内部ネットワーク/サーバー分離のベストプラクティス
5つの静的IPのブロックがあり、エクスチェンジとWebサーバーをオンサイトで実行する予定です。 WebサーバーのIP、メールのIP、内部ネットワークのIPを分離する必要があるかどうか疑問に思っています。内部ネットワークと外部ネットワークを分離するためのベストプラクティスは何でしょうか?
サーバーはDMZで、ファイアウォールの背後にあります。
これらすべてのサービスを分離します。さまざまな方法でより安全です。
- 1台のマシンが故障しても、すべてのサービスがシャットダウンされるわけではありません
- 1台のマシンが危険にさらされてもサービスがシャットダウンされない
私が理解していないのは、内部IPの意味ですか? NAT用ですか?もしそうなら、あなたは確かにそれも分離する必要があります。
また、サービスに応じてファイアウォールルールにも注意してください。ブラックリストではなく、常にホワイトリスト。あるサービスが別のサービスを見る必要がない場合は、それをブロックします。
ベストプラクティスのベスト(参照:ほとんどの妄想)は、関数ごとに個別のDMZを使用します。あなたの場合、それは個別のDMZ WebサーバーとExchangeインフラストラクチャ用のもう1つのデバイス。各デバイスは内部ネットワークの限られたビューしか取得できず、重要なことに、他のDMZデバイスも表示できません。