DMZ -非武装地帯- - syagi's blog

　従来のネットワークモデルでは「内側と外側」という2つの概念からくる考え方が一般的であった。ファイアウォールなどで内側をしっかりと守り、そこにサーバーやクライアントを設置する方式である。
　しかし、この形は一般に公開されるサーバーの扱いが難しくなるという問題があった。それを解決するべく考案されたのがこの第3の概念　DMZ　である。
　まず、サーバーを内部・外部いずれかに設置する従来のやり方を見てみる。

内部設置型の特徴

　公開サーバーをLAN内に設置。
　この場合、サーバーはファイアウォールの内側にあるため攻撃を受けにくいメリットがある。しかし、ファイアウォールはサーバ向けの要求を通すために一部のポートを開放する必要がある。たとえばhttpならば80番を解放しなければならない。ポートを開かねばサービスが立ち行かないのだからやむを得ないのであるが、相対的にセキュリティレベルが下がことが懸念されるモデルとなってしまう。

外部設置型の特徴

　公開サーバーをリモートネットワーク側に設置。
　ファイアウォールにサーバーへ向けて要求を通す穴を空けなくてすむのでLANは安全となる。しかし、サーバーはまったくの無防備となり、内部設置型以上に危険なモデルかもしれない。

DMZを設定する場合

　続いて、サーバー用に第3の領域を設定する場合を考える。
　この第3領域は公開サーバー専用に設けるゾーンであり、内部と外部の間程度のセキュリティレベルとなる。DMZと内部LANの間には明確な隔たりがあり、かりにDMZにあるサーバーが攻撃されても内部LANは保護される。（外部設置型のメリット）
　また、DMZ自体も外部との接続点でフィルタリングを行うことで保護することが可能となる。（内部設置型のメリット）
　このように丁度、外部・内部に設置する場合のメリットを兼ね備えたモデルといえる。

多段ファイアウォール型

　続いて、具体的なネットワーク構成を見てみる。
　まず、外部とDMZ、DMZと内部と2段階に分けてファイアウォールを設定する場合。
　それぞれのファイアウォールが必要に応じたフィルタリングルールで稼動することができるためより柔軟なシステムを構築できるといえる。（DMZまでは要求を通すが、内部へは一切通さない　など）
　ただファイアウォールを複数設置することになるためコストがかさむのが欠点。

シングルファイアウォール型

　DMZと内部ネットワークを並列に設置し、3つ以上のネットワーク端末があるファイアウォールによりアクセスをより分ける場合。
　コスト面ではファイアウォールが単体で済むため有利だが、DMZも内部ネットワークも同じファイアウォールによりフィルタリングされるため多段型よりもセキュリティレベルが低い場合がある。
　