DMZホスティング機能
DMZホスト(DeMilitarized Zone)とは、ファイアウォールによって外部 (インターネット)からも内部(LAN)からも隔離された領域のことを言います。
本商品では、仮想的にDMZ領域を作り、外部からアクセスされるDNSサーバ、 メールサーバ、Webサーバなどを仮想DMZ領域に配置する ことで、既存のLANに対してセキュリティを確保する機能を提供しています。
本商品のDMZホスティング機能は、これらの機能を組み合わせることにより、 お客様のパソコンをより安全に保つことができます。
ただし、DMZホスティング機能を、利用しても完全に被害をなくすことが できることを保証するものではありません。 被害を最小限に止めるための機能とご理解いただきご使用ください。

イラスト
設定方法
DMZ機能はさまざまな目的に使用することが可能ですが、ここでは初期状態 (工場出荷状態)のネットワークに下図のようなサーバ(DMZホストパソコン)を 設置する方法を説明します。

<ご参考>
既存のLAN(ローカルネットワーク)は、「192.168.0.0/24」 、 DHCPサーバ機能およびIPマスカレード機能使用となっています。 IPマスカレードを使用しているネットワークは、外部から接続できません。
よって既存のLANは外部からの意図しないアクセスを 受けることはありません。

また仮想DMZでは、DNSサーバ、メールサーバ、Webサーバなどの複数のサーバを 仮想DMZ領域に設置する場合にはポートマッピング設定します。 さらにDMZホスティング機能は、IPパケットフィルタリングの設定もあわせて 設定すると、より安全な状態でご利用いただけます。

<設定例>
設定可能範囲は、下記の通りです。
 仮想DMZ側の本商品のIPアドレス :192.168.10.1
 サブネットマスク:255.255.255.0
 DMZホストパソコン側のIPアドレス :192.168.10.2〜192.168.10.254

(下記の例では、DMZホストパソコンのIPアドレスを 192.168.10.2として設定)

イラスト
(1) 本商品の設定をする
仮想DMZに設定すると、仮想DMZに配置されたパソコン(以後「DMZホストパソコン」と します)から本商品の設定ができません。
本商品の設定は、仮想DMZ領域外のパソコン(従来のLAN側のパソコン。以後 「LAN側パソコン」とします。)で設定してください。

■ 「クイック設定Web」
1. DMZホストを設定する
「詳細設定」- 「高度な設定」-[DMZホスト]/[仮想DMZ側ネットワーク]/ [仮想DMZ側ネームサーバ]で設定する。

設定例での場合、

  DMZホスト機能 : 「使用する」にチェック
  DMZホストの配置 : 「仮想DMZ側」を選択
  DMZホストのIPアドレス : 「DMZホストパソコン」のIPアドレスを入力
  (設定例192.168.10.2)
  仮想DMZ側ネットワークのIPアドレス :  DMZで使用する本商品のIPアドレスを設定する
  通常は、[自動生成]をクリックした時に表示される
  IPアドレス(設定例192.168.10.1)

2. 複数のサーバ(DMZホストパソコン)を運用するときは、 ポートマッピングで設定する
「詳細設定」- 「ポートマッピング設定」を参照してください。
DMZホストパソコンが1台の場合には、設定の必要はありません。
「クイック設定Web」で「DMZホストのIPアドレス」に割り振ったIPアドレス以外の IPアドレスをポートマッピングで設定します。

例) DMZホストパソコンA:「クイック設定Web」で設定したDMZホストのIPアドレス (192.168.10.2)
   DMZホストパソコンB:IPアドレス(192.168.10.3)
   の場合、「DMZホストパソコンB」のIPアドレス(192.168.10.3)を ポートマッピングの設定で行います。
* ポートマッピングで設定したデータは「DMZホストパソコンB」に、それ以外の データはすべて
   「DMZホストパソコンA」に送信されます。

3. 複数のサーバを置く場合は、パケットフィルタでサーバに 必要なポートをあける設定をする
「詳細設定」- 「パケットフィルタ設定」を参照してください。
Webサーバを置く場合は、Web用の必要なポートを空けるように 設定してください。
 
<「仮想DMZ」とは>
仮想DMZは、同一LAN上に異なるIPネットワークアドレスを持つ2つのサブネットを 定義し、それらを アドバンスドNAT(IPマスカレード/NAPT)機能で 接続することで、従来のLAN側ネットワークの安全性を確保しつつ、 DMZホスティング機能やポートマッピング機能を実現することを 目指したものです。
パソコンを仮想DMZに配置するとは、仮想DMZのネットワークアドレスを そのパソコンに設定することを言います。
(例:仮想DMZ側の本商品のIPアドレスが192.168.10.1、サブネットマスク 255.255.255.0の場合には、DMZホストパソコン側は192.168.10.2〜192.168.10.254が 設定可能範囲)
「LAN側パソコン」と、「DMZホストパソコン」との間では、セキュリティを 高めるためにNATによるIPマスカレード機能を使用しています。
そのため、「DMZホストパソコン」からのWAN側へのアクセスは「LAN側パソコン」と 同様に可能ですが、「DMZホストパソコン」から「LAN側パソコン」へアクセスする ことはできません。
逆に「LAN側パソコン」から「DMZホストパソコン」へのアクセスは、 可能になっています。
例えば、公開サーバを仮想DMZに配置したときは、 サーバの内容を更新するなどのように 「LAN側パソコン」と通信する必要がある場合には、「LAN側パソコン」から 「DMZホストパソコン」へアクセスするようにします。
 
<ご注意>
  • 複数固定IPサービスとは、併用できません。

  • シングルユーザアクセスモードとは、併用できません。

  • UPnPと併用することはできますが、UPnPを使用するパソコンは 仮想DMZ側に配置しないでください。 DMZホストパソコンでは、UPnPサービスを使用することはできません。

  • 仮想DMZは複数のネットワークに対応したIPアドレスを使用して、 仮想的にDMZを実現しようとしていますので、IP(TCP/IP)以外のプロトコルに 関しては、セキュリティ上の効果はありません。
    仮想DMZ側、および従来のLAN側に配置するパソコン等は、 すべてIP(TCP/IP)以外のプロトコルを使用しないようにしてください。

  • IP(TCP/IP)以外のプロトコルであるNetBEUIやIPX/SPX、AppleTalk等を 使用してパソコン間のファイル共有を行うと、DMZ側のパソコンから DMZ外のLAN側にアクセスが 可能となってしまいます。
    その場合にDMZ側パソコンが被害をうけた場合は、それらのプロトコルを 使ってDMZ外のLAN側パソコンに被害が及ぶ可能性が高くなります。
 
(2)パソコンの設定をする
「DMZホストパソコン」のすべてに下記の設定を行います。
 ・Windows(R) XP の場合
 ・Windows(R) 2000 Professional の場合
 ・Windows(R) Me/98 の場合
 ・Mac OS の場合
↑ページのトップへ