ベストアンサー DMZ導入に関して 2006/10/23 16:15 DMZを社内で導入するかどうかという話になっているのですが、 導入のメリットはなんでしょうか。 また併せてデメリット等ありましたら一緒に教えて下さい。 よろしくお願いします。 みんなの回答 (2) 専門家の回答 質問者が選んだベストアンサー ベストアンサー asuca ベストアンサー率47% (11786/24626) 2006/10/23 16:21 回答No.2 諸刃の剣ですね。 DMZを使うとあおれで指定したIPアドレス宛に外部から自由にアクセス出来るようになります。 逆に言ったらサーバなどをその先におくのだったらファイヤーウォールをサーバにしっかり掛江置かないと進入されてしまうと言うことです。 メリットとしては面倒なルータの設定をしなくても外部ともしくは外部から自由にアクセスできると言うことですね。 広告を見て全文表示する ログインすると、全ての回答が全文表示されます。 通報する ありがとう 0 その他の回答 (1) rav4_hiro ベストアンサー率21% (503/2297) 2006/10/23 16:20 回答No.1 Webサーバやメールサーバなどインターネットに公開しなければならない場合はDMZ内にサーバーを設置すると安心&効果がありますね。デメリットは導入コストが高いことです。 広告を見て全文表示する ログインすると、全ての回答が全文表示されます。 通報する ありがとう 0 カテゴリ [技術者向] コンピューターITシステム運用・管理ネットワーク 関連するQ&A DMZ等について お世話になります 成田と申します 戸建てで新規導入を考えています 接続後インターネット利用のほかネットワークカメラを接続しスマホ等利用して外部よりアクセスすることも考えております そこで下記の機能が使用可能かお知らせください ・DMZ ・ポート転送 ・Dynamic DNS 宜しくお願いします ※OKWAVEより補足:「So-netの各種設定」についての質問です。 DMZサーバーは通常は物理サーバーなのでしょうか ある業務用の社内サーバーがあり、社内からはWebブラウザで httpでアクセスできています。 このWebサーバーを社外からスマホやWEBブラウザでアクセス するためには、セキュリティーのために外部アクセス用の DMZサーバーとFirewallを用意する必要がある、と言われたの ですが、このような用途のDMZサーバーは、一般的にどのように 準備をするものでしょうか。 1)物理サーバーとして社内に立てる 2)仮想サーバーとして社内に立てる 3)ルーターを追加してDMZの機能を有効にする 4)AWSを使って外部に立てる また、上記のどれでも可能な場合、一番メンテナンスに手間が かからず費用も最小限なのはどのケースでしょうか。 DMZ上のプロキシサーバの名前解決先 ひとつ知恵を貸してください。現在ネットワーク構築構想として、社内からインターネットへのHTTPアクセスは、DMZ上のプロキシサーバを仲介して行おうと考えています。またDNSサーバはキャッシュサーバを社内ネットワークに、コンテンツサーバをDMZに置こうと考えています。セキュリティ的に「キャシュサーバはDMZに置かない」という考えです。 ここで疑問なのですが、DMZ上のプロキシサーバがインターネットにアクセスする場合、当然名前解決が必要ですが、「この名前解決をどこに投げるか」ということなのです。DMZ上にDNSキャッシュサーバを置かないということは、社内ネットワーク上のキャッシュサーバに名前解決を投げるしかないと思うのですが、それがこの環境での最適解なのでしょうか。どうも「DMZ⇒社内ネットワーク」に穴をあけるというのが、気持ち悪い気がするのですが。。。いろいろとネットでプロキシサーバの名前解決について事例を漁ってみたのですが、明解な結果が得られなくて困っています。 それとも「DMZにはDNSキャッシュサーバを置かない」というポリシーと、「HTTPアクセスはDMZのProxyを通して行う」というポリシーは相容れないのでしょうか? もし事例などをご存知の方がいましたら、ぜひ考えを聞かせていただきたく、質問させていただきました。よろしくおねがいいたします。 ネットワークエンジニアとは?技術職の未来を考える OKWAVE コラム NetScreen50でTrust→DMZのPINGが通らない 現在社内LANとインターネットをファイアウォール経由で接続するべく設定を行っているのですが、 ファイアウォールのTrustポート→DMZポート間のpingが通らず困っています。 マニュアルを見ても良く判らないレベルです…。 一応、簡単な構成は以下の通りです。 社内LAN(192.168.*.*) → Switch → FW 192.168.4.254/24 (eth01:Trust) → → FW FW *.*.*.45/29 (eth02:DMZ) → ルータ → インターネット FW機種:NetScreen-50 ・社内LANからはFWのeth01までpingが通ります。 ・FWのeth01(Trust)、eth02(DMZ)共にInterface Modeを"NAT"または"Route"で試してみましたが駄目でした。 ・ポリシーの"Trust to DMZ"で"Any Any Any(またはPing) Permit"と設定してあります。 また、Interfaceの設定でもeth01、02共にPINGは許可してあります。 これを読んで何かお気付きの方がいらっしゃいましたら、ご教授下さると助かります。 よろしくお願い致します。 道州制導入について 道州制が導入された場合の考えられるメリット、デメリットはどういったものがあるのでしょうか?また、私たちの生活にどう影響するのでしょうか?道州制の詳しい意味も含めて教えていただけませんか。 Netscreen-25でのDMZ構成 Netscreen-25でのDMZ構成を設定しているのですが、 Netscreenのマニュアルをみてもよく分からず困っております。 ScreenOSは5.0.0r6.0です。 現在の構成は下記のようになっております。 (割振られてるIP : 210.111.222.0/28) IP16個です。 至インターネット | -------------------- | メディアコンバータ | -------------------- 210.111.222.10(UntrustのMIPで設定) | ↓ | 210.111.222.1 192.168.10.10 -------------------- 192.168.10.1 -------------------- | netscreen-25 |----- Swith ------| Webサーバ | DMZ領域 -------------------- -------------------- | 192.168.1.1 | ------ | ------ | PC |-- Switch --| PC | 社内LAN領域 ------.20 .21------ UntrustのMIPの設定は、 Mapped IP 210.111.222.10 HostIP 192.168.10.10 VRouter trust-vr としており、PoliciesにはHTTPをPermitする事で、 インターネット側からはWebサーバを参照することができます。 で、やりたい事は、 ・社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい ・逆にWebサーバから社内LAN領域にアクセスしたい のですが、Policiesを設定しても何ともなりません。 何か設定すればできるのか、DMZというのはそういう事はできないのか それすらも理解しておりません。 何かアドバイス、参考になるURL等ご存知の方 お返事頂けますと幸いです。宜しくお願いいたします。 DMZと社内LANは違うWindowsドメインにすべき? Windows NT4.0が出た頃に構築された社内LAN&インターネットサーバ環境を、今頃ようやくWindows Server 2003 R2 & Windows 2000 Serverで構築されたネットワークにアップグレードしようとしています。 現在の状態は(ネットワークを構築した当時のセキュリティの観点からなのか)インターネットサーバが置いてあるDMZと、社内LANがわざわざ別のNTドメインになっています。 今回、Active Directoryで構築し直すに当たって、やはり同じようにドメインを分ける必要があるのかどうか判らず、教えていただければと思い投稿しました。 現在は、社内LAN、mailサーバ、wwwサーバ、DBサーバ全てがWindowsNT4.0になっています。 mailサーバとwwwサーバにはそれぞれ社内LANのサブネットと同じプライベートアドレスが振ってあり、Firewallでグローバルアドレスに変換して外部からアクセスできるようになっています。これをDMZと呼んで良いのかどうか判らないのですが一応DMZと呼んでいます。 社内LANのNTドメイン(DOMAIN-Aとします)と、このDMZにあるmailサーバ、wwwサーバ、そして社内LANにあるDBサーバから構成されたNTドメイン(DOMAIN-Bとします)という二つのNTドメインが存在しています。 そして、OSが古かったからかもしれないのですが、DMZのNTドメインには以前外部から侵入された形跡があり、知らないユーザーアカウントが登録されたことがありました。そんなこともあったので、外部からアクセスできる領域は別のドメインにしておいた方がより安全なのかも、と思ったりしています。 しかし一方で「今はそんな面倒な組み方してる所はないよ」という話かもしれず、現在の主流な組み方が判らないので教えていただけないでしょうか。 よろしくお願い致します。 地球温暖化税導入について 地球温暖化税導入によるメリット、デメリット、あなたの意見等をお聞かせください。できれば詳しくお願いします。 法律云々を除いて、義務教育に通信制を導入するメリッ 法律云々を除いて、義務教育に通信制を導入するメリットとデメリットはなんでしょうか? もうひとつ、義務教育に定時制を導入するメリットとデメリットはなんでしょうか? ISAServerでDMZの設定方法を教えてください MS(マイクロソフト)の製品で、ISAserverというファイアーウォール製品があるのですが、そこでDMZを作成する方法がわかりません。 もしご存知の方がありましたら、回答おねがいします。 ちなみにISAServerで行おうとしていることは、DMZ内に社内向けと社外向けの2つのWebサーバをおいて、外部ネットワークから、社外向けのWebのページのみを表示させようとしています。 どうかよろしくお願いします。 イーラーニングを導入にあたって いつもお世話になっています。 今回はイーラーニングに関してです。 今イーラーニング導入を提案することを 計画中なのですが、実際に導入されているかた、 もしくはお詳しい方、注意点や導入のメリット デメリット等なにかアドバイスありましたら 宜しくお願いいたします。 質問が漠然としていて申し訳ありません。 SSD導入のメリット・デメリットを教えてください! 今後、SSDを導入しようとしています。 その前に、みなさんに意見を聞きたいと思います。 SSDをどう思いますか? 導入にあたってのメリット・デメリットは何ですか? それでは宜しくお願いいたします。 AIは使う人の年齢や市場にも影響する?人工知能の可能性 OKWAVE コラム DMZ上へのメールサーバ(SMTPとPOP)構築について 現在メールサーバはASPを利用しており、社内に環境はありません。 今回、社内に設置してあるFWに、DMZを新設して、 そこにメールサーバを設置しようとしています。 通常なら、DMZにはSMTPサーバ(メールリレーサーバ)のみ設置し、 POPサーバ(Exchange等)は社内LANに設置する方法がセキュリティ的にも 妥当かと思いますが、今回の用件としては、どうしてもインターネット上からの、 メール参照が必須となります。 (インターネット上からDMZ上のPOPサーバにPOPしに来る) 要は、自宅からメールが見たいということになります。 そこで、FWに空ける穴としては、下記追加を想定しておりますが、 問題等あればご指摘願いますでしょうか。 Untrust⇒DMZ ・・・SMTP(25)、POP3(110)を許可 Trust⇒DMZ ・・・SMTP(25)、POP3(110)を許可 ※なお、SMTPサーバ、POPサーバはPostfixでの構築です。 二学期制の導入について 現在、様々な教育機関において「二学期制」の導入が検討されていると聞きます。もしどの都市で実際に導入されているかご存知であれば教えてください。また、実際教育現場に携わっている方で、今までの三学期制と比較して「二学期制」のメリット、デメリットが分かれば教えてください。 広告ブロックソフトの導入を検討しています AdGuard (アドガード)という広告をブロックして画面に出さないソフトの導入を考えていますが 導入後のメリット・デメリットがお分かりでしたら教えて下さい。 DMZのLinuxマシンドメインについて DMZのLinuxマシンとWindowsマシンのドメイン名の関連性について不明な点があります。 「なぜ、外部D<ZのLinux・Unixサーバのドメイン名と内部のドメイン名を一緒にする必要があるのかわからないのです。」 一般環境では ・DMZに、LinuxまたはUNIXサーバに、bindやapcheを導入したサーバ設置。(Apacheサーバ、DNSサーバと名前はします。) ・内部LANには、ADでドメインを構築し、PC端末をドメインで管理するのが一般的だと思っております。 このとき、 (1)内部LAN(WindowsのADで.tast.netドメイン)を構築しPC1を参加させる。⇒PC1.test.net (2)DMZのLinuxやUnixのサーバーのホストネームを、「サーバ名.test.net」として、bindやapacheをインストールして外部に公開する。 DMZ側のドメインと、Windows側のドメインを同じ名前にしておく必要があるのでしょうか? DMZ側は、当然外に公開しているので、指定(=取得)したドメインを設定する必要があると思うのですが、 極論ですが、内部のWindowsADドメイン名は、DMZと異なったドメイン(test.com以外のもの「aaa.net等」)でも実際は問題無いのでしょうか? (当然、わかりにくくなって管理しにくくなるとはおもうのですが) なぜ、DMZとLANの 両ドメインを同じものに設定するのでしょうか? ADと同じドメインに参加したクライアントは、「サーバー等から管理もでき」「ドメイン不参加端末には、ファイルサーバ等にアクセスさせない」といったことができると考えております。 ですが、dmzのlinux群は、ドメイン名だけ一致しており、別にWindowsADに参加しているわけでは ないので恩恵がないのでは?なぜ中のドメイン名は外と一致させているのか?と思っております。 今、私が考え付くドメインを一致させておかないと不便かと思うのが 内部から外部にメールを送る際に、postfix等で転送する異なるドメイン名(=異なったWindowsサーバドメイン名:aaa.net)の指定等がいるのかなと思っているのですが。 ・確認したい点 (1).なぜ、外と内のドメイン名を一緒にする必要があるのでしょうか? linuxがwindowsのADとかに参加しているというのであれば、納得はできるのですが。 DMZに設置しているLinux群のサーバが、ADドメインに参加しているという状況を見たことが無いのです。 (2).DMZのドメイン名(apache.test.net) と AD参加内部クライアント(PC1.test.net)は、 ただドメインの一致だけさせており、DMZのサーバは、内部クライアントとは異なりドメインには 参加していない。の考えであっていますでしょうか?(コンピューターの管理とうに、DMZマシン名はでない。) どうしても、ドメイン名がつくと、内部のADに参加し、ドメイン名がくっついた形になっているのか? と考えていますのです。(DMZ:Apacheサーバ ⇒apache.test.net) どなたか ご教授のほうよろしくお願いします。 eo(イオ)64エアを導入された方 eo(イオ)64エアを導入された方、その使用感と言うか、メリット、デメリットなど、実際に使っていて感じたことをお聞かせください。うちの地域でも接続できるようになったのですが、まだ迷っています。HPなども見ましたが、いい事しか書いてないので、実際に使っている方にお話を聞いてから、決めたいと思っています。 よろしくお願いします。 サウンドカード導入のメリット、デメリット サウンドカード導入のメリット、デメリットをおしえてください。 サウンドカードを導入しても、それ相応のスピーカーを持っていないとただの、宝の持ち腐れですよね? いろいろ教えてください。 フレックスタイム制についてです。 導入した際の、メリットとデメリットを フレックスタイム制についてです。 導入した際の、メリットとデメリットを教えてください。 また、導入しても、廃止する企業が多数あると思いますが、統計データ(何割の確率で廃止しているか等)はありますでしょうか? あったらご教授いただきたく。 「国際共通通貨を導入するべきか」という論題でディベートを行っているので 「国際共通通貨を導入するべきか」という論題でディベートを行っているのですが導入するとどのようなメリットがあるのか。逆にデメリットは何があるのか。ということを教えてください。 出来れば国際共通通貨についても詳しく教えてください。 注目のQ&A 「You」や「I」が入った曲といえば? Part2 結婚について考えていない大学生の彼氏について 関東の方に聞きたいです 大阪万博について 駅の清涼飲料水自販機 不倫の慰謝料の請求について 新型コロナウイルスがもたらした功績について教えて 旧姓を使う理由。 回復メディアの保存方法 好きな人を諦める方法 小諸市(長野県)在住でスキーやスノボをする方の用具 カテゴリ [技術者向] コンピューター ITシステム運用・管理 ハードウェア・サーバーネットワークセキュリティ対策その他(ITシステム運用・管理) カテゴリ一覧を見る OKWAVE コラム 突然のトラブル?プリンター・メール・LINE編 携帯料金を賢く見直す!格安SIMと端末選びのポイントは? 友達って必要?友情って何だろう 大震災時の現実とは?私たちができる備え 「結婚相談所は恥ずかしい」は時代遅れ!負け組の誤解と出会いの掴み方 あなたにピッタリな商品が見つかる! OKWAVE セレクト コスメ化粧品 化粧水・クレンジングなど 健康食品・サプリ コンブチャなど バス用品 入浴剤・アミノ酸シャンプーなど スマホアプリ マッチングアプリなど ヘアケア 白髪染めヘアカラーなど インターネット回線 プロバイダ、光回線など
