2001年5月27日 更新
DMZ(非武装ゾーン)は、インターネットとファイヤーウォールで守られた武装ゾーンの間に位置し、外部からのアタックターゲットになるがファイヤーウォールによるアクセスコントロールを受ける事ができるエリアです。 セキュリティポリシでは攻撃対象になるサーバマシンをここに置くことで、ファイヤーウォール内部の安全性を高める事が可能になります。DMZの構成は一般的には以下の通りです。
インターネット上に理論的に構築した「仮想メールサーバ」や「仮想DNS」は、ファイヤーウォールによってDMZ上に配置された実際のマシンへマッピングされます。(SonicWALLのようにDMZとインターネット側のインターフェイスがIPブリッジによって設計されているファイヤーウォールの場合にはDMZ上のアドレスはグローバルIPアドレスそのものなので、アドレスマッピングは不要です。) このため、これらのサーバが単純にインターネット上に配置するのに比べ次のような特徴を備えます。
- パケットがファイヤーウォールで監視される。
- 不要なパケットを抑制できる(上記の場合、メールとDNSパケット以外は受け付けない)
- 攻撃があった場合、ファイヤーウォールの監視機能で報告して貰える。
- 内部LANからは分離しているので、万一、DMZ上のマシンへ侵入されても内部のLANへの直接の被害はない