2009年05月21日 10:39 by AzureStone

DMZ(非武装地帯:DeMilitarized Zone)の構築方法を議論させて頂きたいと思います。

・非武装地帯 (コンピュータセキュリティ) - Wikipedia: http://ja.wikipedia.org/wiki/%E9%9D%9E%E6%AD%A6%E8%A3%85%E5%9C%B0%E5%B8%AF_(%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)

1: 口コミさん : 2009-05-21 10:45
▽ 参考文献
・セキュリティ用語事典[DMZ(DeMilitarized Zone)]: http://www.atmarkit.co.jp/aig/02security/dmz.html
・DMZを設置しないといけない:ITpro: http://itpro.nikkeibp.co.jp/article/COLUMN/20080507/300882/
・ファイアウォールとDMZ:ITpro: http://itpro.nikkeibp.co.jp/article/COLUMN/20060821/245990/
・ファイヤーウォール構築例-3: http://d-net.robata.org/d-net/build-firewall-03.html
・ファイヤーウォール構築例-4:http://d-net.robata.org/d-net/build-firewall-04.html
・第1回 ファイアウォールの基礎知識: http://www.atmarkit.co.jp/fsecurity/rensai/fw01/fw01.html
・ファイアーウォールについて: http://www3.ocn.ne.jp/~koshino/fw.html
2: 口コミさん : 2009-05-21 11:25
【質問】 個人レベルでの現実的な構築には、どのような機器が適しているのでしょうか?
とりあえずはルーターの VLAN 機能で、サーバを内部ネットワークから隔離しようかと思ったのですが、所詮 MAC アドレスで認識されているだけなので、偽装されたら意味がないとメーカーに言われてしまいました。それならば、ルーターを 2 台直列に繋いで、その間を DMZ として使うのが妥当だと。
・NetGenesis SuperOPT-GFive: http://www.mrl.co.jp/product/nwgoptg5.htm

そのようなルーターをファイヤウォールに用いる DMZ というのは、一般的な方法なのでしょうか? よく知らないのですが、単にファイヤウォール単体としての機器もあるわけですよね。個人向けに販売されているものなのでしょうか?

「SonicWALL」というのが結構有名なようですが、低価格といってもかなり高価ですよね。安いルーターのファイヤウォール機能との違いは何なのでしょうか?
・ソニックウォール:SonicWALL: http://www.sonicwall.com/japan/products/index.html
 http://www.sonicwall.com/japan/campaign/campaign_TZ210.html
3: 口コミさん : 2009-05-21 15:18
100MbpsしかでないけどXR410/TX4つかってます。portが4つあるので。
http://www.centurysys.co.jp/router/xr410tx4.html

あとは自分で作る。NICを3枚さして....
4: 口コミさん : 2009-05-21 16:03
私は個人レベルでDMZを構築することが一般的ではないと思っているので、個人レベルでDMZを構築する一般的な方法はないと思っていますが(^^;)、一般的ではないが家庭でも気分を味わえるレベルで構築したいならというレベルでコメントさせていただきます。

企業のようにDMZを作ってみたいということであればやはりファイアウォールを選択するのがよいのではないでしょうか。
新品で安いものを探すとFortiGate 50BやNetScreen SSG5、SonicWall TZ170 あたりですね。
オークションあたりで NetScreen 5 あたりを探してみてはいかがでしょうか。運が良ければ数千円で手に入ります。
5: 口コミさん : 2009-05-23 12:04
>>>>> nori さん
> 100MbpsしかでないけどXR410/TX4つかってます。portが4つあるので。
おお、こういう製品もあるのですね。参考になりました。

> あとは自分で作る。NICを3枚さして....
最終的にはそうなるわけですね。勉強してみます。

>>>>> みつる さん
> 私は個人レベルでDMZを構築することが一般的ではないと思っているので、
確かに。(^ ^;)

> 家庭でも気分を味わえるレベルで構築したいならというレベル
はい、まさにそれですね。強いて言えば SOHO レベル程度でしょうか。

> やはりファイアウォールを選択するのがよいのではないでしょうか。
やはりそうなんですね。確かにルーターのファイヤウォール機能は頼りない気も。
私なりに調べた限りでは、最近はファイアウォール単体と言うより、アンチウィルスとか VPN とか色々な機能を統合した UTM という機器が多いみたいですね。最小限の機能の機器を探してみたいと思います。
6: 口コミさん : 2009-05-23 12:49
【補足】
気になったメーカーを列挙しておきます。
・SonicWall: http://www.sonicwall.com/japan/
・Juniper (Netscreen): http://www.juniper.co.jp/
・Fortinet (FortiGate): http://www.fortinet.co.jp/
・WatchGuard (FireBox): http://www.watchguard.co.jp/
・CENTURY SYSTEMS (FutureNet): http://www.centurysys.co.jp/
・YAMAHA: http://netvolante.jp/

▽ 参考文献
・ファイアウォール製品比較: http://www.mubit.co.jp/homepage/network/fwgws.html
7: 口コミさん : 2009-05-25 12:06
▽参考
・無線LANルータ編 第16回:DMZ: http://bb.watch.impress.co.jp/cda/koko_osa/19142.html
・自宅サーバーのネット構成変更(DMZ設置)の質問です。: http://q.hatena.ne.jp/1210050389
・ルータを2台利用してDMZ環境を構築: http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=20050&forum=11&3
・ルータ2台・グローバルIPアドレス1個でのDMZ構築: http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=20967&forum=11&4
8: 口コミさん : 2009-05-27 04:21
【補足】
すべて LAN セグメントが 3 つ以上あるので、一台で DMZ を構築可能。

▼ SonicWALL: http://www.sonicwall.com/japan/company/index.html
・SonicWALL TotalSecure TZ210: http://www.sonicwall.com/japan/products/products_totalsecureTZ210detail.html
約15万円。スループットも 200Mbps。Unnumbered 非対応なので、複数の IP を利用する場合は、ルーターとの併用が必要。ブラウザGUI は日本語。

▼ CENTURY SYSTEMS: http://www.centurysys.co.jp/company/index.html
・FutureNet XR-730/C: http://www.centurysys.co.jp/router/xr730c.html
 約15万円。スループット約580Mbps。4ポート。
・FutureNet XR-540/C: http://www.centurysys.co.jp/router/xr540c.html
 約8万円。スループット約98Mbps。3ポート。
・FutureNet XR-410/TX4: http://www.centurysys.co.jp/router/xr410tx4.html
 約8万円。スループット約96Mbps。4ポート。
Unnumbered 対応。ブラウザGUI は日本語(一部英語)。アンチウィルスなどはない。

▼ Juniper: http://www.juniper.co.jp/company/contactus/index.html?from=HomePage-Header-to-ContactUs#q
・SSG 5: http://www.juniper.co.jp/products_and_services/firewall_slash_ipsec_vpn/ssg_5_slash_ssg_20/index.html
約9万円。スループット約160Mbps。デフォルトでルーター+ファイヤーウォール。ライセンス追加でアンチウィルスなどにも対応。
- http://support.nox.co.jp/juniper/download/new/NS-SSG5-SB.pdf

▼ WatchGuard: http://www.watchguard.co.jp/contactus/
・Firebox® X10e: http://www.watchguard.co.jp/product/xedge/firebox_x_edge_edge_10.html
約8万円。Unnumbered 非対応。NAT前提で複数IPを扱える。日本語ブラウザGUI。デフォルトでルータ+ファイヤウォール。

▼ Fortinet: http://www.fortinet.co.jp/contact/partners.html
・FortiGate-60B: http://www.fortinet.co.jp/doc/FGT50-100DS.pdf
約17万円。スループット 100Mbps。Unnumbered 対応。

▼ YAMAHA: http://netvolante.jp/support/contact/
・RTX1200: http://netvolante.jp/products/rtx1200/
約8万円。スループット 1Gbps。一部 ブラウザGUI が可能だが、ほぼコマンドライン操作前提。
- ギガビットに対応した定番ルータ「RTX1200」: http://ascii.jp/elem/000/000/190/190723/
- 管理者を徹底的に支援するGUI機能(RTX1000): http://netvolante.jp/solution/cost/nw5_pr.html
- ヤマハ——RTX1200: http://www.impressrd.jp/idc/story/2009/01/22/677
9: 口コミさん : 2009-05-27 04:59
業務用のアプライアンスは安定性重視なのか、高い割に 100Mbps も出ない機器が多いんですね。確かに個人レベルで、このコストパフォーマンスは辛いものがあります。
今回調べた限りでは、YAMAHA RTX1200 の性能が凄すぎて、他社は比較にならないですね。ただ、コマンドライン前提というのが敷居が高そうです。なんとも悩ましい。
10: umez : 2009-05-27 05:13
configを見ながらコマンドを打つ方がGUIで行ったり来たりするより簡単な気がします。
11: 口コミさん : 2009-05-27 05:31
> GUIで行ったり来たりするより簡単な気がします。
なるほど、意外と使ってみれば慣れるものなのかもしれませんね。自分の勉強にもなりますし。二重ルータでもいいかなと思っていましたが、性能的に末永く使えそうですし、使いこなせば最強でしょうし、非常に魅力的で困ってます。(^ ^;)
12: 口コミさん : 2009-05-27 09:17
無線LANルータと出口ルータを別々に設置しているので、二重ルータ構成です。

「低価格BBルータの下にもう一台BBルータをつないで・・・」は個人レベルでは問題ないと思います。
実際に運用してみてレポートなどを頂けるとみなさん喜ぶのではないでしょうか。
私も低価格BBルータで適切にACLが設定でき、通過パケットや廃棄パケットログがきちんと取れ、場合によってはアラートを上げることができるのであればDMZを構成できるとは思いますし、ぜひ導入してみようと思います。

私見ですが、上記の条件を満たすBBルータで構成するのであれば致命的な弱点はないと思います。
13: umez : 2009-05-27 12:00
業務用のファイアウォール製品を使うことのメリットは、製品そのものの信頼性、専門企業によるセキュリティ方面への強み、多重化やVPN、アンチウィルスなのど付加機能、要件定義からポリシーの策定、実際の設計・設定・運用に至るまでのナレッジがベンダーやSIerに蓄積されていること、(金をかければ)分厚いサポート態勢など色々あると思います。また「ファイアーウォールはSSGを使用」などと言えばそれだけで一定のセキュリティが担保でき、顧客に説明しやすいという利点もあります。

個人用途であれば、要求スペックを満たしていて、設計がしっかりしていれば二重ブロードバンドルータで問題ないのではないでしょうか。ネット上に情報が少ないのは単に共有するメリットがあまりないからだと思います。

「何を使うか」の前に「何を守るのか」を明確にし、しっかりとポリシーを設計することが
一番大事だと思います。そうすると自ずと必要な構成も見えてくるので、
あとは予算との相談ではないでしょうか。
14: 口コミさん : 2009-05-28 04:56
>>>>> みつる さん
> 個人レベルでは問題ないと思います。
なるほど、安心しました。

> 実際に運用してみてレポートなどを頂けると
はい、情報は発していきたいですね。

> 上記の条件を満たすBBルータで構成するのであれば
そうですね。ある程度高機能なルーターを突き詰めるのは必須と。

>>>>> UM@外神田
> 分厚いサポート態勢など色々あると思います。
高機能性やブランド力もそうですが、確かにサポート体制の格が違う点は大きいですね。

> 要求スペックを満たしていて、設計がしっかりしていれば
やはりそうですよね。その点は注意します。

> 共有するメリットがあまりないからだと思います。
確かに。(^^;) 意外とやっている方多いのかもしれませんね。

> しっかりとポリシーを設計することが一番大事だと思います。
はい、知識不足を補いながら、突き詰めていきたいと思います。

スレッド一覧

043:はじめまして 043:SELinuxのポリシーの修正についてです。 急成長中のベンチャー企業で働いてみたいとおもいませんか?! 065:冷却方法 067:サーバーダウン→504エラー 玄人箱に関して 052:DNSサーバーは僕が憎いに違いない ■ 単発質問コーナー 基本すぎてすみません・・・。 079:NICドライバのインストールまたは認識について 069:初めまして PHPスクリプトでメールが送信できません。 061:linux os のアンインストール方法 063:linux os アンインストール 方法(再度no付け) 056: ドメインとホスト名について。 055:mod_layoutで動的フッターを挿入 044:イントラで2つのサイト 031:パティションどうきっています? 019:mixiのようなサイトを作れる方募集!! 014:500人、超えないかなぁ〜 066:サーバーに適したマザーボード dd dumpを使ってのバックアップ、restoreについて。 012:初心者におすすめのLinuxは? 077:よろしくです 078: Web サイトが携帯電話から見られない 062:webmaster だけがメールを受け付けない 057:ご質問〜windows領域削除方法〜 053:安いサーバ情報・・・。 037:データベース認証について 029:Apacheに異常アクセスログ 017:おすすめのUPSは? 009:お勧めの無料DDNSサービスは? 002:White Box Enterprise Linux 3.0について 0023:初心者です、よろしくお願い致します。ubuntu ☆教えて☆Linuxをマスターしたい CentOS 5 i386インストール時のトラブル こんなlogがでてるんですが・・・ 初心者です。 MySQLのアップグレードについて xdm/KDE ログオフ時にスクリプトを走らせたい 086:webツール(便利ツール等) 072:AMD VS Intel とりあえずDBサーバを自鯖にしてみたいのですが 060:Squidの設定->DNSエラー 041:【Linux】apacheで複数サイト作成したいのですが・・・ 022:LINUXのDistribution 023:初心者ですみません。。。Fedora Core3 013:vsftpdのchroot設定について 001:DynamicDNS様、様々〜笑 【愛知、常駐プログラマ募集】 064 : vsftpdで外付けHDDを公開する方法を教えてください。 038:sambaで共有できません・・・ knoppixでサーバーを構築しました。 010:お勧めの書籍は? 028:自作か購入か… 064:CPU使用率が高いきが・・・ 054:マシンが一台しかなくてもお金がなくても・・・。 032:(;´Д`)え、かなり増えてきている… 025:ipnuts の新バージョンでました。 【求人】港区でのお仕事です【時給1700円以上】 007:おすすめ固定IP 1、ダイレクトEメールを送りたい ソフトウェアレイドについて。 053: 譲ります 085:覚えておきたいコマンド 070:ファイルをアップしても0kbになる 068:精神対策(堕ちない自鯖) アクセスが無いけどトラフィックがある 自鯖が止まる理由 034:pop3が利用できません 059:500 Can't connect to www.google.co.jp:80 (Bad hostname 'www.google.co.jp') 048:サブドメイン転送処理の賢い方法 045:sambaが見えません。 040:はじめまして 030:Linuxの情報入手、勉強方法 011:CentOS5.7で自宅サーバで外部公開に失敗します。 Postfix メールサーバー 自宅サーバ 必見!あのDCDが来日!! 001:自宅の様子を写真をw 080: DMZの構築方法 profixでバーチャルサーバ 081:Xウィンドウが起動しない(GNOME) 075:サブドメインとIPアドレス ローカル接続のDB 韓国固定IP , 韓国からのDNSが 必要なら 連絡ください。 はじめまして! 質問 Perl cpan2rpmのインストール/使用方法 新品のサーバが¥14,800から( ・_・;) サーバーにメッセージ多発 ルーセント・グローバル、Linuxガジェット開発を促進へ 自宅サーバ公開方法 084:OSは64bitか32bitか 071:サーバ用の部品 066:自鯖が止まる理由改 047:ディレクトリによって使われるphp.iniを変える的な動作をしたい 035:RAID 033:アクセスログ検索スクリプトってないですか? 026:CGIファイルの関連づけ 016:結構前からあった、自鯖ML 004:(;´Д`)え、微妙に増えてきている… 【愛知、常駐プログラマ募集】 httpサーバを作りたい。サーバマシンがネットワークにつながらない問題 066:CentOSでの仮想化について教えてください〜  067:サーバーを1週間ダウンさせてしまいました。 015:使用ディストリビューション 073:おすすめルータ 076:ダイナミックDNS下で2台のホスト名にアクセスする方法 067:回線対策(落ちない自鯖) メールサーバーコミュを立ち上げました ディレクトリの破損!? perlバスについて質問 056:biglobeから中継サーバについて 042:Bフレッツ(or ADSL)マルチセッションでセカンダリDNS 018:X端末エミュレータ 005:自鯖でも、お手軽安く使える独自ドメイン Yahoo画面、あざむきかた知ってる方、ご連絡お待ちします。 064: 帯域制限のないプロバイダ 質問です。 OPENsshのセキュリティーについて 082:外付けHDD増設の手法と機器 074:おすすめOS 他人のADSLモデムに!! 039:Apacheの設定 050:メール受信をスイッチにしてPHPを起動させるサイト 036:割り当てるグローバルIPについて 008:White Box Enterprise Linux ML 正式版稼働報告! グリー携帯無限認証 どなたかご自宅で教えていただけませんか 003:哲学?持論? ネットワークインストールについて 083:Squidの設定について 011:よろしくおねがいします。 058:Sambaで転送したファイルが表示されない 051:SPAMフィルターの構築について [bsfilter+MeCab] 049:今までのトピックのサマリー 046:ドメインのname serverの変更 029:TCPIPの勉強 027:Yahoo!BBの場合の設定について 020:DICEの質問 006:ClientOSにLinuxを使用し始める。

サイト内検索