DMZのメリットについての愚問です。

Question

適切な個数のポートの開放よりもDMZの採用の方が比較的に望ましい、と言えるのは、どういう場合なのでしょうか？

分からない事だらけで畏れ入りますが、御教授を御願い申し上げます。

Gotthold · Accepted Answer

> 私が存じているルータにはDMZの機能もが搭載されていますが
それは本当に（本来の意味での）DMZですか？
ネットワーク分離機能を持たないなんちゃってDMZだったりしませんか？

↓参考
槻ノ木隆の「BBっとWORDS」 その9「DMZとその効果」
http://bb.watch.impress.co.jp/cda/bbword/6672.html

なんちゃってDMZは本来のDMZとはまったく別物ですので
混同すると話が通じなくなります。

> その様にネットワークアドレスの値が同じになっている場合にも、
「その様に」とはどのようになっていることなのですか？
質問文、回答文、補足文を見てみましたが、
「その様に」がどこを指しているか私には分かりませんでした。

Toshi0230 · Answer

No.2の方がわりと的確な答えを出しているので、技術的な点を補足しておきます。
実は「ポートの開放」と「DMZの採用」はまったく別の観点の技術であるため、厳密に判断すると質問が成り立っていません。
「ポートの開放」はNAPT環境において、外部から発信された通信をNAPTの内側のサーバなどで受信できるようにするための方法ですし、「DMZ」はネットワークの構成形態の1つです。なので、「ポートの開放」で「DMZを採用する」ことも問題なくできます。

なので、ここは「サーバを内部LANに構築するよりDMZを採用（してその上に構築する）方が望ましい場合とは何か？」が質問の意図と判断します。No.2氏もその理解で回答されています。

では「DMZとは何か？」ですが、「外部からも内部LANからもアクセスできるが、内部LANへはアクセスできないネットワーク」のことを指します。図にすると添付の絵のような感じでしょうか。
ネットワークの位置と機能が、紛争国の間に設置される「非武装地帯（DeMilitarized Zone; DMZ)」に似ているため、"DMZ"と呼ばれています。

DMZ上に外部サーバを設置するメリットは、No.2氏が回答されたとおり、サーバを乗っ取られても内部のネットワークには侵入できないため、安全性が増す、ということです。
なので、内部LANに外部の目にさらしたくない重要なデータがあるがそれとは別に外部向けのサーバが必要である、という場合はDMZを構成してそこにサーバを置く形にするほうが望ましいことになります。

superside0 · Answer

DMZは、内部ネットワークとは別の独立したネットワークになります。

例えていうと、会社のゲートに守衛さんがいて不審者が入らないようにしているとして、
それでも不審者には見えない郵便配達の人が、実は泥棒だった場合に、
社内にいきなり郵便受けを置くのと、ゲートの外に郵便受けを置くのと
どっちが安全・安心かということになります。

実際には、郵便配達は郵便受けのある部屋にしかいけないようにブロックされていますが、
郵便受けの部屋から、社内へ抜けるための秘密の通路（セキュリティーホール）
を知ってる泥棒の場合に。

hrsmmhr · Answer

DMZはルータのファイアーウォールを
サーバに任せることでより柔軟に自由にファイアーウォールを構成するためにあると思います
なんでも設定できるような高機能ルータは高価ですから
安く済ませるときには、安いルータとサーバで構成するのではないでしょうか

DMZのメリットについての愚問です。

> 私が存じているルータにはDMZの機能もが搭載されていますが

この回答への補足

No.2の方がわりと的確な答えを出しているので、技術的な点を補足しておきます。

この回答への補足

DMZは、内部ネットワークとは別の独立したネットワークになります。

この回答への補足

DMZはルータのファイアーウォールを

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング