私が理解している限り、DMZを使用すると、ホストコンピュータのすべてのポートがインターネットに公開されます。これは何に適していますか?
DMZは、ホームネットワークの外部からアクセスできるホームサーバー(つまり、Webサーバー、ssh、vnc、またはその他のリモートアクセスプロトコル)を実行する場合に適しています。通常は、サーバーマシンでファイアウォールを実行して、特に必要なポートのみがパブリックコンピュータからのアクセスを許可されるようにします。
DMZ=を使用する代わりに、ポート転送を設定します。ポート転送を使用すると、ルーターを介して特定のポートのみを許可でき、複数のサーバーがある場合は、いくつかのポートを別のマシンに送信するように指定することもできます。ルーターの背後で実行されています。
お気をつけください。 DMZは、ホームワイヤレスルーター(またはその他のNAT家庭用ルーター)の場合と同じではありません。 )期待されるセキュリティを得るために、2番目のNAT=ルーターを使用する必要がある場合があります(以下の記事を参照してください)。
Leo Laporteとセキュリティの第一人者であるSteve Gibsonによる episode の Security Nowポッドキャスト の中で、この話題について話しました。トランスクリプトでは、「ルーターで呼ばれる非武装地帯、いわゆる「DMZ」であるため、非常に興味深い問題」を参照してください。
Steve Gibsonから http://www.grc.com/nat/nat.htm :
「ご想像のとおり、ルーターの「DMZ」マシン、さらには「ポート転送」マシンでさえ、十分なセキュリティが必要です。そうしないと、すぐにインターネットの真菌をクロールすることになります。これは、セキュリティの観点から大きな問題です。なぜですか。 .. a NATルーターには、すべてのLAN側ポートを相互接続する標準のイーサネットスイッチがあります。特別な「DMZ」マシンをホストするポートに「個別」のものはありません。内部LAN上にあります!これは、転送されたルーターポートを介して、またはDMZホストであるため)にクロールする可能性のあるものはすべて、内部プライベートLAN上の他のすべてのマシンにアクセスできることを意味します(これは本当に悪いことです。 )」
この記事には、2番目のNATルーターを使用することを含む、この問題の解決策もあります。問題と解決策を示す非常に優れた図がいくつかあります。
[〜#〜] dmz [〜#〜] または「非武装地帯」では、ネットワークの外部からアクセスする必要のあるサーバーやその他のデバイスを設定できます。
何がそこにあるの? Webサーバー、プロキシサーバー、メールサーバーなど.
ネットワークでは、攻撃に対して最も脆弱なホストは、電子メール、Web、DNSサーバーなど、LAN外のユーザーにサービスを提供するホストです。これらのホストは危険にさらされる可能性が高いため、侵入者が成功した場合にネットワークの残りの部分を保護するために、独自のサブネットワークに配置されます。 DMZ内のホストは、内部ネットワーク内の特定のホストへの接続が制限されていますが、DMZ内の他のホストおよび外部ネットワークへの通信は許可されています。これはDMZ内のホストが内部ネットワークと外部ネットワークの両方にサービスを提供することを許可しますが、介在するファイアウォールはDMZサーバーと内部ネットワーククライアント間のトラフィックを制御します。
コンピュータネットワークでは、DMZ(非武装地帯)(境界ネットワークまたはスクリーンドサブネットワークとも呼ばれる)は、内部ローカルエリアネットワーク(LAN)を他のネットワークから分離する物理的または論理的なサブネットです信頼できないネットワーク、通常はインターネット。外部に面したサーバー、リソース、およびサービスはDMZに配置されています。したがって、インターネットからアクセスできますが、内部LANの残りの部分には引き続きアクセスできません。これにより、LANのセキュリティがさらに強化されます。ハッカーがインターネット経由で内部サーバーやデータに直接アクセスする機能を制限するためです。