家庭用無線ルーターのDMZって何に使うの？

DMZ は、ホームネットワークの外部からアクセス可能なホームサーバ(Web サーバ、ssh、vnc、その他のリモートアクセスプロトコルなど)を運用したい場合に適しています。一般的には、サーバマシン上でファイアウォールを実行して、公共のコンピュータからのアクセスを許可したいポートのみを許可するようにしたいと思うでしょう。

DMZ を使用する代わりに、ポート転送を設定することもできます。ポートフォワーディングでは、特定のポートのみをルータ経由で許可したり、ルータの後ろで複数のサーバを実行している場合は、いくつかのポートを別のマシンに送るように指定したりすることができます。

ご注意ください。企業/業務用（ハイエンドのファイアウォールがある）環境でのDMZは、家庭用の無線ルーター（またはその他の家庭用NATルーター）の場合とは異なります。期待したセキュリティを得るためには、2台目のNATルータを使う必要があるかもしれません（下記記事参照）。

Leo Laporte とセキュリティの第一人者 Steve Gibson による Security Now podcast の episode 3 で、この話題が語られています。トランスクリプトの中では、「本当に興味深い問題は、いわゆる「DMZ」、非武装地帯（ルーター上では非武装地帯と呼ばれている）だからだ」と近くに書かれています。

From Steve Gibson, http://www.grc.com/nat/nat.htm .

“ご想像の通り、ルーターの "DMZ "マシン、さらには "ポートフォワード "マシンでさえも、相当なセキュリティが必要です。それはセキュリティの観点からは大きな問題です。なぜですか? … NATルータは、LAN側のポートのすべてを相互接続する標準的なイーサネットスイッチを持っています。特別な "DMZ "マシンをホストしているポートについては、何も "別個の "はありません。それは内部LAN上にあります! これは、転送されたルーターのポートを介して、またはDMZホストであるために、それにクロールする可能性のあるものは何でも、内部のプライベートLAN上の他のすべてのマシンにアクセスできることを意味します。(これは本当に悪いことです。)」

記事には、この問題の解決策として、2台目のNATルータを使用する方法も書かれています。問題と解決策を説明するために、とても良い図がいくつかあります。

DMZ ](http://en.wikipedia.org/wiki/DMZ_(computing))または「非軍事化ゾーン」とは、ネットワークの外部からアクセスする必要があるサーバーなどを設置する場所のことです。

何がそこに属するのか？Webサーバー、プロキシサーバー、メールサーバーなど。

ネットワーク内で最も攻撃を受けやすいのは、メールサーバーやWebサーバー、DNSサーバーなど、LAN外のユーザーにサービスを提供するホストです。これらのホストは危険にさらされる可能性が高くなるため、侵入者が成功した場合にネットワークの残りの部分を保護するために、独自のサブネットワークに配置されます。DMZ内のホストは内部ネットワーク内の特定のホストとの接続が制限されていますが、DMZ内の他のホストや外部ネットワークとの通信は許可されています。これにより、DMZ内のホストは内部ネットワークと外部ネットワークの両方にサービスを提供することができ、一方、介在するファイアウォールがDMZサーバと内部ネットワーククライアント間のトラフィックを制御します。

コンピュータ・ネットワークでは、DMZ（非武装地帯）は、境界ネットワークやスクリーン付きサブネットワークとしても知られており、内部ローカル・エリア・ネットワーク（LAN）と他の信頼できないネットワーク（通常はインターネット）を隔てる物理的または論理的なサブネットです。外部に面したサーバー、リソース、およびサービスは、DMZ内に配置されています。そのため、インターネットからはアクセスできますが、内部 LAN の残りの部分にはアクセスできません。これは、ハッカーがインターネットを介して内部サーバーやデータに直接アクセスする能力を制限するため、LANにセキュリティの追加レイヤーを提供します。