DMZホスティング機能
DMZ(DeMilitarized Zone)とは、ファイアウォールによって外部(インターネット)からも内部(LAN)からも隔離された領域のことを言います。
本商品では、仮想的にDMZ領域を作り、外部からアクセスされるDNSサーバ、メールサーバ、Webサーバなどを仮想DMZ領域に配置することで、既存のLANに対してセキュリティを確保する機能を提供しています。
本商品のDMZホスティング機能は、これらの機能を組み合わせることにより、お客様のパソコンをより安全に保つことができます。
ただし、DMZホスティング機能を、利用しても完全に被害をなくすことができることを保証するものではありません。
被害を最小限に止めるための機能とご理解いただきご使用ください。
ネットワーク構成例

■設定方法
DMZ機能は様々な目的に使用することが可能ですが、ここでは初期状態(工場出荷状態)のネットワークに下図の様なサーバ(DMZホストパソコン)を設置する方法を説明します。

[ご参考]
既存のローカルネットワークは、192.168.0.0/24、DHCPサーバ機能およびアドバンスドNAT機能(IPマスカレード/NAPT)使用となっています。
アドバンスドNAT(IPマスカレード/NAPT)を使用しているネットワークは、外部から接続することはできません。
よって既存のローカルネットワークは外部からの意図しないアクセスを受けることはありません。

また仮想DMZでは、DNSサーバ、メールサーバ、Webサーバなどの複数のサーバを仮想DMZ領域に設置する場合にはポートマッピング設定します。
さらにDMZホスティング機能は、IPパケットフィルタリングの設定もあわせて設定すると、より安全な状態でご利用いただけます。


[設定例]
仮想DMZ側の本商品のIPアドレスが192.168.10.1、サブネットマスクが255.255.255.0
DMZホストパソコン側のIPアドレスは192.168.10.2〜192.168.10.254が設定可能範囲で
ここの例では、DMZホストパソコンのIPアドレスを192.168.10.2として設定

ネットワーク構成例
(1)本商品の設定をする
仮想DMZに設定すると、仮想DMZに配置されたパソコン(以後「DMZホストパソコン」とします)から本商品の設定ができません。
本商品の設定は、仮想DMZ領域外のパソコン(従来のLAN側のパソコン。以後「LAN側パソコン」とします。)で設定してください。

「クイック設定Web」
1. DMZホストを設定する
「詳細設定」−「高度な設定」の「DMZホスト」と「仮想DMZ側ネットワーク」で設定する。
−設定例での場合−
DMZホスト機能 「使用する」にチェック
DMZホストの配置 「仮想DMZ側」を選択
DMZホストのIPアドレス 「DMZホストパソコン」のIPアドレスを入力
(設定例192.168.10.2)
「仮想DMZ側ネットワーク」のIPアドレス 通常は、[自動生成]をクリックした時に表示されるIPアドレス
DMZで使用する本商品のIPアドレスを設定する
(設定例192.168.10.1)
   
2. 複数のサーバ(DMZホストパソコン)を運用するときは、ポートマッピングで設定する
「詳細設定」−「ポートマッピング設定」を参照してください。
DMZホストパソコンが1台の場合には、設定の必要はありません。
「クイック設定Web」で「DMZホストのIPアドレス」に割り振ったIPアドレス以外のIPアドレスをポートマッピングで設定します。
 例)
DMZホストパソコンA 「クイック設定Web」で設定したDMZホストのIPアドレス(192.168.10.2)
※必要な場合のみ設定してください。
DMZホストパソコンB IPアドレス(192.168.10.3)の場合、「DMZホストパソコンB」のIPアドレス(192.168.10.3)をポートマッピングでサーバに必要なポートをあける設定を行います。
ポートマッピングで設定したデータは「DMZホストパソコンB」に、それ以外のデータはすべてDMZホストパソコンA」に送信されます。
 
3. 複数のサーバを置く場合は、パケットフィルタでサーバに必要なポートをあける設定をする
「詳細設定」−「パケットフィルタ設定」を参照してください。
Webサーバを置く場合は、Web用の必要なポートをあけるように設定してください。
 
<「仮想DMZ」とは>
仮想DMZは、同一LAN上に異なるIPネットワークアドレスを持つ2つのサブネットを定義し、それらをアドバンスドNAT(IPマスカレード/NAPT)機能で接続することで、従来のLAN側ネットワークの安全性を確保しつつ、DMZホスティング機能やポートマッピング機能を実現することを目指したものです。
パソコンを仮想DMZに配置するとは、仮想DMZのネットワークアドレスをそのパソコンに設定することを言います。
(例:仮想DMZ側の本商品のIPアドレスが192.168.10.1、サブネットマスク255.255.255.0の場合には、DMZホストパソコン側は192.168.10.2〜192.168.10.254が設定可能範囲)
「LAN側パソコン」と、「DMZホストパソコン」との間では、セキュリティを高めるためにNATによるアドバンスドNAT機能(IPマスカレード/NAPT)を使用しています。
そのため、「DMZホストパソコン」からのWAN側へのアクセスは「LAN側パソコン」と同様に可能ですが、「DMZホストパソコン」から「LAN側パソコン」へアクセスすることはできません。
逆に「LAN側パソコン」から「DMZホストパソコン」へのアクセスは、可能になっています。
例えば、公開サーバを仮想DMZに配置したときは、サーバの内容を更新するなどのように「LAN側パソコン」と通信する必要がある場合には、「LAN側パソコン」から「DMZホストパソコン」へアクセスするようにします。
 
<ご注意>
  • 複数固定IPサービスとは、併用できません。

  • シングルユーザアクセスモードとは、併用できません。

  • UPnPと併用することはできますが、UPnPを使用するパソコンは仮想DMZ側に配置しないでください。
    DMZホストパソコンでは、UPnPサービスを使用することはできません。

  • 仮想DMZは複数のネットワークに対応したIPアドレスを使用して、仮想的にDMZを実現
    しようとしています。
    IP(TCP/IP)以外のプロトコルに関しては、セキュリティ上の効果はありません。

  • 仮想DMZ側、および従来のLAN側に配置するパソコン等は、すべてIP(TCP/IP)以外のプロトコルを
    使用しないようにしてください。IP(TCP/IP)以外のプロトコルであるNetBEUIやIPX/SPX、
    AppleTalk等を使用してパソコン間のファイル共有を行うと、DMZ側のパソコンからDMZ外のLAN側
    にアクセスが可能となってしまいます。
    その場合にDMZ側パソコンが被害をうけた場合は、それらのプロトコルを使ってDMZ外のLAN側
    パソコンに被害が及ぶ可能性が高くなります。
 
(2)パソコンの設定をする
「DMZホストパソコン」のすべてに下記の設定を行います。
・Windows Vista(R)の場合
・Windows(R)XPの場合
・Windows(R) 2000 Professionalの場合
・Windows(R) Meの場合
・Macintosh の場合
 
↑ページのトップへ