政です。 KONNO Yousuke wrote: >>しかも、(ルータの機種によっては)"簡易 DMZ"やポートフォワードをしている >>マシンに対してのセキュリティ(パケットフィルタリング等)が全く無い場合も >>あるようです。 > > > 「簡易DMZ」って言うのは、セキュリティで設置するDMZとは全く関係無いばかり > ではなく、セキュリティの概念も全く無い危険な「なんちゃってDMZ」だと認識 > していますので、セキュリティ上のメリットは全くないのは同意です。 > > で、ポートフォワードと言うのは、ある意味、パケットフィルタリングなのでは > ないでしょうか? > ある一定のポートのみ転送と言うことで、逆に言うと、ある特定のポート以外は > 遮断と言う事になりますので。 > 元来、 DMZ は"非武装地帯"という意味ですから、セキュリティの配慮が無い 可能性は否定できませんが、ルータの機種によっては DMZ であってもパケット フィルタリングをしてくれる機種もあるようです。 問題なのは、パケットフィルタの有無に関わらず、外部公開のマシンと公開 しないマシンが、同一のネットワーク上に存在する事だと思えます。 なので、ルータ2台にする事により(あるいは大里さんが[vine-users:071361] で書かれた方法により)、物理的にネットワークを分けたほうが、より安全と 思えます。 -- 政