はじめまして。
現在、ネットワーク構成で悩んでおります。
回線:Bflet'sファミリ
ルーター:BA8000Pro(NTT-ME)と有線のBBR-4HG(バッファロ)
があります。
クライアントPCx1(XPsp2)
玄箱NASストレージキッド(kuro1)これは、ファイルサーバーとして使用したいと考えています。
〃(kuro2)これは、実験用にDebianでwebサーバーを構築したいと思ってます。
この環境で、PC1(xp)とwebサーバーのセキュリティを高める為には、どんな考えありますでしょうか?
ルーターの2段?また、その接続順番?BA8000ProのVLANを使用?
サーバーの位置は何処がが最善か?
また、PC1ではメールとweb閲覧程度、(可能ならMessenger)が
できる環境にしたいです。
宜しくお願いします。
> 回線:Bflet'sファミリ
> ルーター:BA8000Pro(NTT-ME)と有線のBBR-4HG(バッファロ)
> があります。
> クライアントPCx1(XPsp2)
> 玄箱NASストレージキッド(kuro1)これは、ファイルサーバーとして使用したいと考えています。
> 〃(kuro2)これは、実験用にDebianでwebサーバーを構築したいと思ってます。
>
> この環境で、PC1(xp)とwebサーバーのセキュリティを高める為には、どんな考えありますでしょうか?
> ルーターの2段?また、その接続順番?BA8000ProのVLANを使用?
> サーバーの位置は何処がが最善か?
> また、PC1ではメールとweb閲覧程度、(可能ならMessenger)が
> できる環境にしたいです。
ルータでできることは、かなり限られています。NATとフィルタ、VLAN、SPIぐらいです。
その中で何を守るのかは、個人のセキュリティポリシーですから考え方はいろいろあるのでは?
おやじの現状ネットワークのは、単に一段ルータでNATとフィルタリングだけです。
サーバを外部に公開している以上、脆弱性を突かれてハックされれば後はやり放題です。
ルータを何段重ねても問題がでるでだけなので、BA8000のVLANでwebサーバだけを分離して、ファイルサーバとクライアントを別VLANにしてサーバからはこのVLANにアクセスできない(逆は当然可)ようにするのはどうでしょうか?
これは、以前おやじがやっていた方法ですが、何か新しいことをやるたびに引っかかり、ネットワーク問題なのかサーバの設定なのかを切り分ける力がなければ混乱するだけでかかる労力の割にはあまりメリットはないのではないでしょうか?