2009-08-03 12:15:18 +0000 2009-08-03 12:15:18 +0000
24
24

家庭用無線ルーターのDMZって何に使うの?

私が理解している限りでは、DMZを使用することで、ホストコンピュータのすべてのポートをインターネットに公開することができます。それは何のために良いのですか?

回答 (4)

24
24
24
2009-08-03 12:22:14 +0000

DMZ は、ホームネットワークの外部からアクセス可能なホームサーバ(Web サーバ、ssh、vnc、その他のリモートアクセスプロトコルなど)を運用したい場合に適しています。一般的には、サーバマシン上でファイアウォールを実行して、公共のコンピュータからのアクセスを許可したいポートのみを許可するようにしたいと思うでしょう。

DMZ を使用する代わりに、ポート転送を設定することもできます。ポートフォワーディングでは、特定のポートのみをルータ経由で許可したり、ルータの後ろで複数のサーバを実行している場合は、いくつかのポートを別のマシンに送るように指定したりすることができます。

20
20
20
2009-08-03 14:56:37 +0000

ご注意ください。企業/業務用(ハイエンドのファイアウォールがある)環境でのDMZは、家庭用の無線ルーター(またはその他の家庭用NATルーター)の場合とは異なります。期待したセキュリティを得るためには、2台目のNATルータを使う必要があるかもしれません(下記記事参照)。

Leo Laporte とセキュリティの第一人者 Steve Gibson による Security Now podcast episode 3 で、この話題が語られています。トランスクリプトの中では、「本当に興味深い問題は、いわゆる「DMZ」、非武装地帯(ルーター上では非武装地帯と呼ばれている)だからだ」と近くに書かれています。

From Steve Gibson, http://www.grc.com/nat/nat.htm .

“ご想像の通り、ルーターの "DMZ "マシン、さらには "ポートフォワード "マシンでさえも、相当なセキュリティが必要です。それはセキュリティの観点からは大きな問題です。なぜですか? … NATルータは、LAN側のポートのすべてを相互接続する標準的なイーサネットスイッチを持っています。特別な "DMZ "マシンをホストしているポートについては、何も "別個の "はありません。それは内部LAN上にあります! これは、転送されたルーターのポートを介して、またはDMZホストであるために、それにクロールする可能性のあるものは何でも、内部のプライベートLAN上の他のすべてのマシンにアクセスできることを意味します。(これは本当に悪いことです。)」

記事には、この問題の解決策として、2台目のNATルータを使用する方法も書かれています。問題と解決策を説明するために、とても良い図がいくつかあります。

12
12
12
2009-08-03 12:22:07 +0000

DMZ ](http://en.wikipedia.org/wiki/DMZ_(computing))または「非軍事化ゾーン」とは、ネットワークの外部からアクセスする必要があるサーバーなどを設置する場所のことです。

何がそこに属するのか?Webサーバー、プロキシサーバー、メールサーバーなど。

ネットワーク内で最も攻撃を受けやすいのは、メールサーバーやWebサーバー、DNSサーバーなど、LAN外のユーザーにサービスを提供するホストです。これらのホストは危険にさらされる可能性が高くなるため、侵入者が成功した場合にネットワークの残りの部分を保護するために、独自のサブネットワークに配置されます。DMZ内のホストは内部ネットワーク内の特定のホストとの接続が制限されていますが、DMZ内の他のホストや外部ネットワークとの通信は許可されています。これにより、DMZ内のホストは内部ネットワークと外部ネットワークの両方にサービスを提供することができ、一方、介在するファイアウォールがDMZサーバと内部ネットワーククライアント間のトラフィックを制御します。

1
1
1
2018-07-26 09:44:18 +0000

コンピュータ・ネットワークでは、DMZ(非武装地帯)は、境界ネットワークやスクリーン付きサブネットワークとしても知られており、内部ローカル・エリア・ネットワーク(LAN)と他の信頼できないネットワーク(通常はインターネット)を隔てる物理的または論理的なサブネットです。外部に面したサーバー、リソース、およびサービスは、DMZ内に配置されています。そのため、インターネットからはアクセスできますが、内部 LAN の残りの部分にはアクセスできません。これは、ハッカーがインターネットを介して内部サーバーやデータに直接アクセスする能力を制限するため、LANにセキュリティの追加レイヤーを提供します。