- 締切済み
DMZについての質問
いつもお世話になってます、Chickenです。 現在Firewallについて勉強しているのですが、 「DMZ(非武装地帯」という概念が今ひとつ理解 できません。 元々Firewallの外にいたサーバに専用の場所 (セグメント)を設け内部ネットワークに入れる 事のどの辺りが「非武装」なのでしょうか? またDMZの目的が今ひとつつかめません。 クライアントのセキュリティを保持しつつ、 「外部からのサーバに対するある程度のアクセスを 認めるもの」と理解しているのですが違いますで しょうか? どなたかお知恵を拝借ください。
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- ken2
- ベストアンサー率36% (86/235)
関連するQ&A
- DMZ(非武装地帯)のことで
企業などのネットワークで、セキュリティ対策のために "DMZ(非武装地帯)" というのが設けられることが多いようですが、 この用語の関係でおたずねします。 ---- DMZ については、用語辞典などから、 『インターネット側からの不正な攻撃から守るため、 ファイアウォールの内側に設けたセグメントで、 そこには公開サーバが置かれており、 それらは「内部ネットワーク」とは別になっていて、・・・』 というようなことは、それなりに分かったんですが、 ◎「ファイアウォールの内側のセグメント」ということなら 一応は"武装"されているんじゃないんだろうか、 どうして非武装(DeMilitarized)と呼ばれるんだろうか、 と思ったりもするんですが、 この辺はどのように理解しておけばいいんでしょうか? ◎「内部ネットワーク」とは別に、という点ですが、 どういう方法を使って別にしているんでしょうか? で、それにより、 「内部ネットワーク」の方ではより高度のセキュリティが、 というようなことでしょうか? --
- ベストアンサー
- ネットワーク
- ネットワーク内のDMZとは
非武装地帯を意味して外部からアクセスを受け付ける場所、 と書いてあるのですが、それはつまり外部に漏れても良い情報だけ格納されている webサーバと思って良いでしょうか? ファイアーウォールで守られた先にあるサーバは外部からはアクセスできない、アクセス不可能なのでしょうか。 DMZからさらに内側のネットワークへ、ということはできますか?
- ベストアンサー
- ネットワーク
- ルーターのDMZ機能について教えてください。
WEBサーバーを自宅で立てようと考えていますが、 DDNS機能付きのルーターを購入予定です。 ところが、DMZ機能というのもあるみたいで、調べたら 内部ネットワークを不正アクセスから守るための 非武装地帯とか何とか・・・ ポートフォワーディング機能とどう違うのか今一つ 良く分かりません。 WEBサーバーをDMZ区域に立てると良いそうなん ですが、その場合、ftpによるWEBサーバーへの ファイル転送は、内部ネットワークから可能 なんでしょうか? 又、自宅でサーバーを立てていらっしゃる方、是非、 ネットワーク構成なんかを教えていただけると幸甚です。 参考になるURLなんかも教えていただけると、 なお、有りがたいんですが・・・。 以上、何卒、アドバイスの程お願い申し上げます。
- ベストアンサー
- ネットワーク
- 外向け(DMZ)・内向けの名前解決について
現在、ルータを2台接続し、 バリアセグメント(DMZ)とLAN側とネットワーク帯に分けています。 それぞれのネットワーク帯の名前解決はできており、 それぞれのネットワーク対からインターネットを閲覧できることも確認しています。 また、バリアセグメント(DMZ)内サーバからバリアセグメント(DMZ)内設置の公開webサーバを閲覧できることも確認できております。 ここで、疑問にもっておりますのは、 LAN側内設置のクライアントから バリアセグメント(DMZ)内設置の公開webサーバを閲覧することなのですが、どのように設定すればよろしいのでしょうか? IPaddressを直打ちすれば閲覧できることは確認しています。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- DNSサーバをDMZに移動させたい。
はじめて質問させて頂きます。 現在、OpneBSD 2.9に最初から入っているbind 4.9.8を使用してdnsサーバを構築しています。 今このDNSサーバは外部セグメントにあるんですが、今度このDNSサーバをDMZ(ファイアーウォール内)の中に移動させたいのですが、namad.bootの記述がいまいち判りません。 http://www.linux.or.jp/JF/JFdocs/DNS-HOWTO-10.html#qanda ↑ ここのホームページにヒントで、forward only; または、query-source port 53; を記述すればいいように書かれているんですが、本当にこれらの記述をnamed.bootにすればDMZ(ファイアーウォール内)の中に移動できるんでしょうか? 初歩的な質問だとは思いますが、よろしくお願い致します。
- ベストアンサー
- その他(OS)
- DMZのLinuxマシンドメインについて
DMZのLinuxマシンとWindowsマシンのドメイン名の関連性について不明な点があります。 「なぜ、外部D<ZのLinux・Unixサーバのドメイン名と内部のドメイン名を一緒にする必要があるのかわからないのです。」 一般環境では ・DMZに、LinuxまたはUNIXサーバに、bindやapcheを導入したサーバ設置。(Apacheサーバ、DNSサーバと名前はします。) ・内部LANには、ADでドメインを構築し、PC端末をドメインで管理するのが一般的だと思っております。 このとき、 (1)内部LAN(WindowsのADで.tast.netドメイン)を構築しPC1を参加させる。⇒PC1.test.net (2)DMZのLinuxやUnixのサーバーのホストネームを、「サーバ名.test.net」として、bindやapacheをインストールして外部に公開する。 DMZ側のドメインと、Windows側のドメインを同じ名前にしておく必要があるのでしょうか? DMZ側は、当然外に公開しているので、指定(=取得)したドメインを設定する必要があると思うのですが、 極論ですが、内部のWindowsADドメイン名は、DMZと異なったドメイン(test.com以外のもの「aaa.net等」)でも実際は問題無いのでしょうか? (当然、わかりにくくなって管理しにくくなるとはおもうのですが) なぜ、DMZとLANの 両ドメインを同じものに設定するのでしょうか? ADと同じドメインに参加したクライアントは、「サーバー等から管理もでき」「ドメイン不参加端末には、ファイルサーバ等にアクセスさせない」といったことができると考えております。 ですが、dmzのlinux群は、ドメイン名だけ一致しており、別にWindowsADに参加しているわけでは ないので恩恵がないのでは?なぜ中のドメイン名は外と一致させているのか?と思っております。 今、私が考え付くドメインを一致させておかないと不便かと思うのが 内部から外部にメールを送る際に、postfix等で転送する異なるドメイン名(=異なったWindowsサーバドメイン名:aaa.net)の指定等がいるのかなと思っているのですが。 ・確認したい点 (1).なぜ、外と内のドメイン名を一緒にする必要があるのでしょうか? linuxがwindowsのADとかに参加しているというのであれば、納得はできるのですが。 DMZに設置しているLinux群のサーバが、ADドメインに参加しているという状況を見たことが無いのです。 (2).DMZのドメイン名(apache.test.net) と AD参加内部クライアント(PC1.test.net)は、 ただドメインの一致だけさせており、DMZのサーバは、内部クライアントとは異なりドメインには 参加していない。の考えであっていますでしょうか?(コンピューターの管理とうに、DMZマシン名はでない。) どうしても、ドメイン名がつくと、内部のADに参加し、ドメイン名がくっついた形になっているのか? と考えていますのです。(DMZ:Apacheサーバ ⇒apache.test.net) どなたか ご教授のほうよろしくお願いします。
- ベストアンサー
- Linux系OS
- ファイアーウォールについて
ファイアーウォールは、社内ネットワークとインターネットとの境界点に設置して、外部からの不正なアクセスを防止する役割をもつ。図1にN社におけるネットワークの構成を示す。 ここで、社員のパソコン(ノートPC)が置かれているエリアを「内部ネットワーク」、webサーバやメールサーバAが置かれているエリアを「非武装地帯(DMZ)」と呼ぶ。非武装地帯には、webサーバやメールサーバAのように(1)コンピュータを配置する。 解答群 ア.インターネットに公開する イ.サーバ機能を提供する ウ.セキュリティ機能を有する エ.内部ネットワークと通信しない ウかアのどちらかかだとは思ったのですが、正解はアなのですが理由がわかりません。 解説をお願いします。
- ベストアンサー
- 情報処理技術者
- DMZの構成(Netscreen-25)
こんにちは。Netscreen(25)の構成の仕方について質問があります。 現在、外部に公開しているサーバーがあり(メール、Proxy、Web)、それぞれNIC2枚挿しでglobal/privateそれぞれのIPを一つずつ割り当ててあります。 これらのサーバーのPrivateアドレスと同じサブネットでバックオフィスのPCが繋がっています。 現在Firewall(NetScreen)の新規導入を考えておりますが、DMZ構成の仕方について一つ質問があります。 現在の構成は、 [modem] | | [Switch]---------[Switch]---(backoffice) | | | | | | A B C ←サーバー 考えている構成は以下のようなものです。 [modem] | | |Untrusted [Netscreen-25]---------[Switch]---(backoffice) |DMZ Trusted | | [Switch] | | | | | | A B C 現在はGlobal IP(外部からのアクセス)、Private IP(内部からのアクセス)がサーバーに共存しているのですが、上のような構成の場合、DMZに割り当てるアドレスについて、どのような割り当て方が適当なのでしょうか。 各サーバーのアドレスをPrivateアドレスのみにし、Firewall上で、現在使用しているの各サーバーへのGlobalアドレスへの要求が来たときに、それを対応するサーバーのPrivateアドレスにMapするということは、実際にGlobalアドレスをサーバーに割り当てないでも可能なのでしょうか?
- ベストアンサー
- ネットワーク
- プロキシ経由でインターネットアクセスする場合のDNSリゾルバは?
情報処理試験の問題でいまいち理解できないところがあったので教えてください。 前提 1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。 2.DMZにプロキシサーバとDNSサーバがある。 3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。 このとき、FQDNに対する名前解決をするリゾルバはどの装置か。 という問題で、回答はプロキシサーバとなっています。 ここが納得できないところで、私はリゾルバはDMZのDNSサーバなのではと思っています。 この場合の処理は以下のようになっていると思います。 A.プロキシサーバがwww.example.comの名前解決をDNSサーバに依頼する。 B.DNSサーバはフルサービスリゾルバとして動作しwww.example.comのIPアドレスをプロキシサーバに返す。 C.プロキシサーバはそのIPアドレスのホストにアクセスする。 プロキシサーバはスタブリゾルバである(?)から、という意味で回答がプロキシサーバと考えるのが妥当なのでしょうか。 DNSのリゾルバに関して完全に理解できていないかもしれないので間違ったことを書いているかもしれませんがよろしくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
お礼
ご連絡が遅れましてすみませんでした。 ken2さん。非常にわかりやすいご説明 ありがとうございます。 おかげさまできちんと理解ができました。 早速がんばって構築してみます。 どうもありがとうございました。 今後とも宜しくお願い致します。