- ベストアンサー
DMZ(非武装地帯)のことで
企業などのネットワークで、セキュリティ対策のために "DMZ(非武装地帯)" というのが設けられることが多いようですが、 この用語の関係でおたずねします。 ---- DMZ については、用語辞典などから、 『インターネット側からの不正な攻撃から守るため、 ファイアウォールの内側に設けたセグメントで、 そこには公開サーバが置かれており、 それらは「内部ネットワーク」とは別になっていて、・・・』 というようなことは、それなりに分かったんですが、 ◎「ファイアウォールの内側のセグメント」ということなら 一応は"武装"されているんじゃないんだろうか、 どうして非武装(DeMilitarized)と呼ばれるんだろうか、 と思ったりもするんですが、 この辺はどのように理解しておけばいいんでしょうか? ◎「内部ネットワーク」とは別に、という点ですが、 どういう方法を使って別にしているんでしょうか? で、それにより、 「内部ネットワーク」の方ではより高度のセキュリティが、 というようなことでしょうか? --
- tochinkun
- お礼率85% (417/487)
- ネットワーク
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
DMZの最も簡単な例として、下記のような構成のネットワークを考えてみて下さい。 インターネット | | | FW(ルータ)―――DMZ(Webサーバを設置) | | | 内部ネットワーク この場合、DMZに設置したWebサーバを公開するとして、FWに下記のようなフィルタの設定が考えられます。(あくまで一例です。状況によっていろいろな設定が考えられます。) ただし、不許可であってもレスポンスは通します。 ● インターネット → 内部ネットワーク 全て不許可 ● インターネット → DMZ WWWリクエストを許可 ● 内部ネットワーク → インターネット WWWリクエスト,MAIL関係(SMTP,POP3など)を許可 ● 内部ネットワーク → DMZ WWWリクエスト,FTPを許可 ● DMZ → 内部ネットワーク 全て不許可 ● DMZ → インターネット WWWレスポンスを許可 最初の2つを見ますと、内部ネットワークよりもDMZの方が、WWWリクエストを許可する分、インターネット側からの攻撃に関して危険性が高くなります。メールサーバやDNSサーバなど外部に公開するものが増えるほど、インターネット側からの通信を許可する種類(ポート)も増やす必要が有りますので、さらに危険性が高くなります。 そのような事から「非武装地帯」と呼ばれるのかと。 DMZを作るメリットとしては、以下のことが思い当たります。 ・ネットワークセキュリティのレベルを外部に公開するものとそれ以外で別々に設定できる。 ・外部公開しているサーバがウィルスに感染する、乗っ取られたりしても、内部ネットワークに被害が及びにくい。
その他の回答 (3)
- mudpuppy
- ベストアンサー率51% (48/94)
>◎「ファイアウォールの内側のセグメント」ということなら >一応は"武装"されているんじゃないんだろうか、 >どうして非武装(DeMilitarized)と呼ばれるんだろうか、 これは鋭い観察ですよ。 実は、もともとのDMZの定義は、ルータとファイアウォールの間(要するにファイアウォールの前)のセグメントのことを指していたのです。ここの領域は武装が最低限だからです(ルータによるフィルターのみ適用)。 現在DMZとよくよばれる、ファイアウォールの後ろにあるセグメントは、正確には、Screened Subnet と呼ばれます。 これは、ファイアウォールにより、セキュリティのフィルターがかかるからですね。 ということで、現在DMZと当初のDMZは違うセグメントを指していたということになります。
お礼
ありがとうございました。 DMZ というネーミングについて、事情が分りました。 現在DMZは、非武装というよりは、 軽武装という感じなのかも知れませんね。 --
こんばんは。 DMZ生成によるサーバー運用は、下記の条件を満たすために利用される事が多いでしょう。 1.LAN内からの管理(サーバーをぶら下げるルーターやファイアーウォールの設定や監視など)を行いながら(つまり、あくまで自組織の管理下におきながら)、サーバーを公開する。(そのためには、あくまで「自組織内のノード」という位置付けにある必要があります。) 2.同時にサーバー以外のLAN(部外者にアクセスされたくないネットワーク)の安全性を保つ。 誤解されている方も多いのですが、「ファイアーウォールの中」=「安全」ということではなく、有効なフィルタリングを施すことで初めてファイアーウォールは効果を発揮します。(ゲートを設定しても、警備員をおかず開けっ放しであれば意味がないですよね。) DMZ運用の典型的なパターンは、外部からのアクセス要求をすべてDMZ内のノード(つまりサーバー)にルーティングするケースです。(もちろん、セキュリティー上は許可されているもの(サーバー運用に関連するポート)に制限する必要があります。) 外からのアクセスは全てDMZにルーティングすることにより、内部ネットワークとDMZを仮想的に分離するわけです。 内部のネットワークは「明示的に許可しなければ、外から接続できないように設定する。」=「武装」を施すのに対して、外部からの接続が許可されているサーバーが置かれているエリア(現実には該当するIPアドレスの範囲)は「外部からの接続が可能」=「非武装」という表現で呼ばれる事が多いわけです。 ただし、もちろんDMZによるゾーンの分離も完璧なものではありません。 DMZ内のサーバーにセキュリティー・ホール等があれば、サーバー(サービス)そのものはもちろん、管理用のポートなどからの内部ネットワーク攻撃のきっかけとなってしまうこともあります。 仮想的に分離はされていても物理的には繋がっているわけですから、ファイアーウォール、ルーターといった部分の設定はもちろん、継続的な管理や監視が必須となります。 ネットワークセキュリティーを考える際は(他の事柄でもそうですが)、「仕組みで守ろうとする」のではなく、「自組織の運用形態でのリスクとメリットを天秤にかけた上で最適なシステムを選択し、正しく運用する」という事が大切だと思います。(そのためには当然相応のネットワーク知識が必要になるでしょう。) 以上、参考まで。 それでは。
お礼
詳しくご説明いただいて、ありがとうございました。
- feininger
- ベストアンサー率41% (74/180)
外へ見せるためのマシンはDMZに配置します。 全身を見せる必要はないのでF/Wから顔だけ出しています。 とはいえ顔は出しているので撃たれることがあるんですよ。 内部においたマシンは外から 直接 撃たれることはありません。 外から撃たれる=武装していない というイメージなのでは? DMZと内部の違いは単にルーティングだったり、 Proxyという代理人を置いていたり・・・などです。
お礼
分りやすい例えでご説明いただいて、 ありがとうございました。 --
関連するQ&A
- DMZについての質問
いつもお世話になってます、Chickenです。 現在Firewallについて勉強しているのですが、 「DMZ(非武装地帯」という概念が今ひとつ理解 できません。 元々Firewallの外にいたサーバに専用の場所 (セグメント)を設け内部ネットワークに入れる 事のどの辺りが「非武装」なのでしょうか? またDMZの目的が今ひとつつかめません。 クライアントのセキュリティを保持しつつ、 「外部からのサーバに対するある程度のアクセスを 認めるもの」と理解しているのですが違いますで しょうか? どなたかお知恵を拝借ください。
- 締切済み
- ネットワーク
- 【ネットワークの非武装地帯のDMZ、demilit
【ネットワークの非武装地帯のDMZ、demilitarized zone(デミリタライズド・ゾーン)はリバースプロキシと同義ですか?】 外部ウェブサイトからの投稿フォームがDMZを通過するとIPアドレスがグローバルIPアドレスからプライベートIPアドレスになるのですか?
- ベストアンサー
- ネットワーク
- ネットワーク内のDMZとは
非武装地帯を意味して外部からアクセスを受け付ける場所、 と書いてあるのですが、それはつまり外部に漏れても良い情報だけ格納されている webサーバと思って良いでしょうか? ファイアーウォールで守られた先にあるサーバは外部からはアクセスできない、アクセス不可能なのでしょうか。 DMZからさらに内側のネットワークへ、ということはできますか?
- ベストアンサー
- ネットワーク
- ルーターのDMZ機能について教えてください。
WEBサーバーを自宅で立てようと考えていますが、 DDNS機能付きのルーターを購入予定です。 ところが、DMZ機能というのもあるみたいで、調べたら 内部ネットワークを不正アクセスから守るための 非武装地帯とか何とか・・・ ポートフォワーディング機能とどう違うのか今一つ 良く分かりません。 WEBサーバーをDMZ区域に立てると良いそうなん ですが、その場合、ftpによるWEBサーバーへの ファイル転送は、内部ネットワークから可能 なんでしょうか? 又、自宅でサーバーを立てていらっしゃる方、是非、 ネットワーク構成なんかを教えていただけると幸甚です。 参考になるURLなんかも教えていただけると、 なお、有りがたいんですが・・・。 以上、何卒、アドバイスの程お願い申し上げます。
- ベストアンサー
- ネットワーク
- ファイアーウォールについて
ファイアーウォールは、社内ネットワークとインターネットとの境界点に設置して、外部からの不正なアクセスを防止する役割をもつ。図1にN社におけるネットワークの構成を示す。 ここで、社員のパソコン(ノートPC)が置かれているエリアを「内部ネットワーク」、webサーバやメールサーバAが置かれているエリアを「非武装地帯(DMZ)」と呼ぶ。非武装地帯には、webサーバやメールサーバAのように(1)コンピュータを配置する。 解答群 ア.インターネットに公開する イ.サーバ機能を提供する ウ.セキュリティ機能を有する エ.内部ネットワークと通信しない ウかアのどちらかかだとは思ったのですが、正解はアなのですが理由がわかりません。 解説をお願いします。
- ベストアンサー
- 情報処理技術者
- 外向け(DMZ)・内向けの名前解決について
現在、ルータを2台接続し、 バリアセグメント(DMZ)とLAN側とネットワーク帯に分けています。 それぞれのネットワーク帯の名前解決はできており、 それぞれのネットワーク対からインターネットを閲覧できることも確認しています。 また、バリアセグメント(DMZ)内サーバからバリアセグメント(DMZ)内設置の公開webサーバを閲覧できることも確認できております。 ここで、疑問にもっておりますのは、 LAN側内設置のクライアントから バリアセグメント(DMZ)内設置の公開webサーバを閲覧することなのですが、どのように設定すればよろしいのでしょうか? IPaddressを直打ちすれば閲覧できることは確認しています。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- DMZ, proxy機能のあるFirewallを探しています。
DMZの公開Web Serverが停止中に、別のURLへ転送したいと考えています。 別装置を追加するのではなく、firewallでこの機能をもっている製品ってありませんか?
- 締切済み
- その他(インターネット接続・通信)
- 内部ネットワークのセキュリティ
インターネットなど外部からのアクセスにはファイアウォールなど セキュリティ機器を導入すると思います。 それで疑問なのですが、ファイアウォールやDMZを通過した内部の ネットワークには、セキュリティ機器は特に考えなくても良いのでしょうか?。 アドバイスお願いします。
- ベストアンサー
- ネットワーク
- DMZのPHPからLAN内のMySQLへの接続が遅いのですが・・・
初めて質問させていただきます。 現在、公開サーバ(DMZ)のPHPから、DBサーバ(LAN)のMySQLへ、接続を試みています。 mysql_connect()により接続はできるのですが、どうにも時間がかかって困っています(5秒くらい)。 (公開サーバにMySQLをインストールして接続すると、ほぼ待ち時間なく接続されます) 環境、設定は以下の通りです。 (公開サーバ)DMZに接続 Windows 2003 Server プライベート:192.168.0.1 (DBサーバ)LANに接続 Windows 2003 Server プライベートIP:192.168.1.1 (ルータ/ファイアウォール)SonicWALLを使用 DMZ(192.168.0.1)からLAN(192.168.1.1)へアクセス[Any]を許可 WANからDMZ(192.168.0.1)へのアクセス[HTTP]を許可 (PHPのソース) mysql_connect('192.168.1.1', $dbuser, $dbpwd); <<質問>> (1) PHPから、同サーバのMySQLに接続する場合と、別サーバに接続する場合とでは、このレスポンスの差は仕方がないものなのでしょうか? (2) 接続が遅くなる要因になりそうなことがあれば教えてください。 (3) DMZからLANへのアクセスを[全て]許可するのは、セキュリティ上どうかと思うのですが、MySQLにアクセスするのに何を許可すれば良いかわからず[Any]にしています。許可が必要なサービス(ポート?)を教えてください。
- ベストアンサー
- その他(ITシステム運用・管理)
お礼
模式図で分りやすくご説明いただいて、ありがとうございました。 相互の関係が大変良く分かりました。 ご紹介いただいた URL も、大変参考になりました。 --