> NICを２枚差ししたPCを用意して、それぞれAとBのネットワークを設定する方法が紹介されていました。 > 自分自身がルーティング設定に自信がないのもありますし、 > その構成ならば、外付けHDDをPCに接続すれば拡張性も増すかと思いました。 よほどコンピュータやネットワークに自信があるなら話は別だが、これははっきりとお勧めできない。 ・ネットワーク関係は専用機器に任せた方がトラブルが少ない。あるいはトラブル時の対応が速い。 ・ルーティング設定に関してだけ言えばBBルータ2台よりもNIC複数挿しのPCの方が遥かに難しい。 ・普通のPCは消費電力がネットワーク専用機器よりも大きい。 ・普通のPCは24時間電源入れっぱに耐えられるように設計されていない（帰宅時に落として帰るなら別にいい）。 ・普通のPCを根幹ルーターにすると、途中で普通のPCとして使う誘惑に耐えられない。 　→ルーターでありながら普通の作業にも使われ、普通の作業が原因でPCがフリーズ。 　→オフィス全体が大混乱。 　となるに決まっとる（決め付け）。 ・普通のPCにNIC複数挿して何とかしようとするよりも 　BBルーター2台とホーム用NAS1台の方が安い（オフィス用NASは超高い）。 と、BBルーター2台＋NAS構成と比較したら複数NIC-PCの方に軍配が上がるのは せいぜいコンセントの数を節約できる（3口と1口）くらいだ。

まぁ普通は、DMZを作るのだ。というか標準技術だね。 大概の会社はこうしてるし、これ以上は考えてもしかたがない。 多段にしたところで、理論的にはいつかはやられるしぃ こんな感じですね。 ファイヤウォールを２つ使って 外部－FW－DMZ－FW－内部NW　とする。 外部からはDMZ内のPCのみアクセス可能 内部NWはDMZ内のPCからのみアクセス可能 というように各FWを設定する。 DMZ（DeMilitarized Zone）非武装地帯 ぐぐってちょうだい。

>質問内容に記載しましたが、データベースサーバはインターネットにアクセスできないようにしたいのです。 サーバーの操作は管理者のみにするのが一般的な管理方法であり、インターネットへのアクセスは有り得ません。 極論すればキーボード、マウス、モニターを接続しないラックマウントのハードウェアで鍵付きの部屋へ設置するケースも有ります。 また、ネットワークの設定でデフォルトゲートウェイを空欄にすればセグメント外へのアクセスが遮断できます。 更にルーターでアクセス制限の設定をすれば良いでしょう。 >私が知りたいのは、外部からの攻撃に対する対処です。 外部からデーターベースサーバーへ接続して悪戯をすることはルーターの設定だけで防げます。 しかし、LAN内のPCから他人の公開サーバーにアクセスしたとき目的のコンテンツに未知の不正なプログラムが混在していたときはPCへ取り込まれます。（未知のものは非常に少ないが皆無ではない） また、社員宛のメールに不正なプログラムが混在していることもあるでしょう。 従って、インターネットへ接続するPCと業務システムのPCは完全に分離したネットワークで運用すべきものです。 経費節減や使い勝手の利便性を優先すると落とし穴に落ちる結果になるのです。 大企業や政府機関のサーバーがコンテンツの改竄されるケースは公開サーバー（Webサーバー等）に代替コンテンツを上書きしていると思われます。 また、メールサーバーへ大量の不正メールを送り付けて正規のアクセスを妨害するケースも有ります。 中小企業や零細企業の特に目立たない会社については直接の攻撃は考え難いでしょう。

>外部と接点を持つことで危険性が発生するため、どうしたら、より安全なネットワークが構築できるかをお聞きしたいのです。 ハードウェア、ソフトウェアで対応できる範囲ではセキュリテイ確保に限界があります。 最大の効果を得られるのは社員の危機管理に対する理解と情報の秘匿性の認識です。 多くの情報流出は秘匿性の認識が甘いために起っているようです。 データーベースサーバーへアクセスできる端末でインターネットへも接続すること自体が既にセキュリティに問題が生じています。 特に顧客情報は名簿業者に売り渡しが横行していますので不正プログラムの侵入を食い止めるだけでは流出を防止できません。 社員のモラルが最大の防御手段であることを認識してください。

>どのように構成・設定すれば、ファイル・プリンタを共有しつつ、安全なネットワーク構築が可能でしょうか？ そのようなネットワーク構成はありません。 インターネットへアクセスできるPCがファイル共有に参加すること自体がセキュリティ面で脅威になります。 「現在は、AとBの間でのファイルの移動はUSBメモリなどを使用していますが」と言う運用でも安全とは言えません。