DMZについて調べたので書いていきたいと思います.
DMZとは,外部ネットワーク(インターネット)と内部ネットワーク(ローカルネット)の中間に設置されるネットワーク空間のことです.
一般的に以下のような外部ネットワークからアクセスされやすいサーバーを置きます.
・Webサーバー
・メールサーバー
・DNSサーバー
外部ネットワークとDMZでは双方向で通信ができるのに対し,内部ネットワークとDMZでは内部ネットワーク→DMZしか通信できません.(内部ネットワークを見る必要がある場合は,そこだけファイアウォールを空けたりするようですが)
これにより,DMZにあるサーバーが乗っ取られた場合でも,内部ネットワークにまで被害が及ばないようにできます.
よく基本情報処理などで出題される問題としては,WebサーバーとDBサーバーそれぞれをDMZ/内部ネットワークのどちらに置くかというものです.
正解としては,WebサーバーはDMZ,DBサーバーは内部ネットワーク(Webサーバーからの特定のアクセスだけファイアウォールを空ける)だそうです.
DMZから内部ネットワークを見れるようにするのが嫌な場合はDMZのセグメントを分けてWebサーバーとDBサーバーを管理する方法もあるようです.
構成としては,
1. 外部ネットワーク - ファイアウォール - DMZ - ファイアウォール -内部ネットワーク
2. 外部ネットワーク - ファイアウォール - 内部ネットワーク
│
DMZ
の2パターンあるようです.
1は2つのファイアウォールを使用することでセキュリティを確保できますが,費用が高くなります.
(2つのファイアウォールを別種にすれば更に堅牢なセキュリティを確保できます)
2は1とよりセキュリティ面では劣りますが費用は抑えることができます.(こっちのほうが使われることが多いようです)
内部に公開サーバーを持っている会社はセキュリティ向上のために導入したほうが良いですね.
