성 후 외부와 연결하기 위해서는 라우터가 필요 

-  한 네트워크에서 다른 네트워크로 패킷을 전달하기 위해 사용

-  3계층이기때문에 IP주소를 사용해서 전달
-  라우터가 다른장비와 틀린점은 충돌도메인과 브로드캐스트 도메인을 분리

게이트웨이 : l4 이상에서만 작동하며, 컴퓨터 네트워크에서 서로 다른 통신망, 프로토콜을 사용하는 네트워크 간의 통신을 가능하게 하는 컴퓨터나 소프트웨어를 두루 일컫는 용어, 즉 다른 네트워크로 들어가는 입구 역할을 하는 네트워크 포인트이다. 특정 장비가 아니라 네트워크를 할때 노드에서 어디로 전송해야 할지를 나타내는 곳. 라우터나 스위치등의 장비가 될 수 있음

방화벽

- 방화벽은 네트워크 packet 중 network protocol의 tcp/ip layer에서 ip와 port 정보를 갖고 있으며 방어한다.

 · 외부 네트워크(인터넷)로부터 내부 시스템을 보호

  - 문제 있는 트래픽이 들어오는 것을 제한(필터링)하는 일종의 라우터

 · 방화벽의 설치위치: 외부망과 내부망(사내망)의 연결통로에 설치

 · 구현방식: 대부분이 라우터로써, 통합 구현

=> 네트워크 상에 흘러다니는 패킷을 검사하고 외부의 접근은 제한한다.

방화벽 역할

 · 침입 차단(Firewall) 역할

  - IP주소 및 포트에 의거한 침입 차단 기능 수행

 · 침입방지(IPS) 역할

  - 다양한 위협에 대처하기 위해, 수 많은 다기능 침입방지 기능들이 추가적으로 수행됨

 · 가상사설망(VPN) 역할

  - 정보의 비밀성 및 무결성에 촛점을 두고 수행

인바운드 / 아웃바운드 규칙

인바운드 

 - 서버 내부로 들어오는 여러 정보 ( IP / port / host / protocol / packet ....)

 - windows 기본 설정 ( 모든 접속 차단)

 - 컴퓨터로 들어오기 시작하는 모든 데이터

아웃바운드 

 - 외부로 송출하려는 정보

 - windows 기본 설정 ( 모든 접속 허용)

 - 컴퓨터에서 나가기 시작하는 모든 데이터

Proxy

proxy (프록시)는 단어 그대로 '대리인'의 역할을 하는 서버이다. 

웹 환경에서 프록시 서버의 역할은 웹 클라이언트와 웹 서버 사이에서 요청한 데이터를 전달하는 것입니다.

이 때 프록시 서버는 웹서버에서 가져온 데이터를 웹클라아인트에 전송한 후 캐시에 데이터를 저장합니다.

그리고 웹 클라이언트가 같은 데이터를 요청하면 캐시에서 해당 데이터를 보냅니다. 이를 통해 클라이언트에게 빠르게 필요한 내용을 보여줄 수 있겠죠.

Proxy의 목적

여러가지 목적이 있지만 크게 다음과 같은 2가지 목적으로 사용됩니다.

(1) 속도 : 캐시를 사용하기 때문에 리소스에 대한 접근이 빠릅니다. 프록시서버에서는 자주 가는 웹사이트에 대한 리소스들이 캐시에 쌓여있고 웹 서버에서 직접 가져오는 것보다 좀 더 빠른 속도로 접근할 수 있습니다.

(2) 보안 : 익명의 사용자가 서버에 접근하는 것을 막을 수 있습니다. 프록시 서버는 요청 서버의 대리인의 역할을 수행함으로써 외부 서버망으로의 접근을 막을수 있습니다. 

Proxy 서버의 종류

1. forward Proxy

- 가장 일반적으로 사용하는 proxy Server 입니다. Proxy 서버를 클라이언트와 원격 서버에 있는 리소스 사이에 위치 시키는 방법입니다.

-> 일반적으로 사내망 (Private Network) 에서 외부로 나갈 때 사용하는 프록시입니다.

2 Reverse Proxy

- 프록시 서버를 인터넷 혹은 인트라넷 리소스 앞에 위치 시킵니다.

- 이 방식을 사용한다면 클라이언트가 프록시 서버에 연결되었다는 것을 알지 못합니다.

- 보안의 이유가 가장 큽니다. 예를 들어 내부망에 웹 데이터를 요청하여 내부망에 접근하였다면 DB 데이터 혹은 파일 서버에 있는 데이터의 접근 또한 가능하게 될 것입니다. 

데이터를 가져오는 과정은 다음과 같습니다.

(1) 클라이언트 1은 웹서버에 데이터를 요청합니다.

(2) 프록시 서버에서 데이터를 우선 요청하고. 캐쉬에 데이터를 저장한 후 클라이언트에게 데이터를 전송합니다.

(3) 클라이언트 2,3이 같은 데이터를 요청한다면 프록시 서버는 서버에 요청하지 않고 캐쉬에 있던 데이터를 가져와서 전송합니다.