回答:
DMZは、ホームネットワークの外部からアクセスできるホームサーバー(Webサーバー、ssh、vnc、またはその他のリモートアクセスプロトコル)を実行する場合に適しています。通常、サーバーマシンでファイアウォールを実行して、特に必要なポートのみが公共のコンピューターからのアクセスを許可されるようにします。
DMZを使用する代わりに、ポート転送を設定することもできます。ポートフォワーディングを使用すると、ルーター経由で特定のポートのみを許可できます。また、ルーターの背後で複数のサーバーが実行されている場合は、いくつかのポートを指定して異なるマシンに移動できます。
お気をつけください。(ハイエンドファイアウォールを備えた)企業/プロフェッショナル環境のDMZは、ホームワイヤレスルーター(または家庭用の他のNATルーター)とは異なります。期待されるセキュリティを得るには、2番目のNATルーターを使用する必要がある場合があります(以下の記事を参照)。
ではエピソード3のセキュリティ今ポッドキャストレオ・ラポートとセキュリティの第一人者スティーブ・ギブソンによって、この主題は語られました。トランスクリプトで、「本当に興味深い問題は、ルーターで呼ばれているように、いわゆる「DMZ」、非武装地帯だからです」を参照してください。
Steve Gibsonから、http://www.grc.com/nat/nat.htm:
「ご想像のとおり、ルーターの「DMZ」マシン、および「ポート転送」マシンでさえ、実質的なセキュリティが必要です。さもないと、インターネットの真菌でcうことになるでしょう。 .. NATルーターには、LAN側のすべてのポートを相互接続する標準のイーサネットスイッチがあります。特別な「DMZ」マシンをホストするポートについては、「分離」するものはありません。転送されたルーターポートを介して、またはDMZホストであるため、内部プライベートLAN上の他のすべてのマシンにアクセスできます(これは本当に悪いです)。」
この記事には、2番目のNATルーターの使用を伴うこの問題の解決策もあります。問題と解決策を説明するいくつかの本当に良い図があります。
block all traffic from #4 to #1,#2,#3、L2スイッチでは不可能なルールを設定できます。
A DMZあなたは必要があなたのネットワークの外部からアクセスされることをサーバーまたはその他のデバイスを設定することができますどこか「非武装地帯」です。
そこに何がありますか?Webサーバー、プロキシサーバー、メールサーバーなど
ネットワークでは、攻撃に対して最も脆弱なホストは、電子メール、Web、DNSサーバーなど、LAN外のユーザーにサービスを提供するホストです。これらのホストが侵害される可能性が高まるため、侵入者が成功した場合にネットワークの残りを保護するために、それらのホストは独自のサブネットワークに配置されます。DMZ内のホストは、内部ネットワーク内の特定のホストへの接続が制限されていますが、DMZ内の他のホストおよび外部ネットワークとの通信は許可されています。これにより、DMZ内のホストは、内部ネットワークと外部ネットワークの両方にサービスを提供できます。一方、介在するファイアウォールは、DMZサーバーと内部ネットワーククライアント間のトラフィックを制御します。
コンピューターネットワークでは、境界ネットワークまたはスクリーンサブネットワークとも呼ばれるDMZ(非武装地帯)は、内部ローカルエリアネットワーク(LAN)を他の信頼できないネットワーク(通常はインターネット)から分離する物理または論理サブネットです。外部に面するサーバー、リソース、およびサービスはDMZにあります。したがって、それらはインターネットからアクセスできますが、内部LANの残りの部分には到達できません。これにより、ハッカーがインターネット経由で内部サーバーやデータに直接アクセスする能力が制限されるため、LANに追加のセキュリティレイヤーが提供されます。