DMZ / De-Militarized Zone
■ DMZ。De-Militarized Zone。
非武装地帯。緩衝地帯。
外部からの攻撃の対象になりやすい公開サーバ群(Webサーバ等)を、
社内LANから隔離した独立的・中間的な位置に設置することにより、
万が一公開サーバ群に侵入された場合でも、
社内LANの安全は確保するためのネットワーク構成のこと。
基本的には、2台のファイアウォールを設置して、
インターネット、中間領域、社内LANと3分割するが、
あらかじめ3つのインターフェースを持つファイアウォールを用いて、
各々をインターネット、中間領域、社内LANに接続する構成も多い。
こうして、ネットワーク全体を3つの領域に分けるとき
公開サーバ(Webサーバ等)を設置する中間領域のLANを、DMZという。
DMZの発想は、万が一の事態は起こりうるもの、
というリスクコントロールの考えかたに基づいている。
単純に、外部からのWebサーバに対する攻撃を防御するだけなら、
公開サーバ(Webサーバ等)を社内LANに置けば良い。
しかしそれだと、万一Webサーバが不正侵入されたり、ワームが感染したとき、
社内LAN全体に被害が広がってしまう。
こうした自体をも避ける必要があるので、
公開サーバ群を、インターネット側でも社内LAN側でもない
独立したセグメントとして隔離するのである。
■ Webサーバの設置。
公開Webサーバは、最も攻撃を受けやすいサーバの1つである。
このため、外部からの攻撃を可能な限り避けるとともに、
不正アクセスを受けた場合の2次被害の拡大を防ぐために、
通常はDMZ内に設置され、
以下のようなファイアウォール設定が行なわれる。
(1) インターネット側からDMZへのアクセスは、
ポート番号80番の場合に限り許可するが、
それ以外の通信はすべて遮断する。
(2) DMZから社内LAN側へのアクセスや
DMZからインターネット側へのアクセスは、
すべて遮断する。
■ メールサーバの設置。
メールサーバは、最も攻撃を受けやすいサーバの1つである。
このため、外部からの攻撃を可能な限り避けるとともに、
不正アクセスを受けた場合の2次被害の拡大を防ぐために、
通常はDMZ内に設置され、
以下のようなファイアウォール設定が行なわれる。
(1) インターネット側からDMZへのアクセスは、
ポート番号25番の場合に限り許可するが、
それ以外の通信はすべて遮断する。
(2) DMZから社内LAN側へのアクセスや
DMZからインターネット側へのアクセスは、
すべて遮断する。
しかし、DMZにメールサーバを置いておくと、
クラッカに攻撃を受けたとき受信メールを読まれる危険がある。
そこでDMZのメールサーバを中継専用サーバとし、
社内LAN内の別のメールサーバを立てて、
ここに受信メールを中継、保存する構成が取られることが多い。
この場合、追加のファイアウォール設定が行われる。
(3) DMZから社内LAN側へのアクセスを、
ポート番号25番の場合に限り許可する。
以上。
2004/02/24 pm
HOME |
BACK