Entry № 335
DMZ(非武装地帯)
DMZ(非武装地帯) とは何ですか?
DMZ(非武装地帯)外部公開サービスを配置する緩衝ネットワーク区画で、社内 LAN から隔離し、侵害時の影響範囲を抑える役割を担う。
DMZ は 2 台のファイアウォール(または多脚構成のファイアウォール)に挟まれた境界サブネットで、インターネットから到達可能である必要があるシステム(Web サーバー、メールリレー、リバースプロキシ、VPN 集約装置など)を配置します。外側のファイアウォールは定義された受信トラフィックを DMZ に通し、内側のファイアウォールは DMZ から内部ネットワークへの通信を厳しく制限し、理想的には特定アプリプロトコルから特定ホストへのみ許可します。これにより万一 DMZ のホストが乗っ取られても、内部データへ到達するには強固なポリシー境界を超える必要があり、侵害の影響範囲を抑えられます。現代の設計ではゼロトラスト制御・WAF・マイクロセグメンテーションを重ねて境界をさらに強化します。
● 例
- 01
DMZ 上の Web サーバーはインターネットから TCP/443 で到達できるが、社内 DB への接続は開始できない。
- 02
DMZ のメールリレーが、社内 Exchange への単一の SMTP ルールでメールを転送する。
● よくある質問
DMZ(非武装地帯) とは何ですか?
外部公開サービスを配置する緩衝ネットワーク区画で、社内 LAN から隔離し、侵害時の影響範囲を抑える役割を担う。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
DMZ(非武装地帯) とはどういう意味ですか?
外部公開サービスを配置する緩衝ネットワーク区画で、社内 LAN から隔離し、侵害時の影響範囲を抑える役割を担う。
DMZ(非武装地帯) からどのように防御しますか?
DMZ(非武装地帯) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
DMZ(非武装地帯) の別名は何ですか?
一般的な別名: 境界ネットワーク, 非武装地帯。