我有一个5个静态IP块,我将在现场运行交换和Web服务器。 我想知道如果我应该分开networking服务器IP,邮件IP和内部networkingIP。 内部和外部networking分离的最佳实践是什么?
服务器将在DMZ中,在我们的防火墙后面。
我会分开所有这些服务。 以不同的方式更安全:
我不明白的是你的内部IP意味着什么? 这是NAT吗? 如果是的话,你应该把这个分开。
还要照顾你的防火墙规则,具体取决于服务。 总是白名单,而不是黑名单。 如果一个服务不需要看到另一个服务,那么阻止它。
最好的做法(另请参阅:最偏执狂)对每个function都使用一个单独的DMZ。 在你的情况下,这将是一个单独的DMZ的Web服务器和另一个Exchange基础设施。 每台设备只能看到有限的内部networking,重要的是看不到其他的DMZ设备。