DMZ(Demilitarized Zone)は、インターネット上でイントラネット間の接続を安全に中継するための環境です。DMZは以下の特徴を持ちます。
イントラネットおよびインターネットから見て、Firewallに囲まれたネットワーク
DMZはインターネットに接続される領域のため、Firewallに囲まれています。イントラネットからDMZ内の中継サーバへの接続は、必ずFirewall経由で行います。
図2.5 DMZへFirewall経由で接続
Firewallは内向き接続を許可し、外向き接続は制限
DMZのFirewallは内向きの接続を許可されています。これは、イントラネットのFirewallが安全のために外向きの接続しか許可されていない状態でも、イントラネットからDMZ内の中継サーバへ接続できるようにするためです。DMZのFirewallは、イントラネットから接続したい通信(TCP/UDP)ポートのみが、内向きに許可されています。逆に、DMZから外向きの通信(TCP/UDP)ポートはすべて遮断しておくか、特定の通信ポートでかつ特定のIPアドレス以外は許可しないように厳しく制限します。
図2.6 Firewallの内向きは許可、外向きは制限
インターネットから侵入される危険性があるが、踏み台にはなりにくい
DMZは(2)のポリシーのため、インターネットから侵入される危険性があります。しかし外向きは厳しく制限されているため、DMZを踏み台にしてイントラネットに侵入される危険性は低くなります。また、この侵入されるという危険性のため、DMZ上にはそのものが漏洩されると危険な実データは保持しないようにする必要があります。(例えば、メールは中継してもいいが、メールそのものは保持しない等)
図2.7 DMZは乗っ取られる危険性があるが、踏み台にはならない
具体的なDMZのネットワーク構成例について以下に示します。一般に、DMZはインターネット経由でのサービスを提供する側のイントラネットに隣接して設置されます。
