DMZホスト(DeMilitarized Zone)とは、ファイアウォールによって外部 (インターネット)からも内部(LAN)からも隔離された領域のことを言います。
本商品では、仮想的にDMZ領域を作り、外部からアクセスされるDNSサーバ、 メールサーバ、Webサーバなどを仮想DMZ領域に配置する ことで、既存のLANに対してセキュリティを確保する機能を提供しています。
本商品のDMZホスティング機能は、これらの機能を組み合わせることにより、 お客様のパソコンをより安全に保つことができます。
ただし、DMZホスティング機能を、利用しても完全に被害をなくすことが できることを保証するものではありません。
被害を最小限に止めるための機能とご理解いただきご使用ください。


 
設定方法
DMZ機能はさまざまな目的に使用することが可能ですが、ここでは初期状態 (工場出荷状態)のネットワークに下図のようなサーバ(DMZホストパソコン)を 設置する方法を説明します。

<ご参考>
既存のローカルネットワークは、192.168.0.0/24 、DHCPサーバ機能および IPマスカレード機能使用となっています。
IPマスカレードを使用しているネットワークは、外部から接続することは できません。
よって既存のローカルネットワークは外部からの意図しないアクセスを受けることは ありません。

また仮想DMZでは、DNSサーバ、メールサーバ、Webサーバなどの複数のサーバを 仮想DMZ領域に設置する場合にはポートマッピング設定します。
さらにDMZホスティング機能は、IPパケットフィルタリングの設定も合わせて 設定すると、より安全な状態でご利用いただけます。

<設定例>
仮想DMZ側の本商品のIPアドレスが192.168.10.1、 サブネットマスクが255.255.255.0
DMZホストパソコン側のIPアドレスは192.168.10.2〜192.168.10.254が 設定可能範囲で
ここの例では、DMZホストパソコンのIPアドレスを192.168.10.2として設定

(1) 本商品の設定をする
仮想DMZに設定すると、仮想DMZに配置されたパソコン(以後「DMZホストパソコン」と します)から本商品の設定ができません。
本商品の設定は、仮想DMZ領域外のパソコン(従来のLAN側のパソコン。以後 「LAN側パソコン」とします。)で設定してください。

●「クイック設定Web」●
1. DMZホストを設定する
「詳細設定」- 「高度な設定」-[DMZホスト]/[仮想DMZ側ネットワーク]/ [仮想DMZ側ネームサーバ]で設定する。

設定例での場合、

  DMZホスト機能 : 「使用する」にチェック
  DMZホストの配置 : 「仮想DMZ側」を選択
  DMZホストのIPアドレス : 「DMZホストパソコン」のIPアドレスを入力(設定例192.168.10.2)
  仮想DMZ側ネットワークのIPアドレス :  DMZで使用する本商品のIPアドレスを設定する
  通常は、[自動生成]をクリックした時に表示されるIPアドレス
  (設定例192.168.10.1)

2. 複数のサーバ(DMZホストパソコン)を運用するときは、ポートマッピングで設定する
「詳細設定」- 「ポートマッピング設定」を参照してください。
DMZホストパソコンが1台の場合には、設定の必要はありません。
「クイック設定Web」で「DMZホストのIPアドレス」に割り振ったIPアドレス以外の IPアドレスをポートマッピングで設定します。

例) DMZホストパソコンA:「クイック設定Web」で設定したDMZホストのIPアドレス (192.168.10.2)
   DMZホストパソコンB:IPアドレス(192.168.10.3)
   の場合、「DMZホストパソコンB」のIPアドレス(192.168.10.3)を ポートマッピングの設定で行います。
* ポートマッピングで設定したデータは「DMZホストパソコンB」に、それ以外の データはすべて
   「DMZホストパソコンA」に送信されます。

3. 複数のサーバを置く場合は、パケットフィルタでサーバに必要なポートをあける設定を する
「詳細設定」- 「パケットフィルタ設定」を参照してください。
Webサーバを置く場合は、Web用の必要なポートを空けるように設定してください。
 
<「仮想DMZ」とは>
仮想DMZは、同一LAN上に異なるIPネットワークアドレスを持つ2つのサブネットを 定義し、それらをIPマスカレードで接続することで、従来のLAN側ネットワークの 安全性を確保しつつ、DMZホスティング機能やポートマッピング機能を 実現することを目指したものです。

<仮想DMZ側にDMZホストを置いた場合>
「パソコンを仮想DMZに配置する」とは、仮想DMZのネットワークアドレスを そのパソコンに設定することを言います。

 (例) 仮想DMZ側のIPアドレスが「192.168.10.1」、 サブネットマスクが「255.255.255.0」の場合
     →パソコン側は「192.168.10.2〜192.168.10.254」が設定可能範囲

仮想DMZに配置されないパソコン(従来のLAN側のパソコン。以後「LAN側パソコン」と します。)と、仮想DMZに配置されたパソコン(以後「仮想DMZ側パソコン」とします。) との間では、セキュリティを高めるためにIPマスカレードを使用しています。
そのため、「仮想DMZ側パソコン」からのADSL側へのアクセスは「LAN側パソコン」と 同様に可能ですが、「仮想DMZ側パソコン」から「LAN側パソコン」へアクセスする ことはできません。
逆に「LAN側パソコン」から「仮想DMZ側パソコン」へのアクセスは可能になって います。
そのため、公開サーバ等を仮想DMZに配置した場合、サーバの内容を更新するとき等、 「LAN側パソコン」と通信する必要がある場合には、「LAN側パソコン」から 「仮想DMZ側パソコン」へアクセスするようにする必要があります。
また、「仮想DMZ側パソコン」からの本商品の「クイック設定Web」へのアクセスも できませんのでご了承ください。
DMZホストや公開サーバ等を仮想DMZに配置する(仮想DMZ側のIPアドレスを使用する) ことで、仮想DMZに配置しないパソコン等を、より安全な状態でご使用いただくことが 可能です。
 
<LAN側にDMZホストを置いた場合>
LAN側に配置したDMZホストパソコンは、ADSL側へのアクセスが可能です。
また、同じLAN内に配置されたパソコンとも、お互いにアクセスが可能です。
 

<ご注意>
  • 複数固定IPサービスとは、併用できません。

  • シングルユーザアクセスモードとは、併用できません。

  • UPnPと併用することはできますが、UPnPを使用するパソコンは 仮想DMZ側に配置しないでください。
    DMZホストパソコンでは、UPnPサービスを使用することはできません。

  • 仮想DMZは複数のネットワークに対応したIPアドレスを使用して、 仮想的にDMZを実現しようとしていますので、IP(TCP/IP)以外のプロトコルに 関しては、セキュリティ上の効果はありません。
    仮想DMZ側、および従来のLAN側に配置するパソコン等は、 すべてIP(TCP/IP)以外のプロトコルを使用しないようにしてください。

  • IP(TCP/IP)以外のプロトコルであるNetBEUIやIPX/SPX、AppleTalk等を 使用してパソコン間のファイル共有を行うと、DMZ側のパソコンから DMZ外のLAN側にアクセスが 可能となってしまいます。
    その場合にDMZ側パソコンが被害をうけた場合は、それらのプロトコルを 使ってDMZ外のLAN側パソコンに被害が及ぶ可能性が高くなります。
 
(2)パソコンの設定をする
「DMZホストパソコン」のすべてに下記の設定を行います。
 ・Windows(R) XP の場合
  ・Windows(R) 2000 Professional の場合
 ・Windows(R) Me/98 の場合
 ・Macintosh の場合
↑ページのトップへ