- PR -

DMZの目的について

1
投稿者投稿内容
banboo
大ベテラン
会議室デビュー日: 2003/12/05
投稿数: 210
投稿日時: 2006-07-06 10:17
DMZの目的について質問が御座います.

私の理解では,DMZの目的は以下の様に認識しております.

(1)FW1である程度の不正アクセスをフィルタリングし,
限られた利用者のみに,外部に公開するWebサーバなどを
利用させるため

と認識しております.

---FW1---DMZ---FW2---内部LAN


それなら,FW1が必要な目的は,

(2)FW1である程度の不正アクセスをフィルタリング
することという認識でよろしいでしょうか?

(1),(2)の認識で間違っている点など
ありましたら御教授下さい.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-07-06 10:44
DMZの目的については、下記あたりに記載されているように、
1. 安全にインターネットにサービスを公開する
2. 1.のサーバへ侵入を許してもLANへの被害拡散を抑止する
あたりでしょう。
http://www.atmarkit.co.jp/aig/02security/dmz.html

引用:

(1)FW1である程度の不正アクセスをフィルタリングし,
限られた利用者のみに,外部に公開するWebサーバなどを
利用させるため

「限られた利用者のみに」はちょっとずれてるでしょう。
提供するサービス次第でしょうが、不特定多数に公開するサーバを
おくケースも多いでしょうし。
むしろ、特定のサーバの特定のポートのみへのアクセスを許可し、
他は拒否する、みたいな機能を提供する、ってのが大きな役割かと。

引用:

(2)FW1である程度の不正アクセスをフィルタリング
することという認識でよろしいでしょうか?

前述したとおり、基本は接続先ノード単位とTCP/UDPのポート単位のフィルタ、
その他状況に応じて接続元ノード単位のフィルタや認証機能提供、
簡易IDS/IPS機能の提供くらいですかね。

また、このようなセグメント構成にすることにより、
インターネット→LANのアクセスを一切無効にするような構成にする、
というのも大きいでしょう。
その辺はFW1・FW2どちらの役割、というのも難しい点です。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-07-06 11:27
こんにちは。

引用:

banbooさんの書き込み (2006-07-06 10:17) より:

---FW1---DMZ---FW2---内部LAN

それなら,FW1が必要な目的は,

通常は下記の構成が一般的です。

---FW-------内部LAN
  I
  DMZ

引用:

(2)FW1である程度の不正アクセスをフィルタリング
することという認識でよろしいでしょうか?

FW1つの構成でもDMZ部分のフィルタリング設定に関しては上記認識で結構です。


# 修正 以下のコメントを追加


---FW1-----FW2---内部LAN
  I
  DMZ

ウチでもこの構成にしていた時期がありました。
この時は、
FW1(外部→内部):一般的なインターネット向けの設定
FW2(内部→外部):インターネットアクセス許可PCだけをフィルタリング
  RAS環境が別途存在したため、RAS接続PC(IPアドレス範囲で判別)から
  はインターネットアクセスを制限するという目的。


[ メッセージ編集済み 編集者: BackDoor 編集日時 2006-07-06 11:44 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-07-06 12:11
こんにちわ.
引用:

banbooさんの書き込み (2006-07-06 10:17) より:

(1)FW1である程度の不正アクセスをフィルタリングし,
限られた利用者のみに,外部に公開するWebサーバなどを
利用させるため

と認識しております.

---FW1---DMZ---FW2---内部LAN


それなら,FW1が必要な目的は,

(2)FW1である程度の不正アクセスをフィルタリング
することという認識でよろしいでしょうか?

(1)と(2)の区別がよくわかりませんが,
自分もどちらかというと「firewall 2つで,間を DMZ とする」
のを好みます.
外側の firewall は「External 側からの許可された通信を通す」のと
「DMZ からの許可された通信を通す」ことと定義して,
内側の firewall は「internal からの許可された通信を通す」のと
「DMZ からの許可された通信を通す」ことと定義するとわかりやすいと思ってます.
※そのほうが firewall の構成(rule)が明快になるので.
予断になりますけど,自分は「NAT なら安全」という説を採らないのですが,
外側の firewall を透過型にすると DMZ を global IP address で利用できて,
そうすると DMZ 上の管理がしやすい(わかりやすい)と考えています.


firewall の基本的な機能は「許可された通信を通す」ことなので,
それが「不正な通信か?」ということは認識しません.
実際には firewall に IDS/IPS の機能が付加されることが多くなってきているので,
厳密には「認識されない」わけではありませんが,
firewall の基本機能としては「通信を通すかどうか?」という点が
「firewall の役割」と考えたほうが良いと思います.

以上,ご参考までに.
ちゅき
常連さん
会議室デビュー日: 2005/02/18
投稿数: 41
お住まい・勤務地: 関西
投稿日時: 2006-07-06 13:19
引用:

banbooさんの書き込み (2006-07-06 10:17) より:
DMZの目的について質問が御座います.

私の理解では,DMZの目的は以下の様に認識しております.

(1)FW1である程度の不正アクセスをフィルタリングし,
限られた利用者のみに,外部に公開するWebサーバなどを
利用させるため



DeMilitarized Zone(非武装地帯)。外からの危険もそうですが、自国民が勝手に武器を持ち出して乱射でもされてたら隣国と戦争が始まりますよね。ということで、内側からの外のセキュリティも考慮に入れたほうがよいかと。
最近は、情報漏えい防止なんかのために最終的なフィルタリングをする場所としても重要かと存じます。
1

スキルアップ/キャリアアップ(JOB@IT)