DMZとは

 家庭内でインターネット接続環境を構築(そんな大げさなものではないですが)する場合、具体的にどのような作業をしますか?
 ブロードバンドルータを買ってきて、LAN側ポートにPCを接続して、WAN側に回線を接続するのが一般的かと思います。(スマホやタブレットを無線接続しますが、これはLAN側に当たります)
 PC2~3台に、スマホ・タブレット3~4台程度であれば、単一のLANと外部(≒インターネット)の区分けで問題なく使えます。家庭内LANで何かよほど凝ったことをしたいというのであれば、また話は別です。ここでは特殊な事例については除外することにします。

 家庭内LANのようにごく小規模なネットワーク構成であれば無関係ですが、小規模事務所以上になってくると考え方が変わってきます。
 大きく括ると、「運用上、LANとWANという二元論では対応し切れない」という理由に落ち着きます。
 以下に具体的事例を挙げてみました。

  1. 所属や建物・立地等の条件でネットワークを分割したい
  2. 有線と無線を別ネットワークにしたい
  3. ネットワークプリンタやNAS等は共通に利用したいが、セキュリティは確保したい
  4. PCとサーバは分けておきたい
  5. 各種サーバを安全に運用したい

 等々、これ以外にも様々な要求が想定されます。全てに共通しますが、これらはVLANを導入することで解決します。1.と2.に関してはVLANだけで対応可能です。他の項目に関しては、もう一捻り必要になります。
 3.と4.と5.に関しては、「LANでもWANでもないネットワーク」に所属させてやる必要がありそうです。第3のネットワークとでも言うのでしょうか。
 このようなネットワークのことをDMZと呼びます。DeMilitarized Zoneの略になります。日本語訳すると、「非武装地帯」となります。少々物騒な響きですね。魑魅魍魎が生息する(!?)インターネット側に直接つながるWANでもなく、囲われたエリアであるLANとも違う中間的位置づけのネットワークになります。

 では、このDMZにはどのような機器を設置するのでしょうか。最もシンプルな事例の図を描いてみました。
DMZとは
 DMZを挟むことにより、LANはDMZを介してインターネットに出て行くことになります。DMZ上にある機器がインターネットと接続しますので、LAN側の機器(この場合はPC)のセキュリティを高めることが出来ます。
 また、DMZからLANへの通信を禁止していますので、こちらもセキュリティを高めることにつながります。

 この図では一緒にしましたが、WebサーバやメールサーバやDNSコンテンツサーバのように、インターネット側からの通信要求があるサーバと、プロキシサーバやDNSキャッシュサーバのように内部からインターネット側への通信のみとなるサーバとでは、性質が異なるので別のDMZにした方が良いです。

 内部限定の通信でもDMZを用意した方がいい場合があります。上述の3.のケースが該当します。家庭内LANであれば、全て1つのLANに収容するということは普通ですが、法人の場合ですと、用途やセキュリティレベルに応じたネットワーク分割と適切なアクセスコントロールが欠かせません。
 重要なのは、「各機器が必要最小限の通信しか行えないようにしておく」という点を押さえておくことでしょうか。

 DMZの設置だけで全て解決するわけではありません。IDSやWAF等の話もありますので、後日記事を書いてみることにします。

  • このエントリーをはてなブックマークに追加

コメントをどうぞ