DMZ / De-Militarized Zone

■ DMZ。De-Militarized Zone。

  非武装地帯。緩衝地帯。

  外部からの攻撃の対象になりやすい公開サーバ群(Webサーバ等)を、
  社内LANから隔離した独立的・中間的な位置に設置することにより、
  万が一公開サーバ群に侵入された場合でも、
  社内LANの安全は確保するためのネットワーク構成のこと。

  基本的には、2台のファイアウォールを設置して、
  インターネット、中間領域、社内LANと3分割するが、
  あらかじめ3つのインターフェースを持つファイアウォールを用いて、
  各々をインターネット、中間領域、社内LANに接続する構成も多い。

  こうして、ネットワーク全体を3つの領域に分けるとき
  公開サーバ(Webサーバ等)を設置する中間領域のLANを、DMZという。

  DMZの発想は、万が一の事態は起こりうるもの、
  というリスクコントロールの考えかたに基づいている。

  単純に、外部からのWebサーバに対する攻撃を防御するだけなら、
  公開サーバ(Webサーバ等)を社内LANに置けば良い。
  しかしそれだと、万一Webサーバが不正侵入されたり、ワームが感染したとき、
  社内LAN全体に被害が広がってしまう。

  こうした自体をも避ける必要があるので、
  公開サーバ群を、インターネット側でも社内LAN側でもない
  独立したセグメントとして隔離するのである。

■ Webサーバの設置。

  公開Webサーバは、最も攻撃を受けやすいサーバの1つである。

  このため、外部からの攻撃を可能な限り避けるとともに、
  不正アクセスを受けた場合の2次被害の拡大を防ぐために、
  通常はDMZ内に設置され、
  以下のようなファイアウォール設定が行なわれる。

  (1) インターネット側からDMZへのアクセスは、
      ポート番号80番の場合に限り許可するが、
      それ以外の通信はすべて遮断する。

  (2) DMZから社内LAN側へのアクセスや
      DMZからインターネット側へのアクセスは、
      すべて遮断する。

  

■ メールサーバの設置。
 
  メールサーバは、最も攻撃を受けやすいサーバの1つである。

  このため、外部からの攻撃を可能な限り避けるとともに、
  不正アクセスを受けた場合の2次被害の拡大を防ぐために、
  通常はDMZ内に設置され、
  以下のようなファイアウォール設定が行なわれる。

  (1) インターネット側からDMZへのアクセスは、
      ポート番号25番の場合に限り許可するが、
      それ以外の通信はすべて遮断する。

  (2) DMZから社内LAN側へのアクセスや
      DMZからインターネット側へのアクセスは、
      すべて遮断する。

  しかし、DMZにメールサーバを置いておくと、
  クラッカに攻撃を受けたとき受信メールを読まれる危険がある。
  そこでDMZのメールサーバを中継専用サーバとし、
  社内LAN内の別のメールサーバを立てて、
  ここに受信メールを中継、保存する構成が取られることが多い。
  この場合、追加のファイアウォール設定が行われる。

  (3) DMZから社内LAN側へのアクセスを、
      ポート番号25番の場合に限り許可する。

  

以上。

2004/02/24 pm