DMZ -非武装地帯-
従来のネットワークモデルでは「内側と外側」という2つの概念からくる考え方が一般的であった。ファイアウォールなどで内側をしっかりと守り、そこにサーバーやクライアントを設置する方式である。
しかし、この形は一般に公開されるサーバーの扱いが難しくなるという問題があった。それを解決するべく考案されたのがこの第3の概念 DMZ である。
まず、サーバーを内部・外部いずれかに設置する従来のやり方を見てみる。
内部設置型の特徴
公開サーバーをLAN内に設置。
この場合、サーバーはファイアウォールの内側にあるため攻撃を受けにくいメリットがある。しかし、ファイアウォールはサーバ向けの要求を通すために一部のポートを開放する必要がある。たとえばhttpならば80番を解放しなければならない。ポートを開かねばサービスが立ち行かないのだからやむを得ないのであるが、相対的にセキュリティレベルが下がことが懸念されるモデルとなってしまう。
外部設置型の特徴
公開サーバーをリモートネットワーク側に設置。
ファイアウォールにサーバーへ向けて要求を通す穴を空けなくてすむのでLANは安全となる。しかし、サーバーはまったくの無防備となり、内部設置型以上に危険なモデルかもしれない。
DMZを設定する場合
続いて、サーバー用に第3の領域を設定する場合を考える。
この第3領域は公開サーバー専用に設けるゾーンであり、内部と外部の間程度のセキュリティレベルとなる。DMZと内部LANの間には明確な隔たりがあり、かりにDMZにあるサーバーが攻撃されても内部LANは保護される。(外部設置型のメリット)
また、DMZ自体も外部との接続点でフィルタリングを行うことで保護することが可能となる。(内部設置型のメリット)
このように丁度、外部・内部に設置する場合のメリットを兼ね備えたモデルといえる。