| Systemwalker Centric Manager 使用手引書 リモート操作機能編 Connect管理者ガイド - Microsoft(R) Windows(R) 2000/ Microsoft(R) Windows(R) XP/ Microsoft(R) Windows Server(TM) 2003 - |
|
目次
索引
|
| 第2章 ネットワーク構成 |
DMZ(Demilitarized Zone)は、インターネット上でイントラネット間の接続を安全に中継するための環境です。DMZ は以下の特徴を持ちます。
DMZ はインターネットに接続される領域のため、 Firewall に囲まれています。イントラネットから DMZ 内の中継サーバへの接続は、必ず Firewall 経由で行います。
DMZ の Firewall は内向きの接続を許可されています。これは、イントラネットの Firewall が安全のために外向きの接続しか許可されていない状態でも、イントラネットから DMZ 内の中継サーバへ接続できるようにするためです。DMZ の Firewall は、イントラネットから接続したい通信 (TCP/UDP) ポートのみが、内向きに許可されています。逆に、DMZ から外向きの通信 (TCP/UDP) ポートは全て遮断しておくか、特定の通信ポートでかつ特定のIPアドレス以外は許可しないように厳しく制限します。
DMZ は(2)のポリシーのため、インターネットから侵入される危険性があります。しかし外向きは厳しく制限されているため、DMZ を踏み台にしてイントラネットに侵入される危険性は低くなります。また、この侵入されるという危険性のため、DMZ 上にはそのものが漏洩されると危険な実データは保持しないようにする必要があります。(例えば、メールは中継してもいいが、メールそのものは保持しない等)
具体的な DMZ のネットワーク構成例について以下示します。一般に、DMZ はインターネット経由でのサービス(本製品の場合はヘルプデスク等)を提供する側のイントラネットに隣接して設置されます。
2.2.1 Firewallを2台設置しイントラネットに隣接する構成2.2.2 Firewallを1台のみ設置しイントラネットに隣接する構成2.2.3 Firewall を1台のみ設置しイントラネットから独立した構成|
目次
索引
|