おそらくは、プロキシサーバを DMZ に設置するということは、外部からプロキシサーバを利用可能にする=port を公開するということなので、公開しているポートに対しての攻撃は防ぎようもないのではないか、と思っておられるのではないかと推察します。
しかし、プロキシサーバを DMZ に設置するということは、外部からプロキシサーバを利用可能にすることとは必ずしもイコールではありません。
具体的には、FW で「unnumbered 接続」することによって複数のグローバル IPアドレスの移譲を受ける場合に、移譲された小さなグローバル IP の空間を DMZ として利用するという形態があります。
この場合、プロキシサーバがグローバル IP を持っていても、外部からプロキシサーバの待受ポートへアクセスできないように設定する意味があります。プロキシサーバにはグローバル IP がないと https 等の通信をまっとうには通せないからです。
この問題が問題としていまいちではあるのは確かです。もともとネットワークの境界に置くことが多いプロキシサーバは、一般的なネットワーク構成の問題で触れるのは避けるべきサーバでしょう。しかし、そもそもとして防げるかどうかが全てであって、サービス提供を阻害してはならないと書かれていないからブロック可能とか言うこともできますし、そこまで無茶を言わずとも、アプリケーションファイアウォールなら公開 port に対する攻撃でもブロック可能とも言えます。となれば、問題が問題として成立するための解釈を前提として回答するのが正解というものです。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/03/03 12:05