DMZとは

DMZは、「DeMilitarized Zone」の略で、日本語では「非武装地帯」と訳されています。

下の図を見て下さい。

 DMZは、インターネットに接続されたネットワークにおいて、ファイアウォールによってインターネット側からも内部ネットワーク側からも隔離された区域を指します。

 「非武装」と訳されると、全く武装されていないようなイメージを持ってしまいますが、武装していないわけではありません。ファイアウォールは必要な通信だけをDMZに通し、それ以外の通信をDMZに流さないように設定されています。

 つまり、外部に公開するサーバをこのDMZに配置することで、ファイアウォールによってインターネットからの不正なアクセスを排除することができます。

 例えば、DMZにWWWサーバを配置する場合、宛先IPアドレスがWWWサーバで、送信元ポート番号が80番のパケットだけDMZに流れることを許可し、その他のパケットがDMZに流れることを拒否することで、インターネットからの不正なアクセスを排除することができます。

 もし、DMZでなく、内部ネットワークに公開サーバを配置した場合、公開サーバがインターネットからの不正アクセスで乗っ取られた場合、内部ネットワークに被害が及ぶことにないます。

 DMZに公開サーバを配置しておけば、万が一、公開サーバが乗っ取られた場合でも、内部ネットワークにまで被害が及ぶことはありません。

 ここまで、説明してきた内容が、DMZの一般的な意味なのですが、ブロードバンドルータのDMZ機能では、少し違った意味で使われます。

DMZ機能

 ブロードバンドルータの「DMZ機能」は、上の「DMZとは」で説明した内容と少し違う意味で使われています。

ブロードバンドルータのファイアウォール機能はデフォルトで、以下のように設定されています。

●内部ネットワーク → インターネット
・内部ネットワーク側からのインターネット側への通信を「許可」

●インターネット → 内部ネットワーク
・内部ネットワークからの戻りの通信を「許可」
・インターネット側からの内部ネットワークへの通信を「拒否」

 インターネット側から開始される通信の全て拒否していたのでは、内部ネットワーク内に、公開サーバを設置することができません。

そこで、利用する機能が、「DMZ機能」です。

「DMZ機能」を使用するとインターネット側からの通信を特定の1台に全て転送することができます。

 ブロードバンドルータで言う「DMZ機能」とは、ブロードバンドルータのインタネット側に割り当てられた、グローバルIPアドレス宛ての通信の全てを、特定のプライベートアドレスが割り当てられたPC1台に全て転送する機能のことなのです。

 DMZ機能を使用すれば、プライベートIPアドレスが割り当てられたサーバをインターネットに公開することができます。

 しかし、ブロードバンドルータの「DMZ機能」は、非常に危険な機能です。インターネット側からの通信を特定の1台に全て転送するということは、DMZに指定されたPCが、インターネット側から攻撃され放題ということになります。また、そのサーバが、もしも踏み台にされると、内部ネットワークに配置された他のPCも危険にさらすことになります。

 そこで、サーバを公開する場合には、この後のコンテンツで紹介するポートフォワード機能を使用するのが一般的です。踏み台にされる可能性が残りますが、インターネット側から攻撃され放題という状況を回避することができます。

※一般的なプロバイダでは、自宅でサーバを立てることを禁止にしている場合があるので、注意が必要です。

 このように説明すると「DMZ機能」の使うメリットがあまりないように感じてしまうかもしれませんが、「DMZ機能」は、自宅にサーバを立てる場合にだけ、利用する機能ではありません。

 ネットワークゲームなど、たくさんのポート番号をたくさん使うアプリケーションやポート番号が動的に変わるようなアプリケーションを利用する場合に「DMZ機能」を利用することで、正常に利用することができるようになります。

ポートフォワードとは

 「DMZ機能」は、ブロードバンドルータのインタネット側に割り当てられた、グローバルIPアドレス宛ての通信の全てを、特定のプライベートアドレスが割り当てられたPC1台に全て転送する機能です。

 この「DMZ機能」は、非常に危険な機能です。インターネット側からの通信を特定の1台に全て転送するということは、DMZに指定されたPCが、インターネット側から攻撃され放題ということになります。また、そのサーバが、もしも踏み台にされると、内部ネットワークに配置された他のPCも危険にさらすことになります。

 そこで、サーバを公開する場合には、ポートフォワード機能を使用するのが一般的です。踏み台にされる可能性が残りますが、インターネット側から攻撃され放題という状況を回避することができます。

 ポートフォワードとは、アドレス変換テーブルを手動(政敵)に設定する機能のことで、この設定をしておくことで、WAN側から特定の宛先IPアドレス、宛先ポート番号に対してパケットが送られてきた場合、ブロードバンドルータは静的なアドレス変換テーブルの内容に従って、そのパケットをLAN側の特定のIPアドレス、ポート番号宛てに転送します。

上の図では、以下のようにパケットを処理しています。

  • 宛先IPアドレス「200.200.200.200」、宛先ポート番号「80」のパケットを受信する。
  • そのパケットを宛先IPアドレス「172.16.1.1」、宛先ポート番号「80」に変換しパケットを転送する。

 このポートフォワード機能は、ベンダーによって呼び方が異なります。「ローカルサーバ」、「仮想(バーチャル)サーバ」、「静的NAT」とも呼ばれています。