\r\n\r\n
DMZとは? DMZとは非武装地帯のことですが、実は地域によって意味が違うんです。
現実の世界では、北朝鮮と韓国の境界線となる狭い土地を非武装地帯と呼んでいる。しかし、技術的には、DMZは論理的に分離されたサブネットであり、通常、ネットワークの外部でホストされたインターネットワーク指向のサービスを含んでいます。では、DMZの目的は一体何なのでしょうか?どのようにあなたを守るのか?ルーターに設定できるのか?
DMZは、信頼性の低いインターネットと内部ネットワークとの間のシールドとして機能します。
最も脆弱なユーザー向けサービス(電子メール、ウェブ、DNSサーバーなど)を独自の論理サブネットに分離することで、残りの内部ネットワークまたはローカルエリアネットワーク(LAN)を危険から保護することができます。
DMZ内のホストは、2つのネットワークポイント間のトラフィックを制御する中間ファイアウォールの背後に位置するため、メインの内部ネットワークへの接続は制限されています。しかし、DMZホストが内部と外部の両方のネットワークにサービスを提供できるように、いくつかの通信は許可されています。
関連記事:LANとWANの違いとは?
DMZの大前提は、インターネッツからのアクセスは確保しつつ、それ以外の内部LANはそのままにして、外部からはアクセスできないようにすることです。このようにセキュリティを強化することで、脅威者が直接ネットワークに侵入することを防ぎます。
DMZの構成を理解する最も簡単な方法は、通常2つのインターフェイスを持つルータを考えることです。
DMZネットワークを実装するには、DMZという第3のインターフェイスを追加するだけです。インターネットから直接アクセスできるホストや、定期的に外部と通信する必要があるホストは、DMZインターフェイスを介して接続することができます。
DMZに置ける標準的なサービスには、メールサーバー、FTPサーバー、ウェブサーバー、VOIPサーバーなどがあります。
DMZにサービスを移行する前に、組織の一般的なコンピューターセキュリティポリシーを慎重に検討し、リソース分析を行う必要があります。
ほとんどの家庭用ルーターがDMZホスティングを参照していることにお気づきかもしれません。本当の意味で、これは本当のDMZではありません。その理由は、ホームネットワーク上のDMZは、単に内部ネットワーク上のホストであり、転送されないポートを除くすべてのポートが公開されているからである。
ほとんどのネットワーク専門家は、ホームネットワークにDMZホストを構成することを警告しています。これは、DMZホストが内部ネットワークと外部ネットワークの間のポイントであり、内部ネットワーク上の他の機器と同じファイアウォール許可が与えられていないためです。
さらに、ホームベースのDMZホストは、内部ネットワーク上のすべてのホストに接続することができます。これは、これらの接続が別のファイアウォールを介して行われる商用DMZ構成の場合とは異なります。
内部ネットワーク上のDMZホストは、実際には他のファイアウォールやNATデバイスに直接ポートを転送する方法として使用されているにもかかわらず、誤ったセキュリティ感覚を与えている場合があります。
ホームネットワークにDMZを設定するのは、特定のアプリケーションがインターネットへの持続的なアクセスを必要とする場合のみです。ポートフォワーディングや仮想サーバーを作成することで実現できますが、大量のポート番号を扱うことで現実的でなくなる場合もあります。このような場合、DMZホストを設定することが論理的な解決策となります。
DMZの設定方法はさまざまで、3本足(シングルファイアウォール)ネットワークとダブルファイアウォールネットワークの2つが一般的です。
ニーズに応じて、この2つのアーキテクチャのどちらかを選択することができます。
このモデルは3つのインターフェイスを備えています。最初のインターフェースはISPからファイアウォールまでの外部ネットワーク、2番目のインターフェースは内部ネットワーク、最後のインターフェースは様々なサーバーを含むDMZネットワークです。
この設定の欠点は、ファイアウォールを1つだけ使用すると、ネットワーク全体が単一障害点になってしまうことです。ファイアウォールが破壊されると、DMZ全体も破壊される。さらに、ファイアウォールは、DMZと内部ネットワークからのすべての送受信トラフィックを処理できる必要があります。
その名の通り、2つのファイアウォールを使って構築するため、2つの方式の中ではより安全性が高いと言えます。フロントエンド・ファイアウォールは、DMZへのトラフィックの出入りのみを許可するように構成されています。第2またはバックエンド・ファイアウォールは、その後DMZから内部ネットワークへトラフィックを渡すように構成されています。
ファイアウォールを追加することで、ネットワーク全体が影響を受ける可能性を減らすことができます。
この場合、当然ながら価格は高くなりますが、アクティブファイアウォールに障害が発生した場合に冗長性を確保することができます。また、ネットワークに侵入しようとする攻撃者に対してより多くの障壁を提供するために、両方のファイアウォールを異なるベンダー**のものにしている組織もあります。
ホームベースのDMZネットワークを構築する最も簡単で迅速な方法は、3本足モデルを使用することです。各インターフェースは、内部ネットワーク、DMZネットワーク、外部ネットワークに割り振られます。最後に、ファイアウォールに4ポートのイーサネットカードを搭載すれば、この設定は完了です。
以下の手順は、家庭用ルーターでDMZを設定する方法の概要です。ほとんどの主要なルーター(Linksys、Netgear、Belkin、D-Linkなど)については、これらの手順は似ていることに注意してください。
関連:ルーターのIPアドレスの調べ方
スマートな消費者は、外部ネットワークにアクセスする前に、常にルーターとネットワークを侵入者から保護しています。 DMZは、貴重なデータと潜在的なハッカーとの間に、さらなるセキュリティ層を追加することができます。
少なくとも、DMZを使用し、ルーターを保護するための簡単なヒントを使用すれば、脅威者がネットワークに侵入するのを非常に困難にすることができます。攻撃者がデータにアクセスするのが難しければ難しいほど、あなたにとって有利になります。