Broadband Watch logo

無線LANルータ編
第16回:DMZ


 「DMZ(DeMilitarized Zone:非武装地帯)」とは、インターネットに公開するエリアを指します。家庭用ルータの中には、簡易型DMZやDMZホストなどと呼ばれる簡易版を用意した製品もあります。


LANとは異なる領域を用意するDMZ。家庭用ルータは簡易型を備える

 インターネットに対してサーバーを公開する場合、セキュリティの観点から公開サーバーとそれ以外のマシン用に異なるLANとするのが鉄則と言えます。そうでないと、図1のように公開サーバーに侵入されてししまうと、そこを踏み台に別のマシンにも侵入されてしまう可能性があるためです。


図1:公開サーバーとその他を一緒のLANセグメントに置いた場合

図2-1:回線を複数用意する
 ただ、公開サーバーへの侵入を100%防ぐというのは難しく、このため万一に備えて侵入された場合を想定した環境を構築することが重要になります。これを実現する方法はいくつか考えられます。まず、複数の回線が利用できる環境であれば、図2-1のように公開サーバーとそれ以外を回線単位で分けてしまう方法です。これが1番確実ですが、一方でコストも1番かかります。

 そこでもう少し手軽にという場合には、図2-2のように2台のルータを使って、その間に公開サーバーを置く方法があります。この場合は、公開サーバーに侵入されても、そこから非公開サーバーやクライアントに侵入するためにはルータを経由する必要があるので、相対的に安全というわけです。

 また、ルータの中にはこうした公開用の有線LANポートを別に用意している製品もあります(図2-3)。こうしたルータを使えば、1台のルータで公開用サーバーとそれ以外の機器を分類することが可能です。


図2-2:2台のルータを用意する 図2-3:専用ポートを持つ製品を利用する

画面1:DMZ機能の設定画面
 これら図2-1~3に示した紫色の部分を「DMZ(DeMilitarized Zone:非武装地帯)」と呼びます。DMZの利用頻度は必ずしも高いものではありませんが、オンラインゲームなどではDMZの設定が必要になるケースもあります。

 以前と比べると数は減ってきていますが、いくつかのオンラインゲームでは「ポートXXとポートXXを公開しないと遊べません」という条件がある場合があります。また、条件の中には「ポート16000以上をすべて公開する」というものもあり、こうした場合にはDMZで設定した公開サーバーの場所に、使用するマシンを移動する必要が発生し、今度はLANに接続しているそれ以外のマシンへのアクセスができなくなってしまいます。

 こうした場合に使われるのが、ルータに搭載されているDMZ機能です。ただし、上述した図2-3のようなDMZポートを持つ家庭用ルータは少ないため、これらと区別するために「簡易型DMZ」や「DMZホスト」、「仮想DMZ」などと呼ばれています(画面1)。

 この簡易型DMZ機能を使用した場合、インターネットから送られてきたパケットは原則として、同機能で指定したマシンへと運ばれます。図3で言えば、非公開サーバーや1番下にあるクライアントが送ったリクエストに対するレスポンスは各マシンへと届きますが、それ以外のパケットは中央のクライアントに届くようになります。つまり、インターネットから見ると、指定されたクライアントが公開エリアに設置されているマシンのように見えるというわけです。


図3:簡易型DMZ

 ただ、この方式は該当するクライアントに侵入されてしまうと、他のクライアントや非公開サーバーにアクセスが可能となってしまうため、LAN側から見ると図1と同じ状況とも言えます。従って、可能であればDMZ機能ではなく、次回取り上げるポートフォワーディングなどの設定を利用することをお勧めします。


関連情報

URL
  無線LANルータ編 索引ページ
  http://bb.watch.impress.co.jp/cda/koko_osa/17754.html

2007/08/20 10:54

槻ノ木 隆
 国内某メーカーのネットワーク関係「エンジニア」から「元エンジニア」に限りなく近いところに流れてきてしまった。ここ2年ほどは、企画とか教育、営業に近いことばかりやっており、まもなく肩書きは「退役エンジニア」になると思われる。
Broadband Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.