- ベストアンサー
DMZ内にグローバルIPアドレス付与のサーバー
お世話になります。 DMZ内にWEBサーバーを構築する場合、以下2点において (A)の方がセキュリティ上好ましいと記述する文献等が 多いと思います。 (A)NAT変換をしたローカルIPを付与したWEBサーバー (B)割り当てられたグローバルIPを直接付与したWEBサーバー しかし、仮に(B)で構築した場合の具体的な脅威についてが 不明です。 宜しくお願い致します。
- cyobihige3
- お礼率100% (2/2)
- ネットワーク
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
開いているポートの数が NAT変換(というかポートフォワーディング)<DMZ なので。 http://www.atmarkit.co.jp/fpc/special/bbrouter_desc/portforward_dmz.html セキュリティの基本的な考え方は、不必要なポートは開かないこと。ポートフォワーディングはALL DENYで必要なポートだけ開いているのに対し、DMZではすべてのアクセスを転送するので危険なのです。
その他の回答 (1)
- winarrow07
- ベストアンサー率41% (143/346)
回答No.2
>(A)の方がセキュリティ上好ましいと記述する文献等が多いと思います。 そうなんですね。知らなかったです。 (A)だと例えば80番ポートへ来た分の通信しか来ませんが、 (B)だとサーバの設定次第では不用意に空いているポートがあるかもしれないから とか? でもDMZといえどもファイアウォールとかで最低限のポート開放にはなっていると思し。。私もあんまりよく分からないです。
質問者
お礼
ありがとうございました。
お礼
ありがとうございました。 参考URLを参照して理解出来ました。