企業などのネットワークで、セキュリティ対策のために
"DMZ(非武装地帯)" というのが設けられることが多いようですが、
この用語の関係でおたずねします。
----
DMZ については、用語辞典などから、
『インターネット側からの不正な攻撃から守るため、
ファイアウォールの内側に設けたセグメントで、
そこには公開サーバが置かれており、
それらは「内部ネットワーク」とは別になっていて、・・・』
というようなことは、それなりに分かったんですが、
◎「ファイアウォールの内側のセグメント」ということなら
一応は"武装"されているんじゃないんだろうか、
どうして非武装(DeMilitarized)と呼ばれるんだろうか、
と思ったりもするんですが、
この辺はどのように理解しておけばいいんでしょうか?
◎「内部ネットワーク」とは別に、という点ですが、
どういう方法を使って別にしているんでしょうか?
で、それにより、
「内部ネットワーク」の方ではより高度のセキュリティが、
というようなことでしょうか?
--
No.2
- 回答日時:
こんばんは。
DMZ生成によるサーバー運用は、下記の条件を満たすために利用される事が多いでしょう。
1.LAN内からの管理(サーバーをぶら下げるルーターやファイアーウォールの設定や監視など)を行いながら(つまり、あくまで自組織の管理下におきながら)、サーバーを公開する。(そのためには、あくまで「自組織内のノード」という位置付けにある必要があります。)
2.同時にサーバー以外のLAN(部外者にアクセスされたくないネットワーク)の安全性を保つ。
誤解されている方も多いのですが、「ファイアーウォールの中」=「安全」ということではなく、有効なフィルタリングを施すことで初めてファイアーウォールは効果を発揮します。(ゲートを設定しても、警備員をおかず開けっ放しであれば意味がないですよね。)
DMZ運用の典型的なパターンは、外部からのアクセス要求をすべてDMZ内のノード(つまりサーバー)にルーティングするケースです。(もちろん、セキュリティー上は許可されているもの(サーバー運用に関連するポート)に制限する必要があります。)
外からのアクセスは全てDMZにルーティングすることにより、内部ネットワークとDMZを仮想的に分離するわけです。
内部のネットワークは「明示的に許可しなければ、外から接続できないように設定する。」=「武装」を施すのに対して、外部からの接続が許可されているサーバーが置かれているエリア(現実には該当するIPアドレスの範囲)は「外部からの接続が可能」=「非武装」という表現で呼ばれる事が多いわけです。
ただし、もちろんDMZによるゾーンの分離も完璧なものではありません。
DMZ内のサーバーにセキュリティー・ホール等があれば、サーバー(サービス)そのものはもちろん、管理用のポートなどからの内部ネットワーク攻撃のきっかけとなってしまうこともあります。
仮想的に分離はされていても物理的には繋がっているわけですから、ファイアーウォール、ルーターといった部分の設定はもちろん、継続的な管理や監視が必須となります。
ネットワークセキュリティーを考える際は(他の事柄でもそうですが)、「仕組みで守ろうとする」のではなく、「自組織の運用形態でのリスクとメリットを天秤にかけた上で最適なシステムを選択し、正しく運用する」という事が大切だと思います。(そのためには当然相応のネットワーク知識が必要になるでしょう。)
以上、参考まで。
それでは。
No.3ベストアンサー
- 回答日時:
DMZの最も簡単な例として、下記のような構成のネットワークを考えてみて下さい。
インターネット
|
|
|
FW(ルータ)―――DMZ(Webサーバを設置)
|
|
|
内部ネットワーク
この場合、DMZに設置したWebサーバを公開するとして、FWに下記のようなフィルタの設定が考えられます。(あくまで一例です。状況によっていろいろな設定が考えられます。)
ただし、不許可であってもレスポンスは通します。
● インターネット → 内部ネットワーク
全て不許可
● インターネット → DMZ
WWWリクエストを許可
● 内部ネットワーク → インターネット
WWWリクエスト,MAIL関係(SMTP,POP3など)を許可
● 内部ネットワーク → DMZ
WWWリクエスト,FTPを許可
● DMZ → 内部ネットワーク
全て不許可
● DMZ → インターネット
WWWレスポンスを許可
最初の2つを見ますと、内部ネットワークよりもDMZの方が、WWWリクエストを許可する分、インターネット側からの攻撃に関して危険性が高くなります。メールサーバやDNSサーバなど外部に公開するものが増えるほど、インターネット側からの通信を許可する種類(ポート)も増やす必要が有りますので、さらに危険性が高くなります。
そのような事から「非武装地帯」と呼ばれるのかと。
DMZを作るメリットとしては、以下のことが思い当たります。
・ネットワークセキュリティのレベルを外部に公開するものとそれ以外で別々に設定できる。
・外部公開しているサーバがウィルスに感染する、乗っ取られたりしても、内部ネットワークに被害が及びにくい。
参考URL:http://www.atmarkit.co.jp/fsecurity/rensai/fw01/ …
模式図で分りやすくご説明いただいて、ありがとうございました。
相互の関係が大変良く分かりました。
ご紹介いただいた URL も、大変参考になりました。
--
No.4
- 回答日時:
>◎「ファイアウォールの内側のセグメント」ということなら
>一応は"武装"されているんじゃないんだろうか、
>どうして非武装(DeMilitarized)と呼ばれるんだろうか、
これは鋭い観察ですよ。
実は、もともとのDMZの定義は、ルータとファイアウォールの間(要するにファイアウォールの前)のセグメントのことを指していたのです。ここの領域は武装が最低限だからです(ルータによるフィルターのみ適用)。
現在DMZとよくよばれる、ファイアウォールの後ろにあるセグメントは、正確には、Screened Subnet と呼ばれます。 これは、ファイアウォールにより、セキュリティのフィルターがかかるからですね。
ということで、現在DMZと当初のDMZは違うセグメントを指していたということになります。
ありがとうございました。
DMZ というネーミングについて、事情が分りました。
現在DMZは、非武装というよりは、
軽武装という感じなのかも知れませんね。
--
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 軍事学 米軍は日本のどこでも勝手に基地を置けるのでしょうか? 10 2022/12/25 19:06
- 警察・消防 他国の武装警察が対馬に不法侵入したら 他国警察が日本の住民のある島を無断で侵入し荒らされたり、略奪や 4 2023/03/09 05:13
- 政治 「非武装」だと やはり占領される? 12 2023/08/11 20:16
- 政治 非武装中立では全くダメだと言う事が証明されましたね? 13 2023/05/31 13:05
- ドラマ 愛の不時着。最高ですね。今更?という感じだと思いますが今更ハマってます。今は9話目を終えたところでリ 4 2022/10/27 17:35
- 政治 岸田総理大臣緊急経済対策肩透かしについて 住民税非課税世帯を中心に国民1人に対して 10万円給付金を 2 2022/04/22 17:52
- その他(インターネット接続・インフラ) 役所や公共施設、企業などナビダイヤル(0570発信)を採用しているところが多いですが、携帯電話の無料 4 2022/10/02 12:14
- 政治 非課税世帯へ5万円給付 8 2022/09/07 17:36
- 政治 私は共産主義者でアメリカ傀儡の現在の日本政府を打倒して自主独立の国にしたいと思っています。ですからア 6 2022/11/10 14:16
- その他(行政) <例> 物価高対策に2兆円超、LPガス補助は「推奨事業」に…低所得世帯に一律3万円(読売新聞オンライ 3 2023/03/20 16:40
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
NASってDoS攻撃されたら使えな...
-
クローズドネットワークのデフ...
-
ファイヤーウオールってなんで...
-
親がAndroidで子がiPhoneで子供...
-
ボタンが2つだけのデジタル時...
-
OLYMPUSの日付について教えて欲...
-
ウーバーイーツで楽天ペイで支...
-
ホンダフリードのカーナビ(Gat...
-
AndroidのAPN設定をいじってい...
-
Googleフォームで作成したアン...
-
ダイアログ間のデータ渡し
-
ちびまる子ちゃんの体育着
-
Amazonの欲しいものリストを公...
-
PC版のレインボーシックスシー...
-
ブラザー DCP-L2550DW WiFi設定...
-
OCNでのAPN設定のやり方を教え...
-
ゴールデンカムイのアシリパち...
-
BIGLOBEのネットを繋ぎたいので...
-
Eメールの設定仕方を教えてくだ...
-
Googleナビで高速に乗って遠出...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ネットワーク分割について
-
クローズドネットワークのデフ...
-
ファイヤーウオールってなんで...
-
UPnPフレームワーク とは
-
別ネットワークで、プリンタ共...
-
P-03C PCバックアップ
-
Brother® HL-L3290CDW Wireless...
-
スマートフォンでネットワーク...
-
サブネットマスクの設定について
-
MG3200が通信不可になってしまう。
-
親がAndroidで子がiPhoneで子供...
-
AndroidのAPN設定をいじってい...
-
ボタンが2つだけのデジタル時...
-
[オートフィルタ]の適用範囲の...
-
Googleナビで高速に乗って遠出...
-
WAKWAKメールのIMAP設定方法を...
-
アウトルックですが、既読なの...
-
振動試験の掃引の条件設定について
-
JCOM利用で、TVを買い替えする...
-
ホンダフリードのカーナビ(Gat...
おすすめ情報