インターネット等、外部との通信を行うWWWサーバ、メールゲートウェイといったサーバを、ファイアウォールの外側に出してインターネットに直接接続すると、当然のことながら大きな脅威にさらされることになり、また、だからといってファイアウォールの内側にそのまま入れてしまうと、インターネットからの脅威の可能性を、わざわざ内部に持ちこむことになってしまう。そこで、一般的には外部(すなわちインターネット側)と内部(LAN側)との間に非武装地帯(DMZ: De-Militalized Zone)と呼ばれるゾーンを設け、ここにWWWサーバ、メールゲートウェイといったサーバを設置する。ファイアウォールを通過できたインターネット側からのアクセスも、このDMZまでは入れるが、その先のLAN側まで進むことはできず、また同様にLAN側からのアクセスもDMZまでしか出られない。そして両者は直接的に通信は行えず、DMZにあるWWWのサーバを介して間接的に通信を行う。こうした方法をとることにより、もしファイアウォールも通過して不正なアクセスが外部から侵入できても、被害はDMZに設置されたサーバにとどまり、それ以上内部に及ぶことを食い止めることが可能となる。
(2) セキュアプロトコル
暗号化のための通信プロトコル(手順)として一般的に使用されているものにSSL(Secure Sockets Layer)がある。SSLは、米国のNetscape社が開発したプロトコルで、インターネットの通信で使用されるTCP/IP(Transmission Control Protocol/Internet Protocol)と組み合わせて利用できるため、インターネット利用者もアプリケーションもいちいち暗号処理を意識せずに済み、現在広く利用されている。
SSLは、以下の機能をもつ。
1] 暗号化機能
DES、RC4等の共通鍵暗号方式のアルゴリズムを使い、通信データを暗号化する。
2] 相手認証機能
RSA等の公開鍵暗号方式のアルゴリズムを使い、クライアントとサーバがお互いに相手を認証する。
3] 通信データの非改竄性検証機能
SHA(Secure Hash Algorithm)、MD5(Message Digest)等のハッシュ関数(非可逆で、かつ任意の長さのデータを固定長のデータに圧縮処理を行うアルゴリズム)を使い、相手から受信したデータが改竄されているか否かの検証を行う。
