DMZホスティング機能
DMZ(DeMilitarized Zone)とは、ファイアウォールによって 外部(インターネット)からも内部(LAN)からも隔離された 領域のことを言います。
本商品では、仮想的にDMZ領域を作り、外部からアクセスされるDNSサーバ、 メールサーバ、Webサーバなどを仮想DMZ領域に 配置することで、既存のLANに対してセキュリティを確保する機能を 提供しています。
本商品のDMZホスティング機能は、これらの機能を組み合わせることによって、 お客様のパソコンをより安全に保つことができます。
ただし、DMZホスティング機能を、利用しても完全に被害を なくすことができることを保証するものではありません。 被害を最小限に止めるための機能とご理解いただき ご使用ください。
ネットワーク構成例
■設定方法
DMZ機能は様々な目的に使用することが可能ですが、 ここでは初期状態(工場出荷状態)のネットワークに下図の様な サーバ(DMZホストパソコン)を設置する方法を説明します。
 
[ご参考]
既存のLANは、192.168.0.0/24、DHCPサーバ機能および アドバンスドNAT機能(IPマスカレード/NAPT)使用となっています。 アドバンスドNAT(IPマスカレード/NAPT)を使用しているネットワークは、 外部から接続できません。 よって既存のLANが、外部からの意図しないアクセスを 受けることはありません。

また仮想DMZでは、DNSサーバ、メールサーバ、Webサーバなどの 複数のサーバを仮想DMZ領域に設置する場合には、ポートマッピングを 設定します。 さらにDMZホスティング機能は、IPパケットフィルタリングも あわせて設定すると、より安全な状態でご利用いただけます。
 
[設定例]
仮想DMZ領域の本商品のIPアドレス 「192.168.10.1」
サブネットマスク 「255.255.255.0」
DMZホストパソコン側のIPアドレス 「192.168.10.2〜192.168.10.254」が設定可能範囲
下図の例では、DMZホストパソコンのIPアドレスを 「192.168.10.2」として設定しています。
ネットワーク構成例
(1)本商品の設定をする
仮想DMZに設定すると、仮想DMZに配置されたパソコン(以後 「DMZホストパソコン」とします)から本商品の設定ができません。
本商品の設定は、仮想DMZ領域外のパソコン(従来のLAN側のパソコン。 以後「LAN側パソコン」とします。)で設定してください。
「クイック設定Web」
1. DMZホストを設定する
「詳細設定」- 「高度な設定」の「DMZホスト」と 「仮想DMZ側ネットワーク」で設定する。
−設定例での場合−
DMZホスト機能 「使用する」にチェック
DMZホストの配置 「仮想DMZ側」を選択
DMZホストのIPアドレス 「DMZホストパソコン」のIPアドレスを入力
(設定例では「192.168.10.2」)
「仮想DMZ側ネットワーク」の
IPアドレス		 通常は、[自動生成]をクリックしたときに表示されるIPアドレス
DMZで使用する本商品のIPアドレスを設定する
(設定例では「192.168.10.1」)
 
2. 複数のサーバ(DMZホストパソコン)を運用するときは、 ポートマッピングで設定する
「詳細設定」- 「ポートマッピング設定」を参照してください。
DMZホストパソコンが1台の場合には、設定の必要はありません。
「クイック設定Web」で「DMZホストのIPアドレス」に 割り振ったIPアドレス以外のIPアドレスをポートマッピングで 設定します。
例)
DMZホストパソコンA 「クイック設定Web」で 設定したDMZホストのIPアドレス(「192.168.10.2」)
DMZホストパソコンB IPアドレス(「192.168.10.3」)の場合、 「DMZホストパソコンB」のIPアドレス
(「192.168.10.3」)を ポートマッピング設定で行います。
ポートマッピングで設定したデータは「DMZホストパソコンB」に、 それ以外のデータはすべてDMZホストパソコンA」に送信されます。
 
3. 複数のサーバを置く場合は、パケットフィルタでサーバに 必要なポートをあける設定をする
「詳細設定」- 「パケットフィルタ設定」を参照してください。
Webサーバを置く場合は、Web用の必要なポートをあけるように 設定してください。
 
<「仮想DMZ」とは>
仮想DMZは、同一LAN上に異なるIPネットワークアドレスを持つ2つの サブネットを定義し、それらを アドバンスドNAT(IPマスカレード/NAPT)機能で接続することで、 従来のLAN側ネットワークの安全性を確保しつつ、DMZホスティング機能や ポートマッピング機能を実現することを目指したものです。
パソコンを仮想DMZに配置するとは、仮想DMZのネットワークアドレスを そのパソコンに設定することを言います。
(例:仮想DMZ側の本商品のIPアドレスが「192.168.10.1」、 サブネットマスクが「255.255.255.0」の場合には、 DMZホストパソコン側は「192.168.10.2〜192.168.10.254」が設定可能範囲)
「LAN側パソコン」と、「DMZホストパソコン」との間では、 セキュリティを高めるためにNATによるアドバンスドNAT機能 (IPマスカレード/NAPT)を使用しています。
そのため、「DMZホストパソコン」からのWAN側へのアクセスは 「LAN側パソコン」と同様に可能ですが、「DMZホストパソコン」から 「LAN側パソコン」へアクセスすることはできません。
逆に「LAN側パソコン」から「DMZホストパソコン」へのアクセスは、 可能になっています。 例えば、公開サーバを仮想DMZに配置したときは、サーバの内容を 更新するなどのように「LAN側パソコン」と通信する必要がある場合には、 「LAN側パソコン」から「DMZホストパソコン」へアクセスする ようにします。
 
<ご注意>
  • 複数固定IPサービスとは、併用できません。

  • シングルユーザアクセスモードとは、併用できません。

  • UPnPと併用することはできますが、UPnPを使用するパソコンは 仮想DMZ側に配置しないでください。 DMZホストパソコンでは、UPnPサービスを使用できません。

  • 仮想DMZは複数のネットワークに対応したIPアドレスを使用して、 仮想的にDMZを実現しようとしています。 IP(TCP/IP)以外のプロトコルに関しては、セキュリティ上の 効果はありません。

  • 仮想DMZ側、および従来のLAN側に配置するパソコン等は、 すべてIP(TCP/IP)以外のプロトコルを使用しないようにしてください。 IP(TCP/IP)以外のプロトコルであるNetBEUIやIPX/SPX、 AppleTalk等を使用してパソコン間のファイル共有を行うと、 DMZ側のパソコンからDMZ外のLAN側にアクセスが可能となってしまいます。 このときにDMZ側パソコンが被害をうけた場合は、 それらのプロトコルを使ってDMZ外のLAN側パソコン等に被害が 及ぶ可能性が高くなります。
 
(2)パソコンの設定をする
「DMZホストパソコン」のすべてに下記の設定を行います。
  ・Windows(R) XP の場合
  ・Windows(R) 2000 Professional の場合
  ・Windows(R) Me/98 の場合
  ・Mac OS の場合
↑ページのトップへ