- ベストアンサー
社内LANのネットワーク設計
小さい会社ですが、社内のシステムの運用を担当することになりました。 現在ですが、ユーザのPC20台とサーバが、192.168xxのプライベートアドレスで 同一セグメントに属しています。 サーバはWindows2008でファイルサーバ、社内ポータルサーバ(IIS、MSSQL)です。 クライアントはWindows7です。 サーバは直接インターネットに接続はされていません。 業務として現状特に問題は無いのですが、ユーザのPCとサーバは 一般的にセグメントを分けたほうが良いものなのでしょうか?。 ※例えばセキュリティの問題などで
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
同一セグメントでいいのではないでしょうか。 セグメントを分けた場合クライアントは直接サーバにアクセスできなくなるので、サーバとクライアントの間にルータかL3スイッチを入れてルーティングさせなければいけなくなります。 セキュリティの問題はどんな脅威に対しての対策をするかで方法は変わってきますが、インターネットと通信できることが問題だと思われるのであれば、ゲートウェイでフィルターを掛けてサーバのIPアドレスからは外部へ接続できないようにするというのも手です。 ただ、そうするとWindowsUpdateが使えないなどの弊害も出てきますので、ポート番号毎のフィルタ等を行うといいのではないでしょうか。
その他の回答 (3)
- pakuti
- ベストアンサー率50% (317/631)
セキュリティの問題で と言うならば分けた方が良いでしょう 例えば、クライアントがウイルスに感染して・・・・とか 出入り口以外にL3以上の機器を入れるのは面倒なので ISPとの接続に、AlliedやCISCOのルーターを接続しセグメントわけするのが良いかと思います。 一般的にと言うのが、何を基準に とは思います。 費用対効果を考えるのが一般的なのではないでしょうか。 例えば、会計事務所や法律事務所のような場合には サーバーは死守するべきものでしょう。 偏見や差別と言われるかもしれませんが、その人数の建築関係ならばあまり気にする必要も無いでしょうし 上の理解も得られないかと思います。(経験上)
- Toshi0230
- ベストアンサー率51% (836/1635)
すでに回答出てますが、この規模であればセグメントを分けるメリットはほとんどないですね。 管理の手間が増えるだけです。 セキュリティを気にされるのであれば、定期的なパッチ(Windows Update)の適用、ウィルス対策ソフトによるウィルス侵入チェックの実施などを検討する方が良いかと思います。
- FEX2053
- ベストアンサー率37% (7991/21371)
私も、この程度の規模のネットワークなら、セグメントを分ける メリットは殆どなく、面倒さだけが出てくると思います。セキュリ ティの件は、どのみちサーバが侵略されたらアウトなので。 むしろ、この手の「透過型ファイヤーウォール」を使って、内部 からのアクセスをチェックした方が正解ではないかと思います。 http://jp.yamaha.com/products/network/firewalls/fwx120/?mode=model
お礼
皆様有難うございました。 要件を整理したうえで、頂いたアドバイスも検討したいと思います。