II-20-9. DeMilitarized Zone (DMZ)の設計方法

インターネットとLANの間にファイアウォールを設けてセキュリティを確保すると共に、外向きのサービスを集中的に配置して管理するDeMilitarized Zone (DMZ)の設計と構築する。DMZに配置したサーバを適切に運用するためのフィルタリングルールの設定について解説する。

【学習の要点】

* DeMilitarized Zone (DMZ)は、サービスをインターネットのような組織外のネットワークに対して公開するために設置されたサブネットワークである。

* DMZは、社内ネットワークの全面に配備されるため、これを守る意味もある。たとえ、DMZが攻撃されても、社内ネットワークはダメージを受けないように設計される必要がある。

* Webサーバ、メールサーバ、DNSサーバなどは、DMZに配備される主たるサービスである。

図II-20-9. DMZ

【解説】

1) ネットワーク境界の保護

* LANとWANを接続するネットワークの境界では、不正な侵入を防ぐために強固なセキュリティによって保護する必要がある。一般的に次の仕組みが使用される。

- ファイアウォール

- DMZ (DeMilitarized Zone) の設置

- IPS (Intrusion Prevention System)

* セキュリティポリシーによって、上記の仕組みはしばしば組み合わされたり省略される場合がある。

2) ファイアウォールとDMZ

* ファイアウォールは、IPアドレスやポートによってパケットのフィルタリングを行なう技術である。

* DMZとは、LANとWANの間に置かれるサブネットワークのことで、メールサーバやウェブサーバなど、外部にサービスを行なう公開サーバが設置されることが多い。

* DMZに置かれるサービスには、外部ネットワークから接続することができる。多くの場合、DMZの前面にはファイアウォールが設置され、不要なパケットはファイアウォールにより破棄される。また、ファイアウォールからDMZへの接続には、NAT (PAT) が掛けられることが多い。

* 内部ネットワークからもDMZにアクセスすることが可能である。これは内部ネットワークに接続している管理者の端末から、DMZ上のホストをメンテナンスするのに便利である。

* しかしながら、DMZからは内部ネットワークへの接続は禁止する。このことにより、万が一ファイアウォールを突破してDMZに不正に侵入された場合でも、被害が内部ネットワークに及ぶことを阻止する。

* DMZを前後二つのファイアウォールによって保護するアーキテクチャもある。異なるベンダのファイアウォールを採用することで、不正な侵入をより困難にすることができる。

3) 具体的な構成方法

* ファイアウォールやDMZ(あるいはIPS)を構成するには、それぞれの機能をもった別々のデバイスを用意するか、またはそれほど大きくないネットワークである場合は、中規模用ルータを用意すればこれらの機能をすべて1台でまかなうことが可能である。

* 限定的であるが、一部パケットの内部を理解し、動的にアクセス制御を行なうことのできるルータ製品もある。

* Linuxを用いてソフトウェアでこれらを実装することも可能である。このような場合は複数のNICを用意し、カーネルのnetfilterやSnortを用いて実現することができる。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。