Q&A
DMZにWebサーバを置く理由は、
・外部からのアクセスは可能とする
・万が一公開サーバが乗っ取られたとしても、そのサーバを踏み台にして
社内ネットワークにアクセスできない
と理解しています。
これは、FWの内側に公開するサーバを置いた場合のメリットと思えます。
Webサーバがそもそも独立のネットワークならば、DMZの必要性(DMZに
Webサーバを置くメリット)は無いように思えます。
(A社のWebサーバが乗っ取られたとして、B社の社内ネットワークに対する
脅威は大きくはなりません)
と考えてくると、
社内LANをインターネットに繋ぐルータ用のグローバルアドレスと
Webサーバのグローバルアドレスが別に取得してある場合、
DMZにWebサーバを配置する理由は何でしょうか。
Internet
|
FW-- WebServer
|
内部LAN
ふと思ったのは、
・外部からはDMZのWebサーバにhttp(s)のみの通信を許可
・内部からはDMZのWebサーバにhttp(s)以外の通信も許可
する設定でしょうか。
回答3件
0
ベストアンサー
DMZ構成のキモは、DMZにある公開サーバに対して、Internetからのアクセスよりも、内部LANからのアクセスを優遇(特別扱い)できる構造を用意することにより、
「内部LANから公開サーバへのアクセス利便性を確保したままで」
「(内部LANに関しては)より高いセキュリティを確保できる」
ということにあります。
さて、ここでちょっと考えてみましょう。内部LANからのアクセスを、Interenetからのアクセスよりも「優遇」するということは、InternetからDMZへのアクセスには何らかの制限がかかっていなければならないということを意味します。何故って、フルアクセスできる状態よりも優遇することなんてできませんからね。じゃあ誰が制限をかけるんでしょうか?そりゃFWしかありません。ここまで来ればもうわかったと思いますが、「DMZはFWの内側にある」のは前提条件なのです。
仮に、DMZに対してFW設定するのではなく、公開サーバ自身でだけFW設定をする、という話なのであれば、今回のあなたの疑問通り、別にDMZに置かなくてもできることしかできません。よって、公開サーバをDMZに置く意味はなくなりますが、しかし前述の通り、そもそもFW設定がないならDMZではないのでそうはならないのです。
なお、公開サーバにグローバルIPがあろうがなかろうがFW設定は普通にできます。グローバルIPを手元で使うためのunnumberd接続等は確かにややこしい概念ですが、所詮インターフェースを作ってそこを通して通信する仕組みですので、そのインターフェース自体へのINとOUTに対してFW設定すればいいだけの話です。
投稿2019/09/09 14:46
総合スコア596
0
ネットワーク構成図等がないと詳細を把握しにくいですが、簡単に言ってしまえば、DMZは必須のものではないし、一方、場合によっては単一のDMZよりも更に細かく区分けする場合も多いです。なので「DMZは必ずなければならない」というわけではありません。
実現したいことや、利用できる資源等を勘案して、DMZを設けることがよいと判断されれば設けるし、要らないと判断される場合もあります。
投稿2019/09/05 08:22
総合スコア11705
0
Webサーバをオンプレミスとした場合、コンテンツのアップロード、ヘルスチェック、ハウスキーピング等を行うにあたり、制限されない通信があった方が運用上都合が良いということが挙げられます。
投稿2019/09/05 09:15
総合スコア4315
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。