やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

DMZ(DeMilitarized Zone)(非武装地帯、非武装セグメント)

 DMZとは、インターネットなど組織の外部と接続するネットワークにおいて、外部と内部の両方のネットワークの中間に位置付けられた領域のことで、ファイアウォールなどを介してネットワークが分離され構成されます。

 DMZという言葉は軍事用語であり、紛争地域の軍事境界線付近で軍事活動の禁じられて地域のことをいいます。

 外部ネットワークと直接通信する必要がある公開サーバやDNSサーバ、メールサーバなどが、DMZに配置されます。

 通常、外部ネットワークから内部ネットワークへ、ファイアウォールを介して直接通信するような構成は取りません。これは、外部から攻撃を受けた場合の影響が、内部ネットワーク全体へ波及する可能性があるためです。

 ファイアウォールでは、DMZには外部・内部の両方からアクセス可能としますが、DMZから内部ネットワークへのアクセスはできないように設定します。これは、外部からDMZのサーバが攻撃を受けて乗っ取られた場合にも、そこを踏み台にして内部ネットワークへアクセスされないようにするためです。

 

平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191114040854p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問17

 インターネットから直接アクセスする必要があるのはWebサーバですので、DMZに配置します。

 データベースサーバは内部セグメントに配置しますが、Webサーバと通信する方式としては、データベースサーバからWebサーバへの通信とすることが推奨されます。

ア WebサーバとデータベースサーバをDMZに設置する。
イ Webサーバとデータベースサーバを内部セグメントに設置する。
WebサーバをDMZに、データベースサーバを内部セグメントに設置する。

 これが正解です。

Webサーバを外部セグメントに、データベースサーバをDMZに設置する。
 
にほんブログ村 資格ブログへ にほんブログ村 IT技術ブログへ にほんブログ村 IT技術ブログ ネットワーク・SEへ にほんブログ村 IT技術ブログ セキュリティ・暗号化へ