非武装地帯 (コンピュータセキュリティ)

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索

非武装地帯 (DMZ)(ひぶそうちたい、DeMilitarized Zone)は、軍事用語および概念の「非武装地帯」から転用されたコンピュータネットワーク用語で、プライベートネットワークなどとインターネットを、論理的には接続しながらも隔離により内側の安全性を高く保ち、また、公開ウェブサーバなどに関して外側からのアクセスと内側からの管理の利便性を両立させるなどの目的で、両者の中間に「非武装地帯」として設けられるネットワーク領域のことである。

バリアセグメントなどとも呼ばれ、英語では、Data Management Zone, Demarcation Zone または Perimeter Network とも呼ぶ。

概要[編集]

DMZの特徴は、内部ネットワークと外部ネットワークからDMZに接続することは許容しながらも、DMZからは外部ネットワークだけに接続を許容している点にある。すなわち、DMZ内のホストからは、内部ネットワークに接続することができない。DMZは、侵入者がDMZのホストに侵入した場合にも、内部ネットワークを保護しながら、DMZのホストが外部ネットワークに対してサービスを供給することを可能にする。したがって、誰かが外部ネットワークから内部ネットワークに不法な接続を試みる場合、DMZは侵入者にとっての袋小路として機能することになる。

一般的にDMZは、メールサーバウェブサーバDNSコンテンツサーバProxyサーバなど、外部ネットワークからアクセスしやすい状況が必要な接続サーバのために使われる。

外部ネットワークからDMZまでの接続は、一般的にポートアドレス変換の使用によって制御される。

主な構成[編集]

多段ファイアウォール型[編集]

多段ファイアウォール型DMZでは、ネットワークの内側と外側の間に2つ以上のファイアウォールを設け、2つのファイアフォールの間にDMZを配置する。

この方式では、外部ネットワークからDMZ、DMZから内部ネットワークの間にそれぞれファイアウォールが設置されているため、段階的に通信を制限することができる。ネットワークの内側と外側の間に1つのファイアウォールを設け、2つのファイアフォールの間にDMZを配置する。


シングルファイアウォール型[編集]

シングルファイアウォール型DMZを利用した一般的なネットワークダイアグラム

シングルファイアウォール型DMZでは、1台ファイアウォールに3枚以上[1]NICを挿し、ネットワークの内側と外側、DMZと外側とを1つのファイアウォールを経由するように配置する。

この方式では、用意するファイアウォールが1台でよいため、コスト的に有利であるが、ネットワークの外側と内側とが直接(DMZを経由せず)通信するため、多段式に比べてセキュリティが低下する場合がある。

また、その形状から、「3つ足ファイアウォール」とも呼ばれる。


DMZホスト[編集]

ホームルーター(home router)を、DMZホストと呼ぶ場合がある。ホーム・ルーターのDMZホストは、すべてのポートを露出した内部ネットワークのホストである。ホスト自体でのアクセス制御はこれに含まれず外部から全ポートが接続可能な状態を指す。

脚注[編集]

  1. ^ 内部ネットワーク用、DMZ用、外部ネットワーク用

関連項目[編集]

参考文献[編集]

  • 河西宏之、北見憲一、坪井利憲 『情報ネットワークの仕組みを考える』 昭晃堂、2004年2月25日、初版。ISBN 4-7856-3144-9