What Is a DMZ Firewall?

DMZ実装のアプローチ

DMZは、攻撃者による悪用の可能性が高まっているため、プライベートネットワークの残りの部分に脅威を与える可能性のあるサーバーをホストしています。 組織は、公開サービスを提供するサーバーを特定し、それらを DMZ 内に配置する必要があります。

DMZ は、 ファイアウォールによって外部ネットワークの残りの部分から分離されています。 これは、次の 2 つの方法のいずれかで実装できます。

• シングルファイアウォール: 少なくとも 3 つのネットワーク インターフェイスを持つ 1 つのファイアウォールを使用して、DMZ を作成できます。 1 つのインターフェイスはパブリック ネットワークに接続し、2 番目のインターフェイスは DMZ、3 番目のインターフェイスは社内ネットワークに接続します。 DMZ を別のインターフェイスに分離すると、DMZ を分離し、ファイアウォール ルールとアクセス制御に基づいて内部ネットワークとの接続を制限できます。
• デュアルファイアウォールs: DMZ は、2 つの異なるファイアウォールを使用して構築することもできます。 最初のファイアウォールはDMZをパブリックインターネットから分離し、2番目のファイアウォールはDMZを内部ネットワークから分離します。 この設計は多層防御を実装し、攻撃者が 2 つのファイアウォールをバイパスして社内ネットワークに到達する必要があるため、より安全です。

DMZ のベスト プラクティス

DMZ が適切に機能し、潜在的な脅威から組織を保護していることを確認するには、次のベスト プラクティスを実装します。

1. デュアルファイアウォール保護: DMZ は、1 つのファイアウォールまたは複数のファイアウォールで構築できます。 2つのファイアウォールを使用すると、攻撃者は複数のファイアウォールを破って企業LAN内の価値の高いシステムにアクセスできるようになり、リスクが軽減されます。
2. Granularの実装 アクセス制御: 組織は、企業ネットワークに出入りし、企業ネットワークと内部企業 LAN の間を流れる外部トラフィックのアクセス制御を実装する必要があります。 理想的には、これらはゼロトラストセキュリティ戦略の一部として実装される最小特権アクセス制御です。
3. 更新を迅速に適用する: DMZ ファイアウォールは、DMZ からの潜在的な侵入から社内ネットワークを保護するために不可欠です。 組織は、ファイアウォールの更新を定期的に確認して適用し、攻撃者に悪用される前にセキュリティギャップが埋められていることを確認する必要があります。
4. レギュラーをパフォーマー 脆弱性評価: セキュリティチームは、パッチ管理に加えて、DMZのセキュリティ問題を特定するために、定期的な脆弱性スキャンと評価も実行する必要があります。 パッチが適用されていないシステムに加えて、これらには、構成エラー、見落とされた侵入、および組織を危険にさらす可能性のあるその他のものが含まれる可能性があります。