サーバー監視/ネットワーク監視
PR 広告主募集中
PR
cman.jp cman.jp > サーバ監視TOP > 用語集 > DMZとは?NAPTとは?

DMZとは?静的IPマスカレード/NAPTとは?

WEBサーバ設置やインターネットゲームの利用などにより、自宅や会社のサーバ・パソコンをインターネットへ公開する場合があります。この場合「DMZ」や「静的IPマスカレード/NAPT」を利用するのが一般的となっています。

「静的IPマスカレード」は「NAPT」「フォワーディング」「ポートフォワーディング」「NAPT(Network Address Port Translation)」「アドレス変換」「ポート変換」とも言われます。また、製品カタログなどでは本来の意味とは違う「IPマスカレード」「NAT変換」などと記載されている場合もあります。

広告

DMZと静的IPマスカレード/NAPTの違いは?

DMZや静的IPマスカレードは通常ルータで設定します。
ルータ以外にもファイアウォール専用機やサーバでも設定可能ですが、当ページはルータでの設定で記載しています。
ルータとは?選び方は?

サーバ等を公開しない場合

通常、自宅や会社でインターネットを使用する場合はルータによるファイアウォール機能で外部(インターネット側)からのアクセスは遮断されます。
このため、安全にインターネットを使用することが出来ます。

DMZなし

DMZを利用してサーバやパソコンを公開する場合

DMZ(DeMilitarized Zone)は「非武装地帯」や「非武装セグメント」と言われています。
その名の通り、まったくセキュリティが効かない状態でサーバやパソコンにインターネット側からアクセスされます。
外部からアクセスされるポート番号が決まっていない場合に使用されます。

DMZ

上記に場合はインターネットで「221.242.xxx.xxx」にアクセスした場合、「192.168.99.100」(WWWサーバ)に転送されます。

内部のパソコンはインターネットから安全に守られますが、WWWサーバは無条件にすべてのアクセスが送られるため、サーバ自体のセキュリティを大幅に強化する必要があります。

自宅や会社で使用するルータの場合、以下のように設定画面で1つのIPアドレスを指定するのが一般的です。上位ルータの場合は、DMZのIPアドレスを複数指定できる製品もあります。

DMZ
(機器により設定方法は異なります。マニュアルをご確認ください)

静的IPマスカレード/NAPTを利用してサーバやパソコンを公開する場合

静的IPマスカレード、NAPT(Network Address Port Translation)は、事前に外部(インタネット側)に公開するポート番号が決まっている場合に使用します。
ポートとは?

静的IPマスカレードを使用すると、グローバルIPアドレス(インターネット側のIPアドレス)が1つでも、実サーバ(ローカルIPアドレス)を複数にすることが出来ます。

NAPT

上記の場合、インターネット側から「221.242.xxx.xxx」にアクセスがあった場合、以下のように転送されます。
 (1) 「HTTP(80ポート)へのアクセス → 「192.168.0.100」(WWWサーバ)に転送」
 (2) 「DNS(53ポート)へのアクセス → 「192.168.0.101」(DNSサーバ)に転送」
 (3) 上記以外のポートへのアクセス → 廃棄」

自宅や会社で使用するルータの場合、以下のような設定画面が用意されています。

DHCP概要
(機器により設定方法は異なります。マニュアルをご確認ください)

違いのまとめ

DMZとIPマスカレード/NAPTは、大きく以下の違いがあります。

DMZIPマスカレード/NAPT
公開ポートIPアドレス単位で転送するため、公開するポートを指定する必要がないIPアドレス+ポート番号で転送するため、事前に公開するポート指定する必要がある
公開するポートが特定できない場合は「DMZ」にする必要がある
セキュリティ無条件に全通信がサーバにたどり着くため注意が必要指定したポートのみがルータを通過するためセキュリティが高くなる
ルータの設定簡単知識がないと難しい
IPアドレスの有効活用基本的に1つのグローバルIPアドレスに1つのサーバとなる1つのグローバルIPアドレスに対してポート毎にサーバを設定できる
ページTOP
広告
QrCode
このページのURL
スマートフォン・タブレット運営 : CMAN 株式会社シーマン