社内LANのネットワーク設計

小さい会社ですが、社内のシステムの運用を担当することになりました。

現在ですが、ユーザのPC２０台とサーバが、192.168ｘｘのプライベートアドレスで
同一セグメントに属しています。

サーバはWindows2008でファイルサーバ、社内ポータルサーバ（IIS、MSSQL）です。
クライアントはWindows7です。

サーバは直接インターネットに接続はされていません。

業務として現状特に問題は無いのですが、ユーザのPCとサーバは
一般的にセグメントを分けたほうが良いものなのでしょうか？。
※例えばセキュリティの問題などで

No.1 ベストアンサー 回答者： t_ohta 回答日時： 2013/04/26 15:01

同一セグメントでいいのではないでしょうか。

セグメントを分けた場合クライアントは直接サーバにアクセスできなくなるので、サーバとクライアントの間にルータかL3スイッチを入れてルーティングさせなければいけなくなります。

セキュリティの問題はどんな脅威に対しての対策をするかで方法は変わってきますが、インターネットと通信できることが問題だと思われるのであれば、ゲートウェイでフィルターを掛けてサーバのIPアドレスからは外部へ接続できないようにするというのも手です。
ただ、そうするとWindowsUpdateが使えないなどの弊害も出てきますので、ポート番号毎のフィルタ等を行うといいのではないでしょうか。

No.4 回答者： pakuti 回答日時： 2013/04/26 17:01

セキュリティの問題で　と言うならば分けた方が良いでしょう

例えば、クライアントがウイルスに感染して・・・・とか

出入り口以外にL3以上の機器を入れるのは面倒なので
ISPとの接続に、AlliedやCISCOのルーターを接続しセグメントわけするのが良いかと思います。
一般的にと言うのが、何を基準に　とは思います。
費用対効果を考えるのが一般的なのではないでしょうか。

例えば、会計事務所や法律事務所のような場合には
サーバーは死守するべきものでしょう。
偏見や差別と言われるかもしれませんが、その人数の建築関係ならばあまり気にする必要も無いでしょうし
上の理解も得られないかと思います。（経験上）

この回答へのお礼

皆様有難うございました。
要件を整理したうえで、頂いたアドバイスも検討したいと思います。

お礼日時：2013/04/29 01:09

No.3 回答者： Toshi0230 回答日時： 2013/04/26 16:07

すでに回答出てますが、この規模であればセグメントを分けるメリットはほとんどないですね。

管理の手間が増えるだけです。

セキュリティを気にされるのであれば、定期的なパッチ（Windows Update）の適用、ウィルス対策ソフトによるウィルス侵入チェックの実施などを検討する方が良いかと思います。

No.2 回答者： FEX2053 回答日時： 2013/04/26 15:26

私も、この程度の規模のネットワークなら、セグメントを分ける

メリットは殆どなく、面倒さだけが出てくると思います。セキュリ
ティの件は、どのみちサーバが侵略されたらアウトなので。

むしろ、この手の「透過型ファイヤーウォール」を使って、内部
からのアクセスをチェックした方が正解ではないかと思います。
http://jp.yamaha.com/products/network/firewalls/ …