ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. クラウド:NEC Cloud Solutions
  4. ラインナップ・体系
  5. プラットフォームサービス(PaaS/IaaS)
  6. クラウド基盤サービス:NEC Cloud IaaS
  7. 設計パターン集
  8. DMZ
ここから本文です。

DMZのパターン

お客様ニーズ
  • インターネット経由で、重要な社内システム(基幹システム等)に、セキュアに接続したい。
解決策
  • NEC Cloud IaaSで、DMZを構築する。

パターンの説明

DMZ

DMZを実現するパターン

  • 仮想LANを2つ定義して、インターネットにファイアウォール経由で接続する仮想LAN1(DMZ)と、インターネットに接続しない仮想LAN2(非DMZ領域)を作成し、以下の対応を行う。
    - インターネットに接続する仮想LAN1には、インターネット接続用のファイアウォール1およびインターネットとの接続が必要なサーバのみ(Webサーバ等)を配置する。
    - インターネットに接続しない仮想LAN2には、専用線接続用のファイアウォール2およびその他の重要なサーバ(基幹システム等)を配置する。

(手順)
  • セルフサービスポータル画面で、仮想LAN1をサーバ接続用LANとして作成する。
  • グローバルIPアドレスを確認する。
  • セルフサービスポータル画面でファイアウォール1を作成し、インターネット接続の設定をする。
  • 同様に、仮想LAN2、ファイアウォール2、専用線接続ルータ(参考:専用線接続のパターン)を作成する。
  • DMZ領域のサーバを、仮想LAN1と仮想LAN2の両方に接続し作成する。デフォルトゲートウェイの指定はファイアウォール1とする。
  • 非DMZ領域のサーバを、仮想LAN2にのみ接続する形で作成する。
  • DMZ領域のサーバに対しては、専用線接続LAN、およびユーザLANとの通信に関してファイアウォール2へのルーティングをゲストOS上で設定する。
  • サーバのIPフィルタの設定を適宜行う。

  • *DMZ( DeMilitarized Zone):非武装地帯

メリット

  • 重要なシステム(基幹システム等)をインターネットからアクセスさせず、許可した範囲においてセキュアにインターネットから業務が行えるようになる。
  • 非DMZ領域は、インターネットと直接接続しないため、直接アクセスによるリスク(データ持ち出しなど)が低減する。
  • 非DMZ領域は、二重のファイアウォールや、DMZ領域など、複数の壁により、セキュリティが守られている。

注意点

  • DMZ領域のサーバには、ルーティング設定やIPフィルタ設定等を適切に行い、セキュリティ対策を施す。
  • DMZ領域のサーバのデフォルトゲートウェイの指定では、ファイアウォール1が、仮想LAN1に接続するロードバランサや別ファイアウォールの後に作成された場合は、自動設定ではなく、手動でデフォルトゲートウェイを設定する必要がある。

その他

  • さらにセキュリティを向上させたい場合
    仮想LAN1にリバースプロキシを置いて、Webサーバ群もすべて仮想LAN2に配置することで、Webサーバすら隠蔽でき、よりセキュリティが向上する。

クラウド基盤サービス:NEC Cloud IaaS

ページの先頭へ戻る