Q&A
ご回答ありがとうございます。
通信制限をきちんとするならFWが必要なのですね。
ネットワーク機器は複合的な機能を持ったものが多く慣れない者には区別がなかなか難しいです・・。
よろしくお願いいたします。
DMZを構築する際に最低限必要な機器と設定についてご教示いただきたいです。
FWは必須なのでしょうか。VLANを用いて構築することはできないのでしょうか。
逆にFWがあればVLANを切る必要はないのでしょうか。
例えば、下記のような構成だと、どういった問題があるでしょうか。
実務経験がほとんどない(FW、VLANルータも触ったことがなく、どんな設定ができるのかあやふやです)ため、基礎的な誤りもあるかと思いますがご指導いただければ幸いです。
よろしくお願いいたします。
インターネット回線
|
VLANルーターー(VLAN200)ールータ(有線・無線)ーー各PC(10台程度)
| |____(VLAN300)ールータ(有線・無線)ーー各PC(10台程度)
|
(VLAN100)
|
公開サーバー
VLAN100:DMZ用 インターネットアクセス可、他VLANアクセス不可
VLAN200:事務用1 インターネットアクセス可、VLAN300へアクセス可
VLAN300:事務用2 インターネットアクセス不可、VLAN200へアクセス可
回答2件
0
記述してある程度の通信制御であれば、ルータやL3SWでも可能だと思います。
正常時のルーティングの挙動は FW もその他のルーティング機器も大きく違いはありません。
ただ、FW と通常のルーティング機器はもともとの設計コンセプトが違います。
FW:基本的に通信を通さない機器。通すための穴をあける設定を行う。見るレイヤーはL3/L4
その他の機器:基本的には通信を成立させる機器。通さないための設定を行う。見るレイヤーはL3
例えば、メジャーな FW では、通過するパケットの中身を見て、動的にポートを
開放したり、閉鎖したりする機能を実装しており、セッションログと整合性が合うかどうかを確認して、整合性があう場合は開放、矛盾する場合は閉鎖するといった機能がデフォルトで有効になっていたりします。
DMZ(というか、内部と外部の接点)に FW が必要かどうかは、ネットワークのセキュリティ設計の話になるので設計次第ではありますが、必要ないという判断をするケースはレアだと思います。
投稿2017/12/28 09:41
編集2017/12/28 09:59
退会済みユーザー
総合スコア0
0
ベストアンサー
FWは必須なのでしょうか。
DMZに対しては入口、および出口に対して厳しい関所を設けることが重要と考えます。
※以降はこれを前提としての回答となります。
それを実現するための一つとして、FWなどのパケットフィルタリング機能を持った機器を導入することが考えられます。
VLANを用いて構築することはできないのでしょうか。
VLANはネットワークを論理的に分割する機能であり、通信制限を行うような機能はありません。
従って高セキュリティを担保するようなDMZゾーンは作成できません。
逆にFWがあればVLANを切る必要はないのでしょうか。
VLANの機能は先に記述した通りです。
VLANを設定するかしないかはネットワーク仕様(物理的にNWを分割 or 論理的にNWを分割)に依ります。
例えば、下記のような構成だと、どういった問題があるでしょうか。
VLANルータというものが何者で、どんな設定がされているかに依ります。
インターネット回線が直収されているような記載になっていますので、インターネットルータと読み解いての回答になります。
最近のインターネットルータはパケットフィルタリング機能を備えているものがほとんどです。
従って、該当の機器でDMZの入口/出口にパケットフィルタリングを設定することができれば、ある程度のセキュリティが担保できます。
「ある程度」と記載していますが、この程度は導入する機器に依ります。
高セキュリティを担保したいのであれば、専用のFWを導入することを検討すべきと考えます。
投稿2017/12/28 07:21
総合スコア4309
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/12/31 07:02