DMZ(非武装地帯)のことで

企業などのネットワークで、セキュリティ対策のために
"DMZ(非武装地帯)" というのが設けられることが多いようですが、
この用語の関係でおたずねします。

----
DMZ については、用語辞典などから、
『インターネット側からの不正な攻撃から守るため、
ファイアウォールの内側に設けたセグメントで、
そこには公開サーバが置かれており、
それらは「内部ネットワーク」とは別になっていて、・・・』
というようなことは、それなりに分かったんですが、

◎「ファイアウォールの内側のセグメント」ということなら
一応は"武装"されているんじゃないんだろうか、
どうして非武装（DeMilitarized）と呼ばれるんだろうか、
と思ったりもするんですが、
この辺はどのように理解しておけばいいんでしょうか？

◎「内部ネットワーク」とは別に、という点ですが、
どういう方法を使って別にしているんでしょうか？

で、それにより、
「内部ネットワーク」の方ではより高度のセキュリティが、
というようなことでしょうか？

--

No.3 ベストアンサー 回答者： root139 回答日時： 2004/01/24 00:30

DMZの最も簡単な例として、下記のような構成のネットワークを考えてみて下さい。

インターネット
　｜
　｜
　｜
FW(ルータ)―――DMZ(Webサーバを設置)
　｜
　｜
　｜
内部ネットワーク

この場合、DMZに設置したWebサーバを公開するとして、FWに下記のようなフィルタの設定が考えられます。(あくまで一例です。状況によっていろいろな設定が考えられます。)
ただし、不許可であってもレスポンスは通します。

● インターネット → 内部ネットワーク
全て不許可

● インターネット → DMZ
WWWリクエストを許可

● 内部ネットワーク → インターネット
WWWリクエスト,MAIL関係(SMTP,POP3など)を許可

● 内部ネットワーク → DMZ
WWWリクエスト,FTPを許可

● DMZ → 内部ネットワーク
全て不許可

● DMZ → インターネット
WWWレスポンスを許可


最初の2つを見ますと、内部ネットワークよりもDMZの方が、WWWリクエストを許可する分、インターネット側からの攻撃に関して危険性が高くなります。メールサーバやDNSサーバなど外部に公開するものが増えるほど、インターネット側からの通信を許可する種類(ポート)も増やす必要が有りますので、さらに危険性が高くなります。
そのような事から「非武装地帯」と呼ばれるのかと。

DMZを作るメリットとしては、以下のことが思い当たります。
・ネットワークセキュリティのレベルを外部に公開するものとそれ以外で別々に設定できる。
・外部公開しているサーバがウィルスに感染する、乗っ取られたりしても、内部ネットワークに被害が及びにくい。

参考URL：http://www.atmarkit.co.jp/fsecurity/rensai/fw01/ …

この回答へのお礼

模式図で分りやすくご説明いただいて、ありがとうございました。

相互の関係が大変良く分かりました。
ご紹介いただいた URL も、大変参考になりました。

--

お礼日時：2004/01/26 03:54

No.4 回答者： mudpuppy 回答日時： 2004/01/24 17:46

>◎「ファイアウォールの内側のセグメント」ということなら

>一応は"武装"されているんじゃないんだろうか、
>どうして非武装（DeMilitarized）と呼ばれるんだろうか、

これは鋭い観察ですよ。

実は、もともとのＤＭＺの定義は、ルータとファイアウォールの間（要するにファイアウォールの前）のセグメントのことを指していたのです。ここの領域は武装が最低限だからです（ルータによるフィルターのみ適用）。

現在ＤＭＺとよくよばれる、ファイアウォールの後ろにあるセグメントは、正確には、Screened Subnet　と呼ばれます。　これは、ファイアウォールにより、セキュリティのフィルターがかかるからですね。

ということで、現在ＤＭＺと当初のＤＭＺは違うセグメントを指していたということになります。

この回答へのお礼

ありがとうございました。

DMZ というネーミングについて、事情が分りました。
現在ＤＭＺは、非武装というよりは、
軽武装という感じなのかも知れませんね。

--

お礼日時：2004/01/26 03:59

No.2 回答者： noname#14035 回答日時： 2004/01/23 23:24

こんばんは。

DMZ生成によるサーバー運用は、下記の条件を満たすために利用される事が多いでしょう。

1.LAN内からの管理（サーバーをぶら下げるルーターやファイアーウォールの設定や監視など）を行いながら（つまり、あくまで自組織の管理下におきながら）、サーバーを公開する。（そのためには、あくまで「自組織内のノード」という位置付けにある必要があります。）

2.同時にサーバー以外のLAN（部外者にアクセスされたくないネットワーク）の安全性を保つ。

誤解されている方も多いのですが、「ファイアーウォールの中」＝「安全」ということではなく、有効なフィルタリングを施すことで初めてファイアーウォールは効果を発揮します。（ゲートを設定しても、警備員をおかず開けっ放しであれば意味がないですよね。）

DMZ運用の典型的なパターンは、外部からのアクセス要求をすべてDMZ内のノード（つまりサーバー）にルーティングするケースです。（もちろん、セキュリティー上は許可されているもの（サーバー運用に関連するポート）に制限する必要があります。）

外からのアクセスは全てDMZにルーティングすることにより、内部ネットワークとDMZを仮想的に分離するわけです。

内部のネットワークは「明示的に許可しなければ、外から接続できないように設定する。」＝「武装」を施すのに対して、外部からの接続が許可されているサーバーが置かれているエリア（現実には該当するIPアドレスの範囲）は「外部からの接続が可能」＝「非武装」という表現で呼ばれる事が多いわけです。

ただし、もちろんDMZによるゾーンの分離も完璧なものではありません。

DMZ内のサーバーにセキュリティー・ホール等があれば、サーバー（サービス）そのものはもちろん、管理用のポートなどからの内部ネットワーク攻撃のきっかけとなってしまうこともあります。

仮想的に分離はされていても物理的には繋がっているわけですから、ファイアーウォール、ルーターといった部分の設定はもちろん、継続的な管理や監視が必須となります。

ネットワークセキュリティーを考える際は（他の事柄でもそうですが）、「仕組みで守ろうとする」のではなく、「自組織の運用形態でのリスクとメリットを天秤にかけた上で最適なシステムを選択し、正しく運用する」という事が大切だと思います。（そのためには当然相応のネットワーク知識が必要になるでしょう。）

以上、参考まで。

それでは。

この回答へのお礼

詳しくご説明いただいて、ありがとうございました。

お礼日時：2004/01/26 03:19

No.1 回答者： feininger 回答日時： 2004/01/23 22:51

外へ見せるためのマシンはDMZに配置します。

全身を見せる必要はないのでF/Wから顔だけ出しています。

とはいえ顔は出しているので撃たれることがあるんですよ。
内部においたマシンは外から 直接 撃たれることはありません。
　外から撃たれる＝武装していない
というイメージなのでは？

DMZと内部の違いは単にルーティングだったり、
Proxyという代理人を置いていたり・・・などです。

この回答へのお礼

分りやすい例えでご説明いただいて、
ありがとうございました。

--

お礼日時：2004/01/25 03:43